Здравствуйте! У меня беда, что вообще беда. Гос. орган, гос. ресурс, работает как по локальной в пределах гос. органа, так и через инет везде. На некоторых машинах, при открытии этого ресурса, перенаправляет на порно-сайт. Хост посмотрел, там вроде ничего такого не прописано, по крайней мере не видно. Подскажите, пожалуйста, что это такое и как бороться. Спасибо.

Добрый день. Для анализа необходимы логи
http://forum.oszone.net/thread-98169.html

Прикрепляю.

Программу
KNP Plugin [20170524]-->"C:\Program Files\KNP Plugin\unins000.exe"

устанавливали самостоятельно?

Sandor,
Да, это плагин для работы на сайте, где налоговые декларации сдают. Раньше через java было, теперь вот это.

Пофиксите в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

O22 - Task (Job): (Not scheduled) At1.job - C:\Windows\system32\rundll32.exe aaxeuix.c,htwbk
O22 - Task: At1 - C:\Windows\system32\rundll32.exe aaxeuix.c,htwbk


Затем:

Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Наши наблюдения, может, они облегчат задачу:
1. Перенаправляет не только с одного ресурса, а с нескольких. Как минимум с двух. Второй ресурс тоже малоизвестен, не какой-нибудь youtube, например.
2. После удаления истории браузера проблема исчезает.

На момент отправки логов на моём компе этой проблемы уже скорее всего не было.

Высылаю логи до отчистки истории с компа коллеги. По Вашей инструкции в AdwCleaner у него эти строки отсутствуют, потому ничего не фиксили.

Мы работаем по принципу: один компьютер - одна тема, во избежание путаницы.

Отчет сканирования AdwCleaner с первого (исходного) компьютера покажите.

Прикрепил.

1.
Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:

Сбросить политики IE
Сбросить политики Chrome

В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

2.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Прикрепил.

Если в Mozilla наблюдаете проблемы, сделайте Сброс настроек FireFox. (https://support.mozilla.org/ru/kb/sbros-firefox-lyogkoe-reshenie-bolshinstva-problem)

В завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Sandor,
На моём компе (который Вы сейчас смотрите) Мозиллу не использую, только Хром. Удаление истории и прочего, как и писал ранее, проблему решает, вне зависимости от браузера. Вопрос в том, что это такое, откуда взялось, не появится ли снова.

Security Check.txt прикрепил.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления (http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages)
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления (http://www.7-zip.org/download.html)
^Удалите старую версию, скачайте и установите новую.^
TeamViewer 11 v.11.0.64630 Внимание! Скачать обновления (http://www.teamviewer.com/ru/download/windows/)
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html)
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
Java SE Development Kit 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html)
^Удалите старую версию и установите новую (jdk-8u162-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.44 Внимание! Скачать обновления (http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe)
^Удалите старую версию (https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html) и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Reader X (10.1.0) - Russian v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC (http://get.adobe.com/ru/reader/otherversions/).
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления (https://www.mozilla.org/ru/firefox/new/)
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
The Bat! Professional v5.4 v.5.4.0.0 Внимание! Скачать обновления (http://www.ritlabs.com/ru/products/thebat/download.php)


Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

не появится ли снова »
Тема не закрывается. Сообщите, если появится.

Теперь куда бы я не нажал здесь: на переход в тему, в форму ответа и т.д. Перенаправляет на дополнительной вкладке или открывает прям в этой различные 1xBet, Binomo, Crypto Boom.

В каком браузере?

Sandor,
В Хроме.

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Два расширения: Google документы офлайн, Документы. Отключил. Ничего не изменилось.

Сделайте Сброс настроек браузера Chrome (https://support.google.com/chrome/answer/3296214).