O16: Objetos ActiveX
Los objetos ActiveX son programas descargados de alguna web y guardados en nuestro ordenador; por ello también se les denominan Downloaded Program Files. La ubicación de almacenamiento es [**]\Downloaded Program Files

Podemos encontrar ítems normales como el del sgte. ejemplo:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Y otros típicos de spyware que, con suerte, serán fácilmente identificables si muestran nombres sospechosos relacionados con porno, dialers, Toolbars indeseadas o palabras claves como casino, sex, adult, etc. Ejemplo:

O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

En casos de spyware, podemos emplear tranquilamente el 'Fix Checked' pero si tras volver a escánear viéramos casos rebeldes que siguen presentes, sería necesario reiniciar en modo seguro (pulsando F8...) para proceder con su eliminación.

SpywareBlaster de JavaCool cuenta en su base de datos con un numeroso listado de ActiveX maliciosos. Volvemos a recomendar su utilización preventiva.
 

O17: Hijack de dominio / Lop.com
En condiciones normales, cuando introducimos el nombre de un site en el navegador en lugar de su dirección IP, nuestro PC contacta con un servidor DNS para que resuelva correctamente el nombre del dominio. Sin embargo, puede darse el caso de que un hijacker cambie las DNS para que empleemos su propio servidor en lugar del servidor DNS habitual. Si lo llevan a cabo podrán redireccionarnos a donde quieran, apuntando nuestras peticiones hacia los dominios de su elección (no la nuestra).

Ejemplo normal:
O17 - HKLM\System\CCS\Services\Tcpip\..\{41BAB21B-F197-471E-8B00-F28668AB8782}: NameServer = 194.224.52.36,194.224.52.37

Decimos normal porque esas IPs corresponden a servidores DNS de un conocido ISP español y en estos casos no es preciso hacer nada. Es la situación más habitual, encontrar las DNS que nos proporciona nuestro ISP.

Para comprobar si son buenas o no, podéis hacer un whois con aplicaciones ex profeso o acudir a sites de fiar que ofrezcan ese servicio, como Google. Ahora bien, si los resultados de nuestras pesquisas apuntan hacia spywares, les aplicaremos 'Fix Checked'.
 

O18: Protocolos extra / Hijack de protocolos
Es difícil explicar este apartado de una manera sencilla. A grosso modo, decir que nuestro SO emplea unos protocolos estándar para enviar/recibir información, pero algunos hijackers pueden cambiarlos por otros (protocolos "extra" o "no estándar") que les permitan en cierta manera tomar el control sobre ese envío/recepción de información.

HJT primero busca protocolos "no estándar" en HKLM\SOFTWARE\Classes\PROTOCOLS\ y si los encuentra, mediante la CLSID trata de obtener la información del path, también desde el registro: HKLM\SOFTWARE\Classes\CLSID

Ejemplo spyware:
O18 - Protocol:relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\ARCHIV~1\ARCHIV~1\MSIETS\msielink.dll

Esta técnica no es de las más frecuentes de ver, pero puede ser empleada por conocida spyware como Huntbar -RelatedLinks- (la del ejemplo), CommonName -cn-, Lop.com -ayb-, inclusive CWS. Si encuentra alguno en el item O18  aplicarles 'Fix Checked'.
 

O19: Hijack de la hoja de estilo del usuario
Según Merijn.org, en caso de aparecer en el log de HJT este ítem O19, coincidente
con un navegador ralentizado y frecuentes pop-ups, podría ser conveniente aplicarle
'Fix Checked'. Sin embargo, dado que hasta el momento sólo se tiene reportado a CWS como responsable, la recomendación es emplear el CWShredder