В последнее время, часто встречаются однотипные баннеры на голубом фоне, на которых написан текст. Даже не вдавался что там написано — текст стандартный — положить деньги на номер телефона (чаще всего МТС).

Описывать их удаление не имеет смысла, т.к. они не носят в себе ничего нового — исполняемые exe файлы лежат в каталоге %USERPROFILE%, %APPDATA% (Application Data), остатки вируса могут быть раскиданы во временных каталогах, как правило в %TMP%, а также в %WINDIR%\apppatch

На сайтах известных антивирусов коды разблокировки до сих пор не опубликованы, поэтому при встрече с таким баннером загружайтесь с LiveCD — удаляйте «левые» (как правило исполняемые  — *.exe) файлы с каталога %USERPROFILE%, %APPDATA%, вычищайте %TMP%, проверяйте автозапуск с помощью программы autoruns

Более подробная инструкция по удалению таких баннеров (WinLocker / винлокер) можно прочитать в этой статье

_________________________________________________________________________________

Решил, что буду выкладывать скрины с названиями таких файлов, которые мне будут встречаться при удалении этих вирусов, уж больно часто они стали мне встречаться

Итак

файл с названием ms.exe в каталоге %USERPROFILE%:

а также потроха во временном каталоге — в том числе исполняемый файл tempfiles.exe

на этом же компе повстречал «остатки»  совсем другого вируса Carberp располагавшегося в корне диска в каталоге с латинской «абракадаброй» (обычно таких каталогов несколько с одинаковым содержимым) с двумя файлами внутри klpclst.dat и wndsksi.inf (более подробнее как удалить эту гадость читайте тут):

Ах да, стоит добавить что баннер словили на системе установленным с лицензионным и обновляемым ежедневно антивирусом Kaspersky for Workstation 6.0

__________________________________________________________________

повстречал баннер располагавшийся в %APPDATA% с названием что-то наподобие 0.356712378.exe — скрин не сделал — но это частое явление — случайные названия файлов с нулем и точкой в названии, да и чего далеко ходить — встречалось ранее что-то подобное в другом каталоге — %TEMP%, причем также при удалении вируса Carberp:

В этот раз баннер словили с Антивирусом Nod32 с обновляемыми базами от kazachya.net (как ни странно посмотрел после удаления версию обновляемой базы и удивился — от 27.05.2012, но ведь он не обновляется с этого сервера вроде бы как уже давно?!)

________________________________________________________________

Вновь повстречался баннер располагавшийся в %USERPROFILE%, но в этот раз он располагался не только там. В %USERPROFILE% лежал все такой же файл с цифрами в названиями — наподобие 0.356712378.exe. Но основной источник заразы располагался в C:\WINDOWS\apppatch и назывался tneueqs.exe. В реестре он был прописан в нескольких ветках. Скрин не сделан — т.к. очень торопился

P.S. Решил поднять эту запись, т.к. эти баннеры до сих пор актуальны