Pozostałości po yc.exe i przeglądarce Kometa

Dla specjalistów Bezpieczeństwo
#1

Witam
Wczoraj pozbywałem się z komputera w/w przeglądarki oraz trojana yc.exe.
Wydawało mi się, że usunąłem wszystko ale nadal otwierają się okna z reklamami w Chromie, albo na niektórych stronach mam baner z reklamą, a poczta w przeglądarce informuje o powodującym problemy dodatku.
Proszę o pomoc w pozbyciu się reszty syfu, załączam logi z FRST
FRST http://www.wklej.org/hash/e87e683a625/
Addition http://www.wklej.org/hash/e8aa876e107/
Shortcut http://www.wklej.org/hash/fbc9ca4dc2c/

Z góry dzięki

#2

W panelu sterowania odinstaluj setupsk, SIVApp, YoutubeAdBlock.

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).

Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.

#3

Odinstalowałem w/w, przeczyściłem AdwCleanerem. Problem nadal występuję, chociaż w mniejszym stopniu, czyli pozostają banery z reklamami i próby otwierania nowych kart
Daję logi z FRST
FRST http://www.wklej.org/hash/ac7be15fc44/
Addition http://www.wklej.org/hash/814ba28ad9d/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses:
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
Tcpip\..\Interfaces\{460018ed-b1a8-4150-9096-bc6648c5268f}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,192.168.1.1
Tcpip\..\Interfaces\{6a7942c6-c95b-476e-9c5c-a8b05555c4d2}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54
SearchScopes: HKU\S-1-5-21-2314809968-3040375305-778606018-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ws46sx19.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ws46sx19.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\ws46sx19.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=811013
FF Keyword.URL: Mozilla\Firefox\Profiles\ws46sx19.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B6A60020D-99CB-4B51-A09D-989317722BF8%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Aragorn\AppData\Roaming\Mozilla\Firefox\Profiles\ws46sx19.default\Extensions\homepage@mail.ru [2017-09-06]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Aragorn\AppData\Roaming\Mozilla\Firefox\Profiles\ws46sx19.default\Extensions\search@mail.ru [2017-09-06]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Aragorn\AppData\Roaming\Mozilla\Firefox\Profiles\ws46sx19.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-09-06]
CHR HomePage: Profile 1 -> inline.go.mail.ru
CHR StartupUrls: Profile 1 -> "hxxp://mail.ru/cnt/10445?gp=811009"
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
R2 Ea3Host; C:\WINDOWS\system32\Ea3Host.exe [969024 2017-09-06] ()
R2 SvcHost Service Host; C:\Windows\Microsoft\svchost.exe [0 ] () <==== UWAGA (zerobajtowy plik/folder)
2017-09-07 15:31 - 2017-09-07 15:34 - 000000000 ____D C:\AdwCleaner
2017-09-06 14:02 - 2017-09-06 14:02 - 000000000 ____D C:\Users\Aragorn\AppData\Roaming\curl
2017-09-06 14:00 - 2017-09-06 14:00 - 000969024 _____ C:\WINDOWS\system32\Ea3Host.exe
2017-09-06 13:59 - 2017-09-06 13:59 - 000000000 ____D C:\Users\Aragorn\AppData\Local\Chromium
2017-08-24 13:25 - 2017-08-24 13:25 - 000000350 _____ () C:\Program Files (x86)\Local Disk (C).lnk
2017-07-21 12:19 - 2017-07-21 12:19 - 000000003 _____ () C:\Users\Aragorn\AppData\Local\updater.log
2017-07-21 12:19 - 2017-07-21 12:19 - 000000425 _____ () C:\Users\Aragorn\AppData\Local\UserProducts.xml
Task: {1582C703-2441-4554-9A50-3E207ED91A7A} - System32\Tasks\setupsk => C:\Users\Aragorn\AppData\Roaming\setupsk\python\pythonw.exe <==== UWAGA
C:\Users\Aragorn\AppData\Roaming\setupsk
Task: {6A2049F9-44D2-4DAE-BC6C-9010205BEF0D} - System32\Tasks\curls => C:\Users\Aragorn\AppData\Roaming\curl\curl.exe <==== UWAGA
Task: {AE18F440-DCBA-482B-907E-2565B47DA3BD} - System32\Tasks\setupsk_upd => C:\Users\Aragorn\AppData\Roaming\SETUPS~1\python\pythonw.exe <==== UWAGA
C:\Users\Aragorn\AppData\Roaming\SETUPS~1
Task: {F9DDD525-324F-46A2-B5AE-C0706686CD08} - System32\Tasks\curl => C:\Users\Aragorn\AppData\Roaming\curl\curl_7_54.exe [2017-09-06] (curl, hxxps://curl.haxx.se/) <==== UWAGA
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
C:\Windows\Microsoft\svchost.exe
C:\Windows\Microsoft\svchost.exe.exe
Folder: C:\Windows\Microsoft
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

Raport z usuwania: http://www.wklej.org/hash/d94d38b5bd9/
FRST http://www.wklej.org/hash/3487c156f7b/

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

C:\Program Files\Common Files\McAfee
C:\Program Files (x86)\McAfee
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Przeczytaj w jaki sposób należy instalować programy: KLIK

#7

Wszystko wykonane według wskazówek, łącznie z punktami przywracania jednak coś musiało zostać, czasem blokuje mi się odpalanie gifów, na niektórych stronach nadal mam reklamy, dość monotematyczne, czasem przy kliknięciu pojawia się nowa karta tylko teraz nie pojawia się w niej reklama, jednak coś to otwarcie karty wymusza. Czy jest coś co jeszcze mogę zrobić?

#8
  1. Resetowanie synchronizacji Chrome
  2. Przywracanie ustawień domyślnych Chrome
  3. Zainstaluj uBlock: Firefox - Chrome - Opera