Перенаправление на порно-сайт
 

Здравствуйте! У меня беда, что вообще беда. Гос. орган, гос. ресурс, работает как по локальной в пределах гос. органа, так и через инет везде. На некоторых машинах, при открытии этого ресурса, перенаправляет на порно-сайт. Хост посмотрел, там вроде ничего такого не прописано, по крайней мере не видно. Подскажите, пожалуйста, что это такое и как бороться. Спасибо.

Добрый день. Для анализа необходимы логи
http://forum.oszone.net/thread-98169.html

Прикрепляю.

Программу
устанавливали самостоятельно?

Sandor,
Да, это плагин для работы на сайте, где налоговые декларации сдают. Раньше через java было, теперь вот это.

Пофиксите в HijackThis следующие строчки:
Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Наши наблюдения, может, они облегчат задачу:
1. Перенаправляет не только с одного ресурса, а с нескольких. Как минимум с двух. Второй ресурс тоже малоизвестен, не какой-нибудь youtube, например.
2. После удаления истории браузера проблема исчезает.

На момент отправки логов на моём компе этой проблемы уже скорее всего не было.

Высылаю логи до отчистки истории с компа коллеги. По Вашей инструкции в AdwCleaner у него эти строки отсутствуют, потому ничего не фиксили.

Мы работаем по принципу: один компьютер - одна тема, во избежание путаницы.

Отчет сканирования AdwCleaner с первого (исходного) компьютера покажите.

Прикрепил.

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Прикрепил.

Если в Mozilla наблюдаете проблемы, сделайте Сброс настроек FireFox.

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Sandor,
На моём компе (который Вы сейчас смотрите) Мозиллу не использую, только Хром. Удаление истории и прочего, как и писал ранее, проблему решает, вне зависимости от браузера. Вопрос в том, что это такое, откуда взялось, не появится ли снова.

Security Check.txt прикрепил.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer 11 v.11.0.64630 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
Java SE Development Kit 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u162-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 12 ActiveX & Plugin 64-bit v.12.0.0.44 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Reader X (10.1.0) - Russian v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
The Bat! Professional v5.4 v.5.4.0.0 Внимание! Скачать обновления


Рекомендации после лечения.

Тема не закрывается. Сообщите, если появится.

Теперь куда бы я не нажал здесь: на переход в тему, в форму ответа и т.д. Перенаправляет на дополнительной вкладке или открывает прям в этой различные 1xBet, Binomo, Crypto Boom.

В каком браузере?

Sandor,
В Хроме.

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Два расширения: Google документы офлайн, Документы. Отключил. Ничего не изменилось.

Сделайте Сброс настроек браузера Chrome.

Sandor,
Не помогло.

Сделаем расширенный сброс.
1. Отключите синхронизацию в Chrome, (если включена).
2. Сделайте Сброс настроек браузера Chrome.
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome
Убедитесь, что удалена папка
4. Скачайте и установите Хром заново. В аккаунт пока не входите и проверьте.

Sandor,
Не помогло.

Это походу уже здесь кто-то балуется.

Поясните.

Sandor,
Изначально у меня такой проблемы не было. Я выкладываю сюда логи и спустя какое-то время начинается такое и именно здесь. Вы извините, конечно, но часто можно видеть грубые ответы и здесь, и в любом другом месте. Часто не без оснований. Понятно, что глупость может раздражать. И вот Вы может быть решили таким образом со мной поиграть.

Или, может быть, кто-то, кто так развлекается мониторит этот раздел, увидел логи и тоже решил поиграть. Не зря же здесь предупреждение, что не принимайте советов в ЛС и дан список уже известных людей.

Мне бы и в страшном сне такое не пришло бы в голову ))

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

Sandor,
Что все эти логи дают? Какого рода информация в них отображается? Как её можно использовать?

Мы ведь с Вами пытаемся вылечить систему, верно? Для этого и нужны.
Поскольку не удалось это сделать быстро, пробуем разные утилиты.

Здравствуйте! Возобновилась проблема и в этот раз очистка браузера не помогает. Ещё раз опишу:

Есть гос орган, расположен он в нескольких зданиях, и есть интернет ресурс этого гос органа. В зданиях он доступен без подключения к интернету, для всего населения доступ идёт через интернет. В нашем здании на компьютерах, на которых есть доступ в интернет через прокси, с этого ресурса перенаправляет на порно сайт. В других зданиях говорят такой проблемы нет, говорят, сам не проверял. У нас проблема наблюдается на всех компьютера сразу, во всех браузерах, это: эксплорер, мозилла, хром. Стоит отключить в браузере прокси, ресурс начинает работать нормально, без перенаправления. Стоит прокси включить, всё, идёт перенаправление. В браузере в прокси он прописан в исключениях, оба раза подключение идёт по локалке, просто в одном на комп подан инет, в другом нет. У нас антивирусы Eset и Доктор Веб, проблема наблюдается и там, и там одинаково. Пробовал удалять браузер, удалял файлы моззилы из папки %appdata% и в roaming, и в local. Не помогло. Прикрепляю все логи всех программ, что здесь приводил Сандор, с машины на которой сейчас наблюдается проблема во всех браузерах, по умолчанию использую Хром. Спасибо.

Доступ к настройкам прокси у Вас есть?

Есть. Но прокси нужен.

Я подразумевал доступ к устройству, на котором поднят сам прокси - 10.96.7.70:8080

Sandor, да, я его и ставил, это user gate обычный. Только ip в вашем сообщении - это не наш, или это вы для примера указали?

Да, виноват. У вас:
Адрес правильный?

Да)

Смотрите внимательно его настройки.

Там же нет никаких настроек: ip, mac, имя. Пара фильтров.

Вот тогда, когда я писал в последний раз, это примерно месяц назад, оно два дня перенаправляло, на третий всё нормально стало, само.

Сейчас оно на некоторых машинах перенаправляет, на некоторых нет, на моей вот, например, нет.

С тех пор у нас уже появился новый антивир Касперский Endpoint Security.

И сейчас здесь у вас, как в тот раз, куда бы я не нажал, открываются новые вкладки.

Давайте свежий комплект логов с проблемной машины.

Sandor, благодарю за столь терпимое, последовательное внимание к вопросу. Поставил в качестве прокси другой компьютер - действительно помогло, специально ждал несколько месяцев, ситуация не повторяется.

Потому, если ты, гость, или зарегистрированный пользователь, читаешь эту тему, и в твоём здании всех тоже перенаправляет куда попало, попробуй перебить прокси, может помочь.