Появилась папка GnomebeatByvafe, процесс не удается остановить, устанавливаются сторонние приложения

[WARD]

Добрый день! Собственно суть проблемы - при установке бесплатной программы по работе с образами CD/DVD отклонил установку всех партнерских приложений - opera, какого-то антивируса и тд, однако приложения все равно позже установились фоном. В установке и удалении приложений пропала сортировка по датам, приложения удалил, так же почистил AppData, но все равно некоторые снова устанавливаются. Нашел подозрительную папку в Program Files (x86) - GnomebeatByvafe, с exe файлом такого же имени. Процесс ни командной строкой, ни через диспетчер задач не останавливается, что не позволяет удалить папку. Родной антивирус Windows молчит. Лог прикрепил.

[Info_bot]

Уважаемый(ая) WARD, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\gnomebeatbyvafe\gnomebeatbyvafe.exe');
 StopService('GnomebeatByvafe');
 QuarantineFile('c:\program files (x86)\gnomebeatbyvafe\gnomebeatbyvafe.exe', '');
 QuarantineFileF('c:\program files (x86)\gnomebeatbyvafe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\program files (x86)\gnomebeatbyvafe\gnomebeatbyvafe.exe', '');
 DeleteFile('C:\Program Files (x86)\GnomebeatByvafe\GnomebeatByvafe.exe', '64');
 DeleteService('GnomebeatByvafe');
 DeleteFileMask('c:\program files (x86)\gnomebeatbyvafe', '*', true);
 DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
 DeleteDirectory('c:\program files (x86)\gnomebeatbyvafe');
 DeleteDirectory('c:\program files (x86)\lavasoft');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Tasks_Migrated: \ASUS\ArmourySocketServer - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ArmourySocketServer\ArmourySocketServer.exe (file missing)
O22 - Tasks_Migrated: \ASUS\ASUSUpdateTaskMachineCore1d5f891218d14a7 - C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe /c (file missing)
O22 - Tasks_Migrated: \ASUS\ASUSUpdateTaskMachineUA - C:\Program Files (x86)\ASUS\Update\AsusUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks_Migrated: \ASUS\Framework Service - C:\Program Files (x86)\ASUS\ArmouryDevice\asus_framework.exe (file missing)
O22 - Tasks_Migrated: \ASUS\P508PowerAgent_sdk - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask - C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2101.9-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2101.9-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2101.9-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2101.9-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).