Grupo N1, N2, N3, N4
URLs de páginas de inicio/búsqueda en Netscape/Mozilla.

N1, N2, N3, N4 corresponden respectivamente a las páginas de inicio/búsqueda de Netscape v4, v6, v7 y Mozilla. Estos datos se encuentran en el fichero prefs.js, habitualmente localizado en el directorio del navegador.

Al igual que en R0 o R1 si las reconocemos las paginas no hay problema, si no marcar y 'Fix Checked'
 

O1: Redireccionamientos por modificación del fichero HOSTS
El fichero HOSTS lo podemos encontrar en diversas ubicaciones según el Windows empleado. Se localiza en C:\WINDOWS\ en los Win 9x/Me y en [**]\SYSTEM32\DRIVERS\ETC\ en los Win NT/2000/XP/2003.
Mediante el fichero HOSTS es posible asociar IPs con dominios. En condiciones normales, puede ser empleado si queremos evitar el acceso a determinados dominios que sabemos problemáticos, simplemente editando a mano el fichero HOSTS y asociando nuestra dirección localhost 127.0.0.1 con el dominio indeseable. Ejemplo: 127.0.0.1 www.dominioindeseable.com ...al hacerlo, si introducimos esa dirección en el navegador, nuestro equipo primero la buscará en el fichero HOSTS y al encontrarla, se evitará resolverla externamente mediante DNS. De esta manera evitamos que se pueda acceder a dicho dominio indeseable.

Sin embargo, puede ser empleado con fines maliciosos por los spywares que tratamos de combatir en este artículo, sencillamente dándole la vuelta a la tortilla: si en lugar de localhost se emplea una IP determinada (llamémosla IP spyware) para direcciones de uso habitual, por ejemplo www.google.com, cada vez que introduzcamos la dirección de google en nuestra barra de direcciones, seremos llevados a la página de la IP spyware. Esto redireccionamiento suele ser frecuente de ver por parte de los hijackers.

Si el ítem O1 nos muestra una IP que no se corresponde con la dirección, podemos marcarla y aplicarle el 'Fix Checked'.

Si nos muestra O1 - Hosts file is located at C:\Windows\Help\hosts ...casi con toda probabilidad estamos delante de una infección por CoolWebSearch (CWS), en cuyo caso conviene aplicarle el 'Fix Checked', aunque mejor si previamente lo intentamos con herramientas específicas contra CWS como pueden ser  CWShredder.
 

O2: BHO (Browser Helper Object)
Pueden ser plugins para aumentar las funcionalidades de nuestro navegador, perfectamente normales, pero también pueden deberse a aplicaciones spywares.
Es preciso por tanto que el usuario investigue para comprobar el grado de sospecha.
En el listado de Tony Klein y colaboradores en Sysinfo, podréis encontrar referenciadas numerosas CLSID (class ID, el número entre llaves: {número class ID}).
Las señaladas en Status como "X" son catalogadas de spyware, las "L" como normales o limpias.

Ejemplo normal:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
...si introducís ese CLSID (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) en el buscador del listado, lo mostrará catalogado como "L", es decir, normal, ya que está originado por Adobe Acrobat Reader.

Si por el contrario el resultado de vuestra búsqueda os lo mostrara como "X", es que se trata de spyware y conviene aplicarle el 'Fix Checked'. Es preciso que en ese momento no este abierta ninguna ventana del navegador e incluso así, a veces hay casos rebeldes. Si después de aplicar el 'Fix Checked' vuelve a salir en el listado, será necesario reiniciar en modo a prueba de fallos para erradicarlo.

Ejemplo Spyware: (aplicar 'Fix Checked')
O2 - BHO: (no name) - {FECA4302-94B5-11D9-8E0D-000E86ADF28B} - C:\WINDOWS\SYSTEM\MLM.DLL