Присваивает атрибут 'скрытый' для следующих файлов
%WINDIR%\microsoft.net\framework\mscorsvws.exe
%WINDIR%\microsoft.net\framework\aspnet_wp.exe
%WINDIR%\microsoft.net\framework\etcomm.dll
%WINDIR%\help\helpsvc.exe
Удаляет следующие файлы
%PROGRAMDATA%\windows\system32\tapi3.dll
%PROGRAMDATA%\run.sct
%PROGRAMDATA%\output.tlb
%WINDIR%\microsoft.net\framework\etcomm
%WINDIR%\help\active_desktop_render.dll
%PROGRAMDATA%\ms15.exe
%PROGRAMDATA%\ms17.exe
%PROGRAMDATA%\ms18.exe
%PROGRAMDATA%\ms19.exe
%TEMP%\protect_proccess
Перемещает следующие файлы
%WINDIR%\microsoft.net\framework\etcomm.dll в %WINDIR%\microsoft.net\framework\etcomm
Подменяет следующие файлы
%WINDIR%\microsoft.net\framework\etcomm.dll
%WINDIR%\microsoft.net\framework\etcomm_new.dll
%WINDIR%\microsoft.net\framework\etcomm
%WINDIR%\help\active_desktop_render.dll
Сетевая активность
TCP
Запросы HTTP GET
http://sq#.#i7i.com/TQ.exe
http://sq#.#i7i.com/MSSQL.exe
http://4i##.com/11.exe
'po##.#sa-138.com':80
UDP
DNS ASK sq#.#i7i.com
DNS ASK 4i##.com
DNS ASK po##.#sa-138.com
Другое
Создает и запускает на исполнение
'%PROGRAMDATA%\tqo.exe'
'%PROGRAMDATA%\ms17.exe' 1
'%WINDIR%\cursors\trustedinsteller.exe' -a cryptonight -o stratum+tcp://pool.usa-138.com:80 -u 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S -p x
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Если Вы продолжите использование данного сайта, это означает, что Вы даете согласие на использование нами Cookie-файлов и иных технологий по сбору статистических сведений о посетителях. Подробнее