С помощью вашей помощью чистили офисные пк. Так получилось что не дочистили, не имел возможности написать раньше. Проблема в том что постоянно вылазят всплывающие окна с рекламой в IE. Какие данные мне предоставить Вам?

Возможно пользователи снова прошлись по зараженным сайтам и подхватили.

Реклама каких ресурсов ?

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

http://s44.radikal.ru/i103/1205/46/d8d593c47aaf.jpg - вот так это проявляется, при этом в исходном коде ссылок на те сайты по которым переходишь при нажатии на рекламу нету. В других браузерах этого нету.

немного почитав в интернете про эти баннеры мой вывод что это подпорчен Shockwave Flash. Удаление флешплеера ни чего не дало и всплывающие окна в IE остались.

Пофиксите в HJT (http://safezone.cc/forum/showthread.php?t=9):

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v374.zip)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Прикрепил

Про меня не забыли?
Сегодня на одном из пк поставил винду с 0 и какое мое было удивление когда открыл Ie и там эта зараза уже сидит. Поправка, вставлял только флешку с дровами, на ней ауторана нету так как удалил его. Антивирус флешку проверяет и говорит что все нормально. Честно не понимаю откуда он лезет. Вычислил как все происходит, в начале идет запрос на traffic.ru а потом эти баннеры появляются.

Лога МБАМ нет

REMOTESCANSERVER

SWF.MAX.EXE--Flash Player, Browser and Tools

- вы устанавливали ?

Удалите через панель удаления флэшплеер.


Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Скопируйте скрипт подготовленный для вас


Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."





Подробнее - Universal Virus Sniffer (http://safezone.cc/forum/showthread.php?t=14509)


;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
zoo %Sys32%\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
bl 459AC130C6AB892B1CD5D7544626EFC5 253088
addsgn 1A41D19A5583E98CF42B627DA8049949018E0B378AFA1F78F1E74FBDD31770C8E3638DA0FF569D492BF56B9A461649FAF07B CC7255DAB0A18953A42FC706A972 64 CLICKER

; C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASH32_11_2_202_233.OCX
zoo %Sys32%\MACROMED\FLASH\FLASH32_11_2_202_233.OCX
bl D764F2EC1BF42499D5F40BC4F043DC61 8778400
addsgn 79132211B9E9317E0AA1AB59200C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86C94CC75CD1FAD4482 F87DD10FB02C2D88D13B4A4BD29B 64 DANGER

delref HTTP://WWW.YANDEX.RU/?CLID=135293
delref HTTP://WWW.YANDEX.RU/?CLID=40316
delref HTTP://WWW.YANDEX.RU/?CLID=40316
delref F:\AUTORUN.EXE
delref F:\LAUNCH.OCX
restart


После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.

SWF.MAX.EXE » это нет. Лог МБАМ сделан до выполнения скрипта. Все отправил.
На одном из пк который заражен, поставил Emsisoft Anti-malware, так там при удалении он (шоквевплагин) себя прописывает в автозагрузку - так сообщила программа, я запретил автозагрузку его. REMOTESCANSERVER - устанавливал я для сканирования в локальной сети, но сейчас в ней отпала необходимость. С отключенным javascript в браузере окна не выскакивают, включаю - они появляются. И еще вопросик, по локалке после удаления может он загружаться заново (вирус)?

C:\PROGRAM FILES\SWF.MAX\SWF.MAX.EXE
Проверьте на https://www.virustotal.com/ru/

Обновите Java (http://www.java.com/ru/download/help/java_update.xml) ,
видимо по локалке происходит заражение, либо заражен дистрибутив
SWF.MAX.EXE »
это нет. »
У вас установлена сборка ? Чья ?

Дистрибутив не может быть заражен по одной причине, после переустановки этого вируса нет. На диске не написано. Именно Xtreme (на серверном) версия не заражается этим хоть и в одной локалке. Ничего не показал, файл чист.

С помощью песочницы нашел такие вот процессы которые и отвечают за всплывающие окна с рекламой этой (буквы в разном регистре, найти само их местоположение пока не удалось):
sandboxierpcss.exe
sandboxiedcomlaunch.exe
sandboxiecrypto.exe

sandboxie - это сама песочница а окончания - это те файлы которые запускаются. Попробую сейчас найти их в реестре через поиск.

Едем дальше. На одном из пк которое в сети поставил: spydetector322rus.exe с официального сайта тестовую на 14 дней. И наткнулся на такую запись:
ID процесса: 3412 - vtuploader2.0[1].exe
ID родителя: 2480 - iexplore.exe
Статус: Удалённый
Приоритет: Обычный
Имя пользователя: Алексей
Домен: ALEKSEY
Время работы 0:18:05
Размер памяти: 36 Kb
Имя файла:
C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\4WPH2B3Y\vtuploader2.0[1].exe
Компания:

Описание:

Трей иконка: Нет
Окна: Нет
Потоки: Нет
Причина:
Процесс удалён, но запись о нём всё ещё присутствует в операционной системе.





После удаления ее всплывающие окна не лезут, посмотрим что дальше будет. Через некоторое время вновь вылез... Какие могут быть еще варианты решения кроме как переустановить?