В простейшем случае вредоносный линк вписывается в свойства ярлыков браузеров, добавляя свой адрес после пути к исполняемому файлу браузера и меняя свойства безопасности самого ярлыка, запрещая его изменение. Правым кликом - свойства - доступ - и там разрешить изменения. Ярлыки можно удалить и создать заново. Частенько эта дрянь вписывается в планировщик задач, особенно на седьмой винде, и удалять весь этот праздник лучше непосредственно анализируя свойства заданий - какой файл запускается? Еще бывает, что вредонос сидит в папке с исполняемым файлом браузера, и после сноса браузера не удаляется., приходится вручную подчищать. Отличное подспорье для ловли всякой нечисти - autoruns, позволяет оперативно зачищать автозагрузки, в частности appinit dlls, обычно там ничего полезного не сидит (ну если только артефакты от кошмарского, который, IMHO, тоже вредоносная программа, потому что любую машину превращает в нетбук)