ve file systému lze použít alternativní streamy. systém je používá pomocí zón zabezpečení. jmenuje se to alternate data stream. systém si soubory značkuje pomocí tagu zone identifier. ty mu vyruš. myslí si, že jsou to soubory z netu.
hijackthis v misc má utilitu na mazání ads umí to i streams ze sysinternals. začni se zaobývat myšlenkou, jak k takovému stavu došlo- systém byl buď donucen nebo drze zkompromitován, sám o sobe tam značky nepíše.