Например какая-нить хитрая длинная строка даже в HTML коде (по сути исполняемый код), вызывающая переполнение буферов или стэка IE, в результате чего код получает управление. Никакой WebWasher не поможет :) Мало того, хацкеры могут заюзать и эти "моющие" примочки для аналогичного внедрения (если конечно они распространенные). В местном скрипте дохера дырок. У генерала дык вообще куча дребедени и линков на всяческие рекламные, счётческие дела...
Тут другое странно - именно этот "ntos.exe" в упор не хотят замечать течественные сторожа (у меня DrWeb), хотя на диск прописывается аж 3 файла и правится реестр. "Если вы не параноик, это еще не значит, что за вами не следят" (с) ;)