Пару дней назад заглючил комп - появился банер с рекламой на 8 окон, на джаве, хаотично не открывались страницы или открывались только из кеша. У всех бравзерах стартовой стала odnopoisk.ru/. Хотя нигде не лазил, пару постоянных сайтов.
КАВ и Вебр ничего не видели "венерического"... Заметил левый процесс wxuaex8 с автозапуском в реестре и одноименный файл в папке "роуминг".
Сервис Вирустотал в тот день не работал :( Убил процесс и его запуск, - интернет заработал, но назойливый банер остался...
Когда заработал Вирустотал, оказалось, что только 4 из 45 антивирей на рынке знают об заразе... Намылил вирусяку Касперскому. После очередного обновления КАВ увидел дрянь и ее метастазы, удалил.
Но банер остался, периодически всплывая, выводил из себя :( Уже был готов переставлять ОС, как добрый некто Unlock-NT на МФ подсказал решение.
Оказалось, что вирусяка прописал ДНС сервер 5.199.140.180 в настройках сети.
После удаления левого ДНС проблема с банером не проявляется. Есть мнение, что дрянь попадает с радикал.ру.

Я участвовал в теме на МФ, я думал что netsh сброс хостов проделан уже был. WinSockFix на крайний вариант и в Avz есть такая опция...

На мф опишу решение, как только откроют тему. Уже написал модератору.
Я в HijackThis видел 4 строчки с ДНСом упомянутым выше, обратил внимание. Но не придал этому значения... Не знакомые ветки были, даже не подозревал о прописанном стороннем ДНС. Впервые такое вижу.
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AA19926-305C-4927-94FB-2695619FCD2C}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AA19926-305C-4927-94FB-2695619FCD2C}: NameServer = 5.199.140.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AA19926-305C-4927-94FB-2695619FCD2C}: NameServer = 5.199.140.180

К симптомам еще можно плюсануть всплывающие окна левые. Их у меня Опера по умолчанию резала.
Очень интересно откуда и как дрянь ко мне проскочила. Реально не лазил по сторонних сайтах в тот день...

Профиль гостевой включен был видать если в dns влезло...

Не, под админом был, UAC отключен.

Подозреваю что косяк всё таки в Java ибо кривость сборки была недавно месяца 2 назад. Жаль что не сразу проверили сброс netsh и реакцию вирусни на него, некоторые переадресацию делают cmd и просто виснет комп из-за переполнения буфера обмена.

Вполне вероятно. Вот таким "пакетом" шло.
Напомню, до отправки вируса касперу и последнего обновления полная проверка все это не замечала.

Ну всё ясно, это косяк Sun, они криво собрали Java и на хак форумах есть инфа как туда пролезть) У меня Sun автоапдейтер стоит ибо не первый раз сталкиваюсь с такой лабудой и на рабочей машине мне таких сюрпрайзов не надо...

На нетбуке(Кодовое имя БМП-3) ява вообще не стоит, за то есть ринг 0 дебагер. На основной машине нет повода волноваться(там все свое а защите)

Некоторые вещи начиная с tinyumbrella и заканчивая Gecko Toolkit вообще работать без Java не будут...