[iskander-k]

Возможно пользователи снова прошлись по зараженным сайтам и подхватили.

Реклама каких ресурсов ?

Выложите логи в соответствии с этими инструкциями.

[SwanHearts]

- вот так это проявляется, при этом в исходном коде ссылок на те сайты по которым переходишь при нажатии на рекламу нету. В других браузерах этого нету.

[SwanHearts]

немного почитав в интернете про эти баннеры мой вывод что это подпорчен Shockwave Flash. Удаление флешплеера ни чего не дало и всплывающие окна в IE остались.

[alex_sev]

Пофиксите в HJT:

Код:

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[iskander-k]

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[SwanHearts]

Прикрепил

[SwanHearts]

Про меня не забыли?
Сегодня на одном из пк поставил винду с 0 и какое мое было удивление когда открыл Ie и там эта зараза уже сидит. Поправка, вставлял только флешку с дровами, на ней ауторана нету так как удалил его. Антивирус флешку проверяет и говорит что все нормально. Честно не понимаю откуда он лезет. Вычислил как все происходит, в начале идет запрос на traffic.ru а потом эти баннеры появляются.

[iskander-k]

Лога МБАМ нет

REMOTESCANSERVER

SWF.MAX.EXE--Flash Player, Browser and Tools

- вы устанавливали ?

Удалите через панель удаления флэшплеер.

• Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  
• Скопируйте скрипт подготовленный для вас
  
  
• Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."
  
  

Подробнее - Universal Virus Sniffer

Код:

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
zoo %Sys32%\MACROMED\FLASH\FLASHPLAYERUPDATESERVICE.EXE
bl 459AC130C6AB892B1CD5D7544626EFC5 253088
addsgn 1A41D19A5583E98CF42B627DA8049949018E0B378AFA1F78F1E74FBDD31770C8E3638DA0FF569D492BF56B9A461649FAF07BCC7255DAB0A18953A42FC706A972 64 CLICKER

; C:\WINDOWS\SYSTEM32\MACROMED\FLASH\FLASH32_11_2_202_233.OCX
zoo %Sys32%\MACROMED\FLASH\FLASH32_11_2_202_233.OCX
bl D764F2EC1BF42499D5F40BC4F043DC61 8778400
addsgn 79132211B9E9317E0AA1AB59200C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86C94CC75CD1FAD4482F87DD10FB02C2D88D13B4A4BD29B 64 DANGER

delref HTTP://WWW.YANDEX.RU/?CLID=135293
delref HTTP://WWW.YANDEX.RU/?CLID=40316
delref HTTP://WWW.YANDEX.RU/?CLID=40316
delref F:\AUTORUN.EXE
delref F:\LAUNCH.OCX
restart

После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.

[SwanHearts]

Цитата iskander-k:

SWF.MAX.EXE »

это нет. Лог МБАМ сделан до выполнения скрипта. Все отправил.
На одном из пк который заражен, поставил Emsisoft Anti-malware, так там при удалении он (шоквевплагин) себя прописывает в автозагрузку - так сообщила программа, я запретил автозагрузку его. REMOTESCANSERVER - устанавливал я для сканирования в локальной сети, но сейчас в ней отпала необходимость. С отключенным javascript в браузере окна не выскакивают, включаю - они появляются. И еще вопросик, по локалке после удаления может он загружаться заново (вирус)?