1- в общем изначально вижу баннер, но процедуру загрузку "проворонил"(клиент уже сказал, что баннер.последние все "синенькие".тупо взглянул на экран, когда уже сам баннер "нарисовался".
- тут вижу почти на всю верхнюю половину красными буквами на темно синем фоне(скорее ближе к черному) текст(схожесть с текстами "обычных" баннеров налицо )
2- перегружаюсь- иду в erd commander.shell и userinit "чистые". подмены userinit нет.подмены taskmgr тоже.
3-проверяю run-ы вот там "подвязка" под загрузку модулей от adobe reader-не понравилось.снес.
4- из автозагрузки удалил пустые and , c:\documents и.т.д
5- в appdata нашел тоже двух зверьков. но не типа известных 22СС6С32.еxe а что то вроде menx.exe и xell.exe - снес.
6-прошелся по дате изменения файлов в windows - вроде ничего особенного- перезагрузился.
7-и вот тут и был удивлен загрузке баннера сразу после процедуры post.
8- всё стало ясно-загрузился с установочного диска в консоль восстановления- вывел команду fixmbr- перезагрузился.
9- загрузился в операционную систему-удалил avast free(прошелся по системе mbam,combofix,avptool проверил логи у HijackThis и avz(ничего серьёзного.)
10-очистил точки восстановления,прошелся чистильщиком(вначале avz - чистка системы, затем auslogics)
11-еще раз проверил интеграцию через Autoruns и Shexwiew(поудалял/запретил пару тройку ненужных параметров)
12-поудалял не нужные расширения у браузеров, добавил в каждый браузер "свой адблокер"(куки,кэшы снес. и историю заодно :teeth: )
13-установил kis-обновился-отдал клиенту.
вроде всё :)

p.s - не стал уже описывать процедуры обновления "адобов",джавы,запрет автозапуска в системе и.т.д