Встречаюсь не первый раз с этим вирусом , основные действия замена криптоадресов в буфере обмена после копирования ! Будьте Аккуратны и внимательны !
Основные пути где я его находил , именуется в диспетчере под именем ( KBDNO1.exe )
C:\Users\Aser\AppData\Roaming\amd64_microsoft-windows-srh.resources\KBDNO1.exe Trojan.Win32.Masqulab.hskzyh
c:\users\aser\appdata\roaming\amd64_microsoft-windows-srh.resources\kbdno1.exe Trojan.Win32.Masqulab.hskzyh
Антивирус использовал Гризли , так не удаляется нету типо прав админа , можно по пробовать убить через безопасный режим !
Ещё прогу использовал Process Hacker 3.0.7640.3113 Rus