Столкнулся с обыденным - вместо стартовой страницы пользователя, во всех браузерах постоянно выскакивает какая-то "левая" страница и, спустя пару секунд, редиректит на случайный сайт, но тоже с рекламой. Это сопровождается музыкальными вариациями на тему "подождите, не закрывайте эту страницу!", диалоговыми окнами вида "вы уверены, что вы хотите закрыть эту вкладку?" и т.п.
И вот тут я дал маху и усадил сам себя в лужу. Совершенно "по шаблону" стал отрабатывать стандартный вариант. Процессы-автозагрузка-службы-"Программ и компоненты". Содержимое файла hosts. Расширения-дополнения самих браузеров. Наличие подозрительных скриптов в папках профилей. Проверка префиксов протокола HTTP в реестре. Дошёл до проверки на статичные IP-маршруты. Ничего. Сканера тоже ничего не видят. Упс. Что ж я за спец-то такой, с таким примитивом столько вожусь...
И тут мелькнуло воспоминание, что какая-та адвара создавала в папках браузеров html-ки со своим рекламным адресом. Обзывала их по имени exe-файла самого браузера. И кидала от них ярлыки на рабочий стол, подменяя родные. Полез проверять свойства ярлыков.
Бли-и-и-н!!! Всё оказалось ещё примитивнее. В свойствах каждого ярлыка после пути к исполняемому файлу был просто дописан адрес рекламного сайта. Самый ламерский вариант. Дописка в ярлык адреса сайта. Блин. И смена свойств самого ярлыка на "Только чтение". Это чтобы бдительный чайник не мог стереть дописульку...
Ё-моё! Час жизни - на что!? А всего-то было делов - пересоздать ярлыки...