Google Redirect Virus – Ръководство за ръчно премахване стъпка по стъпка

Имате(Are) ли проблеми с вашия уеб браузър, който автоматично се пренасочва към странни и подозрително изглеждащи уебсайтове? Тези пренасочвания насочват ли(Are) основно към сайт за електронна търговия, сайтове за хазарт? Имате ли много изскачащи прозорци, показващи рекламно съдържание? Има вероятност да имате вирус за пренасочване на Google(Google Redirect Virus) .

Вирусът за пренасочване на Google(Google) е една от най-досадните, опасни и най-тежки инфекции, пускани някога в интернет. Зловредният софтуер може да не се счита за смъртоносен, тъй като наличието на тази инфекция няма да срине компютъра ви и да го направи безполезен. Но се смята за досадно, отколкото за смъртоносно, поради нежеланите пренасочвания и изскачащи прозорци, които могат да разочароват всеки безкрайно.

Вирусът за пренасочване на Google(Google) не само пренасочва резултатите от Google , но е в състояние да пренасочва и резултатите от търсенето в Yahoo и Bing . Така че не се учудвайте да чуете  Yahoo Redirect Virus  или  Bing Redirect Virus . Зловредният софтуер също така заразява всеки браузър, включително Chrome , Internet Explorer , Firefox и т.н. Тъй като Google Chrome е най-използваният браузър, някои го наричат ​​Google Chrome Redirect virus въз основа на браузъра, който пренасочва. Наскоро  злонамерен софтуер(malware)кодери модифицираха своите кодове, за да създадат вариации, за да избегнат лесното откриване от софтуера за сигурност. Някои скорошни вариации са  Nginx Redirect Virus,  Happili Redirect Virus и(Happili Redirect Virus,)  др. Всички тези инфекции попадат под вирус за пренасочване, но вариации в кодовете и начина на атака.

Според доклад от 2016 г., вирусът за пренасочване на Google вече е заразил повече от 60 милиона компютри, от които 1/3 е от САЩ. От май 2016(May 2016) г. инфекцията изглежда се е върнала с нарастващ брой съобщени случаи.

Премахнете ръчно вируса за пренасочване на Google

Защо Google Redirect Virus е труден за премахване?

Google Redirect Virus е руткит, а не вирус. Руткитът се свързва с някои от важните услуги на Windows, които го карат да работи като файл на операционната система. Това затруднява идентифицирането на заразения файл или код. Дори и да идентифицирате файла, е трудно да го изтриете, тъй като файлът се изпълнява като част от файл на операционната система. Зловредният софтуер е кодиран по такъв начин, че от време на време създава различни варианти от един и същ код. Това затруднява софтуера за сигурност да улови кода и да пусне корекция за сигурност. Дори и да успеят да създадат кръпка, тя става неефективна, ако злонамереният софтуер отново атакува, който съдържа различен вариант.

Вирусът за пренасочване на Google(Google redirect virus) е труден за премахване поради способността му да се крие дълбоко в операционната система, както и способността му да премахва следи и следи от това как е попаднал в компютъра. След като влезе вътре, той се свързва с основните файлове на операционната система(System) , което го прави да изглежда като легитимен файл, работещ във фонов режим. Дори ако заразеният файл бъде открит, понякога е трудно да се премахне връзката му с файла на операционната система. Към момента нито един софтуер за сигурност на пазара не може да ви гарантира 100% защита от тази инфекция. Това обяснява защо компютърът ви се е заразил на първо място дори с инсталиран софтуер за сигурност.

Статията тук обяснява как да изберете и ръчно да премахнете вируса за пренасочване на Google . От гледна точка на техника това е най-ефективният метод срещу тази инфекция. Техниците, работещи за някои от най-големите марки софтуер за сигурност, сега следват същия метод. Прави се всеки опит урокът да бъде прост и лесен за следване.

Как да премахнете вируса за пренасочване на Google

1. Опитайте наличните онлайн инструменти или изберете професионален инструмент
(1. Try tools available online or go for a professional tool )На пазара има много инструменти за сигурност. Но нито един от тези инструменти не е разработен специално за премахване на вируса за пренасочване на Google. Въпреки че някои потребители успяха да премахнат инфекцията с помощта на един софтуер, същото може да не работи на друг компютър. Няколко в крайна сметка изпробват всички различни инструменти, които създават повече проблеми, като повредят файловете на операционната система и драйверите на устройството. Повечето от безплатните инструменти са трудни за доверие, тъй като имат репутация за повреда на файловете на операционната система и срива им. Така че направете резервно копие на важни данни, преди да опитате каквито и да е безплатни инструменти, за да сте по-сигурни. Можете също да получите помощ от специалисти, които са специализирани в премахването на тази инфекция. Не говоря за това да занесете компютъра си в технически магазин или да се обадите на екип за маниаци, което ви струва много пари. Споменах услуга, преди която можетеопитайте в краен случай.(try as a last resort.)

2. Опитайте да премахнете вируса за пренасочване на google ръчно(Try to remove google redirect virus manually)

Няма по-лесен начин за премахване на инфекция, освен да стартирате сканиране с помощта на софтуер и да го коригирате. Но ако софтуерът не успее да реши проблема, последното средство е да опитате да премахнете инфекцията ръчно. Методите за ръчно премахване отнемат време и някои от вас може да се затруднят да следват инструкциите поради техния технически характер. Този метод е много ефективен, но неспазването на инструкциите или възможността за човешка грешка при идентифицирането на заразения файл може да направи вашите усилия неефективни. За да улесня всички да го следват, създадох видеоклип стъпка по стъпка, обясняващ подробности. Той показва същите точни стъпки, използвани от експертите по премахване на вируси за ръчно премахване на вирусна инфекция. Можете да намерите видеото в края на тази публикация.

Стъпки за отстраняване на неизправности за ръчно премахване на Google Redirect Virus

За разлика от повечето инфекции, в случая на Google Redirect Virus ще намерите само един или два файла, които са свързани с инфекцията. Но ако инфекцията се игнорира първоначално, броят на заразените файлове изглежда нараства за определен период от време. Така че по-добре се отървете от инфекцията веднага щом откриете проблеми с пренасочването. Следвайте методите за отстраняване на неизправности, посочени по-долу, за да се отървете от вируса за пренасочване на Google . Има и видео по-долу.

1. Активирайте скритите файлове, като отворите Опции на папката(1. Enable hidden files by opening Folder Options)

Файловете на операционната система са скрити по подразбиране, за да се предотврати случайно изтриване. Заразените файлове се опитват да се скрият сред файловете на ОС. Затова се препоръчва да разкриете всички скрити файлове, преди да започнете да отстранявате неизправности:

  • Натиснете клавиша Windows + R, за да отворите   прозореца за изпълнение(Run)
  • Въведете  Контролни папки(Control folders)
  • Щракнете върху  раздела  Преглед( View)
  • Активирайте показване на скрити файлове, папки и устройства(show hidden files, folders and drives)
  • Премахнете отметката за скриване на разширенията за известни типове файлове(hide extensions for known file types)
  • Премахнете отметката за скриване на защитените файлове на операционната система(hide protected operating system files)

2. Отворете Msconfig(2. Open Msconfig)

Използвайте инструмента MSConfig , за да активирате файла за стартиране.

  1. Отворете   прозореца за изпълнение(Run)
  2. Въведете  msconfig
  3. Щракнете върху  раздела Boot  , ако използвате Windows 10 , 8 или 7. Когато използвате Win XP , изберете   раздела boot.ini
  4. проверете  bootlog  , за да го активирате
  5. Щракнете върху  Приложи(Apply)  и щракнете върху  OK

Файлът за стартиране е необходим само в последната стъпка.

3. Рестартирайте компютъра(3. Restart Computer)

Рестартирайте компютъра, за да се уверите, че направените от вас промени са приложени. (При рестартиране на компютъра се създава файл ntbttxt.log, който се обсъжда по-късно в стъпките за отстраняване на неизправности).

4. Направете пълна оптимизация на IE(4. Do a Complete IE optimization)

Оптимизацията на Internet(Internet) Explorer се извършва, за да се гарантира, че пренасочването не е причинено от проблем в уеб браузъра или повредени интернет настройки, които свързват браузъра онлайн. Ако оптимизацията е извършена правилно, настройките на браузъра и интернет се връщат обратно към първоначалните настройки по подразбиране.

Забележка:(Note:) Някои от интернет настройките, открити по време на оптимизацията на IE, са общи за всички браузъри. Така че, няма значение дали използвате Chrome , Firefox , Opera и т.н., все пак се препоръчва да направите оптимизация на IE.

5. Проверете диспечера на устройствата(5. Check Device Manager)

Device Manager е инструмент на Windows, който изброява всички устройства във вашия компютър. Някои инфекции са способни да скрият скрити устройства, които могат да се използват за атака на зловреден софтуер. Проверете(Check) диспечера на устройства, за да намерите заразени записи.

  1. Отворете   прозореца за изпълнение (клавиш Windows + R)(Run)
  2. Въведете  devmgmt.msc
  3. Щракнете върху   раздела Изглед в горната част(View)
  4. Изберете показване  на скритите устройства(hidden devices)
  5. Потърсете  драйвери без Plug and Play(non-plug and play drivers) . Разгънете го, за да видите целия списък под опция.
  6. Проверете(Check) за всеки запис TDSSserv.sys . Ако нямате записа, потърсете други записи, които изглеждат подозрителни. Ако не можете да решите дали даден запис е добър или лош, потърсете в Google името, за да разберете дали е истинско.

Ако се установи, че записът е заразен, щракнете с десния бутон върху него и след това щракнете върху деинсталиране(click uninstall) . След като деинсталирането приключи, все още не рестартирайте компютъра. Продължете с отстраняването на неизправности без рестартиране.

6. Проверете системния регистър(6. Check Registry)

Проверете за заразения файл в системния регистър:

  1. Отворете   прозореца за изпълнение(Run)
  2. Въведете  regedit  , за да отворите редактора на системния регистър
  3. Щракнете върху  Редактиране(Edit)  >  Намери(Find)
  4. Въведете(Enter) името на инфекцията. Ако е дълъг, въведете първите няколко букви от заразения запис
  5. Щракнете(Click) върху редактиране -> намерете. Въведете първите няколко букви от името на инфекцията. В този случай използвах TDSS и потърсих всякакви записи, започващи с тези букви. Всеки път, когато има запис, започващ с TDSS , той показва записа отляво и стойността от дясната страна.
  6. Ако има само запис, но не е споменато местоположението на файла, изтрийте го директно. Продължете(Continue) да търсите следващия запис с TDSS
  7. Следващото търсене ме отведе до запис, който получи подробности за местоположението на файла вдясно, който казва C:WindowsSystem32 TDSSmain.dll . Трябва да използвате тази информация. Отворете папка C:WindowsSystem32, намерете и изтрийте TDSSmain.dll , споменат тук.
  8. Да приемем, че не сте успели да намерите файла TDSSmain.dll в C:WindowsSystem32. Това показва, че записът е супер скрит. Трябва да премахнете файла с помощта на командния ред. Просто(Just) използвайте командата, за да го премахнете. от C:WindowsSystem32 TDSSmain.dll
  9. Повторете същото, докато не бъдат премахнати всички записи в системния регистър, започващи с TDSS . Уверете(Make) се, че тези записи сочат към някой файл в папката, премахнете го директно или с помощта на командния ред.

Да приемем, че не сте успели да намерите TDSSserv.sys вътре в скрити устройства под диспечера на устройства, след това преминете към Стъпка 7.(Assume that you were not able to find TDSSserv.sys inside hidden devices under device manager, then go to Step 7.)

7. Проверете регистрационния файл ntbtlog.txt за повреден файл(7. Check ntbtlog.txt log for corrupted file)

Като направите стъпка 2, в C:Windows се генерира регистрационен файл, наречен ntbtlog.txt. Това е малък текстов файл, съдържащ много записи, който може да се простира до повече от 100 страници, ако направите разпечатка. Трябва да превъртите бавно надолу и да проверите дали имате запис TDSSserv.sys , който показва, че има инфекция. Следвайте стъпките, посочени в Стъпка 6(Step 6) .

В гореспоменатия случай споменах само за TDSSserv.sys , но има и други видове руткити, които нанасят същите щети. Нека се погрижим за 2 записа H8SRTnfvywoxwtx.sys и _VOIDaabmetnqbf.sys, изброени в диспечера на устройства в компютъра на моя приятел. Логиката зад разбирането дали това е опасен файл или не е основно от тяхното име. Това име няма смисъл и не мисля, че някоя уважаваща себе си компания ще даде такова име на своите файлове. Тук използвах първите няколко букви H8SRT и _VOID и направих стъпките, споменати в стъпка 6(Step 6) , за да премахна заразения файл. (Моля, обърнете внимание: H8SRTnfvywoxwtx.sys и _VOIDaabmetnqbf.sys са само пример. Повредените файлове могат да бъдат с произволно име, но ще бъдат лесни за разпознаване поради дългото име на файла и наличието на произволни числа и азбуки в името(Please Note: H8SRTnfvywoxwtx.sys and _VOIDaabmetnqbf.sys are just an example. The corrupted files can come in any name, but it will be easy to recognize because of the long file name and the presence of random numbers and alphabets in the name) .)

Моля, опитайте тези стъпки на свой собствен риск. стъпките, споменати по-горе, няма да сринат компютъра ви. Но за да сте по-сигурни, по-добре е да направите резервно копие на важни файлове и да се уверите, че имате възможност да поправите или преинсталирате операционната система с помощта на OS диск.

Някои потребители може да намерят споменатото тук отстраняване на неизправности за сложно. Нека си го кажем, самата инфекция е сложна и дори експертите се борят, за да се отърват от тази инфекция.

Препоръчително: (Recommended:) Как да премахнете вирус от телефон с Android(How to Remove a Virus from an Android Phone)

Вече имате ясни инструкции, включително ръководство стъпка по стъпка как да се отървете от вируса за пренасочване на Google . Освен това знаете какво да направите, ако това не се получи. Вземете действия непосредствено преди инфекцията да се разпространи в повече файлове и да направи компютъра неизползваем. Споделете този урок, тъй като има огромна разлика за някой, който се сблъсква със същия проблем.



About the author

След близо 20 години в технологичната индустрия научих много за продуктите на Apple и как да ги персонализирам за моите нужди. По-конкретно, знам как да използвам платформата iOS, за да създавам персонализирани изяви и да взаимодействам с моите потребители чрез предпочитания за приложения. Този опит ми даде ценна представа за това как Apple проектира своите продукти и как най-добре да подобри тяхното потребителско изживяване.



Related posts