Возвращаюсь к наболевшему.
 

С помощью вашей помощью чистили офисные пк. Так получилось что не дочистили, не имел возможности написать раньше. Проблема в том что постоянно вылазят всплывающие окна с рекламой в IE. Какие данные мне предоставить Вам?

Возможно пользователи снова прошлись по зараженным сайтам и подхватили.

Реклама каких ресурсов ?

Выложите логи в соответствии с этими инструкциями.

- вот так это проявляется, при этом в исходном коде ссылок на те сайты по которым переходишь при нажатии на рекламу нету. В других браузерах этого нету.

немного почитав в интернете про эти баннеры мой вывод что это подпорчен Shockwave Flash. Удаление флешплеера ни чего не дало и всплывающие окна в IE остались.

Пофиксите в HJT:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Прикрепил

Про меня не забыли?
Сегодня на одном из пк поставил винду с 0 и какое мое было удивление когда открыл Ie и там эта зараза уже сидит. Поправка, вставлял только флешку с дровами, на ней ауторана нету так как удалил его. Антивирус флешку проверяет и говорит что все нормально. Честно не понимаю откуда он лезет. Вычислил как все происходит, в начале идет запрос на traffic.ru а потом эти баннеры появляются.

Лога МБАМ нет

REMOTESCANSERVER

SWF.MAX.EXE--Flash Player, Browser and Tools

- вы устанавливали ?

Удалите через панель удаления флэшплеер.

• Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  
• Скопируйте скрипт подготовленный для вас
  
  
• Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."
  
  

Подробнее - Universal Virus Sniffer

После выполнения скрипта зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта (например:2011-06-30_22-04-27.7z) если архив отсутствует, то заархивруйте папку ZOO с паролем virus. И отправьте на адрес quarantine<at>safezone.cc(at=@) в заголовке (теме) письма укажите ссылку на тему где вам оказывается помощь.

это нет. Лог МБАМ сделан до выполнения скрипта. Все отправил.
На одном из пк который заражен, поставил Emsisoft Anti-malware, так там при удалении он (шоквевплагин) себя прописывает в автозагрузку - так сообщила программа, я запретил автозагрузку его. REMOTESCANSERVER - устанавливал я для сканирования в локальной сети, но сейчас в ней отпала необходимость. С отключенным javascript в браузере окна не выскакивают, включаю - они появляются. И еще вопросик, по локалке после удаления может он загружаться заново (вирус)?

C:\PROGRAM FILES\SWF.MAX\SWF.MAX.EXE
Проверьте на https://www.virustotal.com/ru/

Обновите Java ,
видимо по локалке происходит заражение, либо заражен дистрибутив
У вас установлена сборка ? Чья ?

Дистрибутив не может быть заражен по одной причине, после переустановки этого вируса нет. На диске не написано. Именно Xtreme (на серверном) версия не заражается этим хоть и в одной локалке. Ничего не показал, файл чист.

С помощью песочницы нашел такие вот процессы которые и отвечают за всплывающие окна с рекламой этой (буквы в разном регистре, найти само их местоположение пока не удалось):
sandboxierpcss.exe
sandboxiedcomlaunch.exe
sandboxiecrypto.exe

sandboxie - это сама песочница а окончания - это те файлы которые запускаются. Попробую сейчас найти их в реестре через поиск.

Едем дальше. На одном из пк которое в сети поставил: spydetector322rus.exe с официального сайта тестовую на 14 дней. И наткнулся на такую запись:
ID процесса: 3412 - vtuploader2.0[1].exe
ID родителя: 2480 - iexplore.exe
Статус: Удалённый
Приоритет: Обычный
Имя пользователя: Алексей
Домен: ALEKSEY
Время работы 0:18:05
Размер памяти: 36 Kb
Имя файла:
C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\4WPH2B3Y\vtuploader2.0[1].exe
Компания:

Описание:

Трей иконка: Нет
Окна: Нет
Потоки: Нет
Причина:
Процесс удалён, но запись о нём всё ещё присутствует в операционной системе.





После удаления ее всплывающие окна не лезут, посмотрим что дальше будет. Через некоторое время вновь вылез... Какие могут быть еще варианты решения кроме как переустановить?