Помогите, подозрение на ратник, или что еще

**crazyvlad** · 12.07.2020, 20:45

Доброго времени суток, несколько дней назад заметил что Яндекс браузер начал закрываться сам, при серфинге в нете, бывало несколько раз, бывало раз в сутки, сегодня вечером к этому добавилось самопроизвольное открытие видео скачанных через него, которые были удаленны из загрузок, есть подозрение что какой-то ратник или еще что, других аномалий замечено не было, благодарю за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.07.2020, 20:47

Уважаемый(ая) crazyvlad, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 12.07.2020, 21:32

Ничего плохого.

Удалите в браузере неиспользуемые расширения, удалите куки и кэш.

**crazyvlad** · 13.07.2020, 17:54

спасибо за Ваш ответ, еще один вопрос, как и почемуу, MPC плеер открывает скачанное (последнее) видео сам по себе? никаких хоткеев нет, клавиатура и мышь исправна, создал тему потому, что это появилось одновременно, кэш и куки чистил пару дней назад, спасибо за ответ

- - - - -Добавлено - - - - -

и еще один вопрос, сейчас при сбросе настроек роутера, высветилась вкладка с моим провайдером (авторизация по МАКУ) , сравнив его с адресом своего роутера понял, что мак на этой вкладке не моего роутера, позвонив в тех.поддержку, мне сказали что у меня на линии, числится 2 Мак адреса, и по мак вендору этот левый мак не бьется, при этом дамочка начала мне рассказывать, что при замене роутера такое может быть, роутер я не менял с момента подключения провайдера, это может быть как-то связанно с моей проблемой? жду звонка девушки с тех.поддержки

**Vvvyg** · 13.07.2020, 18:54

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**crazyvlad** · 13.07.2020, 19:22

Добрый вечер, прикрепил

**Vvvyg** · 13.07.2020, 20:38

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {064D7CC8-39D7-4C4E-B02A-4D35BE42F5C7} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {0AB87440-79DD-492E-918F-2348D4F801DE} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {13F080C7-DC9C-48A2-8681-4160B0E314A3} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {1CD02B8F-7ADA-49DE-8B29-FACBA2955195} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {2711B643-46E7-40D5-9882-C44CB0449070} - System32\Tasks\CCleanerSkipUAC => E:\Program Files (x86)\CCleaner\CCleaner.exe
Task: {40336274-B80F-46DC-BABD-A271F0FB7A68} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {43F0963C-C214-489A-ADE2-6F29028498EE} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {486D715E-6AA2-44CF-BC48-B6990CBB53C6} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControlsMigration => {343D770D-7788-47C2-B62A-B7C4CED925CB}
Task: {4DB2685F-A235-444B-9290-2865F2066D05} - System32\Tasks\Microsoft\Windows\SideShow\AutoWake => {E51DFD48-AA36-4B45-BB52-E831F02E8316}
Task: {53BF3F9A-113F-4B96-A489-D53A1DC75340} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {5B42DD9C-5A26-4F27-BB95-34603F0997E5} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControls => {DFA14C43-F385-4170-99CC-1B7765FA0E4A}
Task: {617DA5BC-EFFE-4DCB-8152-A67568F5A238} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
Task: {7111A456-6315-4A18-AD08-9116C1FF9A79} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {759A0241-29EF-4306-8818-2154428D3CC2} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {769E726C-B45B-4F89-A7AA-CEC8D55EAD2E} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {80CDE430-CF1D-42FB-B4A3-7BF4DAEDA0A7} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {830F50BF-B162-469F-BDD5-A7E6E14FE332} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {89A83785-EAA8-4EA1-AED7-C57D7A2CD98B} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {8FF520CE-4CC3-468B-B0D1-F4CED13AA7E1} - System32\Tasks\Microsoft\Windows\SideShow\SystemDataProviders => {7CCA6768-8373-4D28-8876-83E8B4E3A969}
Task: {80CDE430-CF1D-42FB-B4A3-7BF4DAEDA0A7} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {830F50BF-B162-469F-BDD5-A7E6E14FE332} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {89A83785-EAA8-4EA1-AED7-C57D7A2CD98B} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {8FF520CE-4CC3-468B-B0D1-F4CED13AA7E1} - System32\Tasks\Microsoft\Windows\SideShow\SystemDataProviders => {7CCA6768-8373-4D28-8876-83E8B4E3A969}
Task: {A7322C87-62EF-4B4F-83EA-3C672326E0FC} - System32\Tasks\Microsoft\Windows\MobilePC\HotStart => {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}
Task: {B0CBAB43-44FC-469B-A4CE-87426761FDCE} - System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor => {EA9155A3-8A39-40B4-8963-D3C761B18371}
Task: {C14E0B5C-3633-4537-AAE7-CE6F2128B5AA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {C2D8589B-5E57-4C09-B397-08949A991E85} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {C4286C08-FBD7-4DFC-8D65-83E203535F8B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {D3C8E899-801B-429B-8770-F159BFC2B0C4} - System32\Tasks\Microsoft\Windows\SideShow\GadgetManager => {FF87090D-4A9A-4F47-879B-29A80C355D61}
Task: {DADD7DB1-6BAA-4EA0-931C-31929A821843} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {DAF47F94-F1B0-4349-BA37-C83B5B4752E2} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {E39699B1-BFA1-4E12-A03A-B39CE1F8D3EA} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {EA14BB33-11D8-45DB-A757-54CD4D750F17} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {FE85B24C-081E-420C-8C6B-5B60F389EFB5} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
EmptyTemp:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Смущает детект "Защитника":

Date: 2020-07-11 15:02:33.9220000Z
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?lin...4&enterprise=0
Имя: Behavior:Win32/Cerber.gen!A!rsm
ИД: 2147719574
Серьезность: Критический
Категория: Программа-шантажист
Путь: behavior:_pid:12940:51349617042322; process:_pid:12940
Начало обнаружения: Неизвестно
Тип обнаружения: Конкретный
Источник обнаружения: Неизвестно

Это, собственно, не вирус, а предупреждение о посещении нехороших сайтов. Куки/кэш в Яндекс браузере чистили, как я просил?

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**crazyvlad** · 13.07.2020, 20:59

1) из нехороших сайтов мог посещать, только сайты для поиска казуалок, поиск предметов и т.д, скачивал пару экзешников таких игр через торрент, пару по прямой ссылке, после установки удалял, около недели назад, по сути кроме коротких видюшек и картинок/фото больше ничего не качаю
2) кэш, куки почищены перед выполнением скриптов
3) по времени этих детектов, похоже на время закрытия браузера, самопроизвольного открывания видео
Логи прикрепил, спасибо

**Vvvyg** · 13.07.2020, 22:38

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Yandex v.20.7.0.894 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Обновите браузер, и всё на этом.

**crazyvlad** · 14.07.2020, 08:09

Спасибо, то есть как я понимаю все чисто было, только мусор удалили?

**Vvvyg** · 14.07.2020, 10:22

Да, именно так.

**crazyvlad** · 14.07.2020, 16:47

Все выполнил, спасибо большое за помощь, тему можно закрывать

Помогите, подозрение на ратник, или что еще (заявка № 225326)

Опции темы