При заходе на каждый практически сайт выскакивает flash баннер. Содержимое баннера разное - то он круглый то прямоугольный.
Это происходит во всех установленных браузерах. Пробовал удалять, ставить по новой - один фиг.
Почистил все что только можно. Удалил темп, куки, кэш, флэш плеер, и яву.
Теперь IE стал писать об ошибках сценария и в дебаггере такой код:

Сведения об ошибке на веб-странице
Агент пользователя: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C)
штамп времени: Tue, 21 Aug 2012 14:17:17 UTC
Сообщение: "console" не определено
Строка: 1
Символ: 4135
Код: 0
URI-код: http://bobrilla.com/6bk2wga5mhl6ecpjnlc5jo7ecil7df96r5hhumt6s?&ms3biq=http%3A//ru.wikipedia.org/wiki/Unlocker&59mh69zo=67541635&7mnu8lu2r7ujml=http%3A//www.emptyloop.com/unlocker/&425ts=0&35usf=0&3mplc=0&2xfcx=0

AVZ, Антивирус Касперского и другие утилиты не помогли :( Как убить эту бобриллу?

Выполните http://forum.oszone.net/thread-98169.html

логи AVZ и HijackThis (http://files.mail.ru/6AJVX0)
Эта дрянь аж на трех компах засела... Везде одинаковые симптомы.

Сейчас поглядим

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\DRIVERS\wod0205.sys','');
QuarantineFile('c:\program files (x86)\jabpunch\jabpunch.exe','');
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer (http://safezone.cc/forum/showpost.php?p=64662&postcount=1)

Третье

Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.

jabpunch.exe - Хорошая программа, я сам её ставил и баннеры были задолго до её установки на компьютер. Проблема 100% не в ней.
Теперь баннер исчез но... в IE9 при открытии какого либо сайта одновременно с ним открывается дополнительная вкладка с всё той же бобриллой, а далее эта вкладка автоматом редиректит на сайт с проститутками.
логи OTL и adwcleaner (http://files.mail.ru/1QQ7PL)

Я знаю, что не в ней, просто для коллекции необходимо, так что скрипт выполняйте и карантин высылайте.
Интернет через роутер получаете?

Держите, вот Ваш поддельный DHCP и DNS серверы (выделил жирным), удаляйте из настроек интернета

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.12.219.20 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{613DDCE4-10AB-4020-87EA-67EF04BAB67A}: DhcpNameServer = 217.12.219.20 192.168.1.1

Я знаю, что не в ней, просто для коллекции необходимо, так что скрипт выполняйте и карантин высылайте.
Интернет через роутер получаете?
Держите, вот Ваш поддельный DHCP и DNS серверы (выделил жирным), удаляйте из настроек интернета
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.12.219.20 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{613DDCE4-10AB-4020-87EA-67EF04BAB67A}: DhcpNameServer = 217.12.219.20 192.168.1.1 »

Да через роутер ASUS WL 520GU. Я где-то читал что есть вероятность заражения линукса на роутере. Комп как раз получает ip по dhcp с роутера. Этот адрес я видел в реестре и раньше когда только начал рыть эту проблему - из реестра тер его везде, но он снова появляется. Сейчас скину роутер в дефолт и прошью кастомной прошивкой. Далее выполню все скрипты как положено :) и отправлю лог.

Вирус действительно был в роутере. И это он выдавал машинам левые ip адреса по DHCP.
После переустановки прошивки на роутере из реестра компов исчезли левые адреса и вместе с ними пропали баннеры.
Карантин вышлю сегодня попозже.