<Drive name for removable media>:\b13d88-readme.txt
<Drive name for removable media>:\ovp25012015.doc
<Drive name for removable media>:\holycrosschurchinstructions.docx
<Drive name for removable media>:\february_catalogue__2015.doc
<Drive name for removable media>:\excel_example.xls
<Drive name for removable media>:\waterresourcesag.pptx
Malicious functions
Injects code into
the following system processes:
%WINDIR%\explorer.exe
Reads files which store third party applications passwords
%HOMEPATH%\desktop\000814251_video_01.avi
%HOMEPATH%\desktop\64bit_notes.htm
%HOMEPATH%\desktop\aoc_saq_d_v3_merchant.docx
%HOMEPATH%\desktop\dashborder_120.bmp
%HOMEPATH%\desktop\dashborder_192.bmp
%HOMEPATH%\desktop\default.bmp
%HOMEPATH%\desktop\fi51.doc
%HOMEPATH%\desktop\hanni_umami_chapter.doc
%HOMEPATH%\desktop\lisp_success.doc
%HOMEPATH%\desktop\nwfieldnotes1966.docx
%HOMEPATH%\desktop\sdszfo.docx
%HOMEPATH%\desktop\split.avi
%HOMEPATH%\desktop\thlps_keeper_mayer_1965.docx
%HOMEPATH%\desktop\tileimage.bmp
%HOMEPATH%\desktop\toolbar.bmp
Modifies file system
Creates the following files
%TEMP%\ojpwtm1k.0.cs
%TEMP%\ojpwtm1k.cmdline
%TEMP%\ojpwtm1k.out
%TEMP%\cscd50a.tmp
%TEMP%\resd51a.tmp
%TEMP%\ojpwtm1k.dll
%TEMP%\cf2dprop.0.cs
%TEMP%\cf2dprop.cmdline
%TEMP%\cf2dprop.out
%TEMP%\cscd72c.tmp
%TEMP%\resd72d.tmp
%TEMP%\cf2dprop.dll
C:\far2\b13d88-readme.txt
D:\b13d88-readme.txt
Deletes the following files
%TEMP%\resd51a.tmp
%TEMP%\cscd50a.tmp
%TEMP%\ojpwtm1k.dll
%TEMP%\ojpwtm1k.cmdline
%TEMP%\ojpwtm1k.out
%TEMP%\ojpwtm1k.pdb
%TEMP%\ojpwtm1k.0.cs
%TEMP%\resd72d.tmp
%TEMP%\cscd72c.tmp
%TEMP%\cf2dprop.dll
%TEMP%\cf2dprop.out
%TEMP%\cf2dprop.cmdline
%TEMP%\cf2dprop.pdb
%TEMP%\cf2dprop.0.cs
Moves the following files
from %ProgramFiles%\microsoft office\document themes 14\adjacency.thmx to %ProgramFiles%\microsoft office\document themes 14\adjacency.thmx.b13d88
from %ProgramFiles(x86)%\adobe\acrobat reader dc\reader\agmgpuoptin.ini to %ProgramFiles(x86)%\adobe\acrobat reader dc\reader\agmgpuoptin.ini.b13d88
from %APPDATA%\telegram desktop\log.txt to %APPDATA%\telegram desktop\log.txt.b13d88
from %ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrocef\cef_100_percent.pak to %ProgramFiles(x86)%\adobe\acrobat reader dc\reader\acrocef\cef_100_percent.pak.b13d88
Modifies user data files (Trojan.Encoder).
Changes user data files extensions (Trojan.Encoder).
В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.
Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
выключите устройство и включите его в обычном режиме.
Подальший перегляд даного сайта означає, що Ви погоджуєтесь на використання нами cookie-файлів та інших технологій збору статистичних відомостей про відвідувачів. Докладніше