Посмотрел немного:
Способ не мой - плагиат, гарантий не даю - пробуй :

Зажимаем кнокпи Ctrl + Alt + Delete (правые кнопки Ctrl и Alt) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнить), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу, запомните потом удалите. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка....... Далее скачиваем утилиту и проверяемя ею http://www.freedrweb.com/cureit/

всем приветик!!! Итак приступим - вызываем диспетчер задач Ctrl+ALT+Delete изловчаемся и "третьей" рукой снимаем запущенную задачу, там что-то обязательно будет(жмем снять задачу) далее новая задача, запускаем regedit лезем сюда HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем параметр Shell, а там указан путь к вашему баннеру(запишите или запомните путь, потом удалите его), всё удалить и прописать C:\Explorer.exe. Всё должно стать окей!!! Появится рабочий стол. Теперь ОБЯЗАТЕЛЬНО удалите этот ужасный файл!!! ВСЁ!!! для верности зайдите в мой компьютер и выполните поиск всех *.exe а затем и *. dll файлов созданных на дату и время заражения, не забыть поставить галочку показывать скрытые и системные файлы. УДАЧИ!!!!!!!!!

Попробуйте тоже самое в безопасном режиме с поддержкой командной строки

Касперский советует следующее:

16342131

нахуй

Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:

1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре

2. выбрать пункт меню "Выполнить" ("Run")

3. в открывшемся окне набрать код деактивации "нахуй"

4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)

5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")

6. нажать кнопку для деактивации блокера

•Зажимаем кнокпи Ctrl + Alt + Delete левой рукой.
•Будет моргать диспетчер задач, а тем временем мышкой в правой руке снимаем задачу ( баннера)
•Баннер должен исчезнуть, а заместо него, пустой рабочий стол.
•Далее открываем диспетчер задач,файл - новая задача - (выполнить), вводим regedit нажимаем ок=>откроется редактор реестра.
•Далее ищем ветку: Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
•Кликаем один раз мышкой по значению "Winlogon" ищем параметр "Shell" кликаем по нему левой кнопкой мыши, появиться контекстное меню, жмём - изменить.
•Запомните какой путь к вирусу прописан в значении Shell , потом его необходимо удалить по этому пути
•Меняем значение Shell на Explorer.exe жмём ок. ( значение Shell должно быть C:\WINDOWS\system32\еxplorer.exe)
•Откройте диспетчер задач жми завершение работы и перезагрузка.

Если есть у кого что добавить - только приветствуется.

Еще
Надо войти в реестр и в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon посмотреть, там есть параметр Shell значение которого должно быть Explorer.exe, но там будет другое значение ( C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\[ссылка появится после проверки модератором] video_57312.avi[1].exe

Если знаешь как входить в реестр через загрузочный диск заходи и чисть ветку и все временные файлы, а если не знаешь попроси,того к то знает..
http://otvet.mail.ru/question/50107876/

Для проверки специально словил вирус, выключил банер указанным выше способом, WinPatrol не дал стать в автозагрузку, но указал путь:
C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\L8DQIXLK\readme[1].exe
Проверил ветку реестра - не изменена (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe).
Посмотрел новое в автозапуске, не уверен, но возможно имеет значение:
C:\WINDOWS\system32\macromed\Flash\NPSWF32_FlashUtil.exe
Очистил стандартно временные файлы интернета, т.к. вирус засел именно там, не смотря на то, что IE не был включен.
Перезагрузился, багов не заметил.

попробуйте ещё ввести 16342131.мне помогло.

дублирую крупно, поскольку работает:
16342131

Осмелюсь предложить ещё один вариант борьбы с баннерами, который позволяет обнаружить и удалить файл вредоносного баннера и путь к нему даже пользователю, совсем не имеющему представления о реестре и работе с ним. Пожалуйста гуру, покритикуйте или дополните вашим мнением о нём. Используется CD диск с прогой ERD Commander 2009. Oперационка заражённого компа - Windows XP. Итак, порядок работы:

Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.

Жмите Start –> Administrative Tools –> Autoruns. В правом части открывшегося окна тут же увидим состояние строк Shell и Userinit реестра:
HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран.

Форумчанам известно правильное значение этих строк, а именно:

1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению.

2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению.

То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало!

Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его.

Как вариант: можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу. Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее) После успешного удаления вредных файлов закрываем файловый Explorer и жмём Start Log OFF(перезагружаем комп). В появившемся окне: Выбираем Restart - OK - пошла перезагрузка компа.

Во время перезагрузки нажмите клавишу Del и верните обратно приоритет загрузки с жесткого диска(HDD). После чего нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter». Можно извлечь CD диск с ERD COMANDER из дисковода – он уже не нужен.
Загрузите Windows в обычном режиме. Баннер исчез. Обязательно проверить комп на вирусы свежей антивирусной программой. Более продвинутые юзеры могут уже в обезвреженом компе отредактировать строки реестра(очень желательно!!!), но самое главное будет уже достигнуто - баннер побеждён.
ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как).
http://www.cforum.ru/t4/forum/obwoje?goto=203547#msg203547

МНЕ ПОМОГЛИ ЦИФРЫ 16342131

Билайн, на который требовали денег: 89629357760

Благодарю, мне помогли цифры 16342131.
Комп не мой, попросили убрать банер

СПАСИБО СПАСИБО СПАСИБО ЗА ЦИФРЫ 16342131. ПОМОГЛО УРРРРРРРРРРАААААААААААААААААА

Пасибо огромнейшее за циферки помогло)))16342131 еще раз спасибо друг респект тебе