Google Redirect Virus – راهنمای گام به گام حذف دستی

آیا(Are) برای هدایت خودکار مرورگر وب خود به وب سایت های عجیب و غریب و مشکوک با مشکل مواجه هستید؟ آیا(Are) این تغییر مسیرها عمدتاً به سمت یک سایت تجارت الکترونیک، سایت های قمار اشاره می کنند؟ آیا پاپ آپ های زیادی برای نمایش محتوای تبلیغاتی دارید؟ این احتمال وجود دارد که شما یک ویروس ریدایرکت گوگل(Google Redirect Virus) داشته باشید .

ویروس ریدایرکت گوگل(Google) یکی از آزاردهنده ترین، خطرناک ترین و سخت ترین عفونت هایی است که تاکنون در اینترنت منتشر شده است. بدافزار ممکن است کشنده در نظر گرفته نشود، زیرا وجود این عفونت باعث از کار افتادن رایانه شما و بی فایده شدن آن نمی شود. اما به دلیل تغییر مسیرهای ناخواسته و پنجره های بازشو که ممکن است هر کسی را بی نهایت ناامید کند، آزاردهنده تلقی می شود تا مرگبار.

(Google)ویروس ریدایرکت گوگل نه تنها نتایج گوگل(Google) را تغییر مسیر می دهد، بلکه می تواند نتایج جستجوی یاهو(Yahoo) و بینگ(Bing) را نیز تغییر مسیر دهد. بنابراین از شنیدن یاهو ریدایرکت ویروس(Yahoo Redirect Virus)  یا  بینگ ریدایرکت ویروس(Bing Redirect Virus) تعجب نکنید  . این بدافزار همچنین هر مرورگری از جمله کروم(Chrome) ، اینترنت اکسپلورر(Internet Explorer) ، فایرفاکس(Firefox) و غیره را آلوده می‌کند. از آنجایی که Google Chrome پر استفاده‌ترین مرورگر است، برخی آن را بر اساس مرورگری که هدایت می‌کند، ویروس Google Chrome Redirect می‌نامند. (Google Chrome Redirect virus)اخیرا  بدافزار(malware)کدگذاران کدهای خود را تغییر دادند تا تغییراتی ایجاد کنند تا از تشخیص آسان نرم افزار امنیتی فرار کنند. برخی از تغییرات اخیر عبارتند از  Nginx Redirect Virus،  Happili Redirect Virus،  و غیره. همه این عفونت‌ها تحت ویروس تغییر مسیر قرار می‌گیرند، اما تفاوت در کدها و نحوه حمله.

طبق گزارشی در سال 2016، ویروس تغییر مسیر گوگل(Google) در حال حاضر بیش از 60 میلیون رایانه را آلوده کرده است که 1/3 از آنها متعلق به ایالات متحده است. از ماه مه 2016(May 2016) ، به نظر می رسد که عفونت با افزایش تعداد موارد گزارش شده بازگشته است.

Google Redirect Virus را به صورت دستی حذف کنید

چرا حذف Google Redirect Virus سخت است؟

Google Redirect Virus یک روت کیت است و یک ویروس نیست. روت کیت خود را با برخی از خدمات مهم ویندوز مرتبط می کند که باعث می شود مانند یک فایل سیستم عامل کار کند. این امر شناسایی فایل یا کد آلوده را دشوار می کند. حتی اگر فایل را شناسایی کنید، حذف فایل دشوار است زیرا فایل به عنوان بخشی از فایل سیستم عامل در حال اجرا است. این بدافزار به گونه ای کدگذاری شده است که هر از گاهی انواع مختلفی از یک کد ایجاد می کند. این امر باعث می‌شود نرم‌افزار امنیتی نتواند کد را دریافت کند و وصله امنیتی را منتشر کند. حتی اگر آنها موفق به ایجاد یک وصله شوند، اگر بدافزار دوباره حمله کند که شامل یک نوع متفاوت است، بی اثر می شود.

حذف ویروس ریدایرکت گوگل(Google redirect virus) به دلیل توانایی آن در مخفی شدن در اعماق سیستم عامل و همچنین توانایی آن در حذف ردپاها و ردپاهایی از نحوه ورودش به داخل کامپیوتر سخت است. هنگامی که داخل آن قرار می گیرد، خود را به فایل های اصلی سیستم(System) عامل متصل می کند که باعث می شود مانند یک فایل قانونی در حال اجرا در پس زمینه به نظر برسد. حتی اگر فایل آلوده شناسایی شود، گاهی اوقات حذف دلایل ارتباط آن با فایل سیستم عامل دشوار است. در حال حاضر، هیچ یک از نرم افزارهای امنیتی موجود در بازار نمی تواند محافظت 100٪ شما را در برابر این عفونت تضمین کند. این توضیح می دهد که چرا کامپیوتر شما در وهله اول حتی با نصب نرم افزار امنیتی آلوده شده است.

مقاله اینجا نحوه انتخاب دستی و حذف دستی ویروس تغییر مسیر گوگل را توضیح می دهد. (Google)از دیدگاه تکنسین، این موثرترین روش در برابر این عفونت است. تکنسین هایی که برای برخی از بزرگترین برندهای نرم افزار امنیتی کار می کنند اکنون از همین روش پیروی می کنند. تمام تلاش می شود تا آموزش ساده و قابل پیگیری باشد.

نحوه حذف ویروس ریدایرکت گوگل

1. ابزارهای موجود آنلاین را امتحان کنید یا به سراغ ابزارهای حرفه ای بروید
(1. Try tools available online or go for a professional tool )ابزارهای امنیتی زیادی در بازار موجود است. اما هیچ یک از این ابزارها به طور خاص برای حذف ویروس google redirect توسعه داده نشده اند. در حالی که برخی از کاربران در از بین بردن عفونت با استفاده از یک نرم افزار موفق بودند، ممکن است همان نرم افزار روی رایانه دیگری کار نکند. تعدادی در نهایت تمام ابزارهای مختلف را امتحان می کنند که با خراب کردن سیستم عامل و فایل های درایور دستگاه مشکلات بیشتری ایجاد می کند. به بسیاری از ابزارهای رایگان به سختی می توان اعتماد کرد زیرا به خراب کردن فایل های سیستم عامل و خراب کردن آنها شهرت دارند. بنابراین قبل از استفاده از ابزارهای رایگان از اطلاعات مهم یک نسخه پشتیبان تهیه کنید تا از امنیت بیشتری برخوردار باشید. همچنین می توانید از متخصصانی که در رفع این عفونت تخصص دارند کمک بگیرید. من در مورد بردن رایانه خود به یک فروشگاه فناوری یا تماس با تیم گیک که هزینه زیادی برای شما دارد صحبت نمی کنم. من خدمتی را ذکر کردم که قبل از آن می توانیدبه عنوان آخرین راه حل امتحان کنید(try as a last resort.)

2. سعی کنید ویروس google redirect را به صورت دستی حذف کنید(Try to remove google redirect virus manually)

هیچ راه ساده تری برای حذف عفونت وجود ندارد جز اجرای اسکن با استفاده از نرم افزار و رفع آن. اما اگر نرم افزار نتواند مشکل را برطرف کند، آخرین راه حل این است که سعی کنید عفونت را به صورت دستی از بین ببرید. روش‌های حذف دستی زمان‌بر هستند و ممکن است برای برخی از شما به دلیل ماهیت فنی آن، پیروی از دستورالعمل‌ها سخت باشد. این روش بسیار موثر است، اما عدم رعایت صحیح دستورالعمل ها یا احتمال خطای انسانی در شناسایی فایل آلوده می تواند تلاش شما را بی نتیجه کند. برای اینکه همه بتوانند آن را دنبال کنند، یک ویدیوی گام به گام ایجاد کردم که جزئیات را توضیح می دهد. این همان مراحل دقیقی را نشان می دهد که توسط کارشناسان حذف ویروس برای حذف عفونت ویروس به صورت دستی استفاده می شود. شما می توانید ویدیو را در انتهای این پست پیدا کنید.

مراحل عیب یابی حذف دستی ویروس گوگل ریدایرکت(Google Redirect Virus)

برخلاف اکثر عفونت‌ها، در مورد ویروس ریدایرکت گوگل(Google Redirect Virus) ، تنها یک یا دو فایل مرتبط با عفونت را خواهید یافت. اما اگر در ابتدا عفونت نادیده گرفته شود، به نظر می رسد تعداد فایل های آلوده در یک دوره زمانی افزایش می یابد. بنابراین بهتر است به محض مشاهده مشکلات تغییر مسیر، از شر عفونت خلاص شوید. برای خلاص شدن از شر ویروس ریدایرکت گوگل ، روش های عیب یابی ذکر شده در زیر را دنبال کنید. (Google)ویدیوی زیر هم هست.

1. با باز کردن Folder Options، فایل های مخفی را فعال کنید(1. Enable hidden files by opening Folder Options)

فایل های سیستم عامل به طور پیش فرض برای جلوگیری از حذف تصادفی مخفی هستند. فایل های آلوده سعی می کنند در بین فایل های سیستم عامل پنهان شوند. بنابراین توصیه می‌شود قبل از شروع عیب‌یابی، همه فایل‌های مخفی را باز کنید:

  • کلید Windows + R را برای باز کردن   پنجره اجرا فشار دهید(Run)
  • پوشه های Control را(Control folders) تایپ  کنید
  • روی  تب  View کلیک کنید( View)
  • نمایش فایل‌ها، پوشه‌ها و درایوهای پنهان را(show hidden files, folders and drives) فعال کنید
  • علامت پنهان کردن پسوندها برای انواع فایل های شناخته شده را بردارید(hide extensions for known file types)
  • علامت پنهان کردن فایل های سیستم عامل محافظت شده را بردارید(hide protected operating system files)

2. Msconfig را باز کنید(2. Open Msconfig)

از ابزار MSConfig برای فعال کردن فایل بوت‌لوگ استفاده کنید.

  1.  پنجره Run را(Run) باز  کنید
  2. msconfig را تایپ(msconfig) کنید 
  3.  اگر از ویندوز 10(Windows 10) ، 8 یا 7 استفاده می کنید، روی تب Boot کلیک  کنید. در صورتی که از Win XP استفاده می کنید،   تب boot.ini را انتخاب کنید.(boot.ini)
  4. بوتلوگ(bootlog) را چک کنید   تا فعال شود
  5. روی  Apply کلیک کنید  و  OK را بزنید(OK)

فایل بوت لاگ فقط در مرحله آخر مورد نیاز است.

3. کامپیوتر را مجددا راه اندازی کنید(3. Restart Computer)

کامپیوتر را مجددا راه اندازی کنید تا مطمئن شوید تغییراتی که ایجاد کرده اید اجرا شده اند. (در راه اندازی مجدد کامپیوتر یک فایل ntbttxt.log ایجاد می شود که بعداً در مراحل عیب یابی مورد بحث قرار می گیرد).

4. یک بهینه سازی کامل اینترنت اکسپلورر انجام دهید(4. Do a Complete IE optimization)

بهینه سازی اینترنت(Internet) اکسپلورر برای اطمینان از اینکه تغییر مسیر به دلیل مشکل در مرورگر وب یا تنظیمات اینترنت خراب که مرورگر را به صورت آنلاین متصل می کند، انجام نمی شود. اگر بهینه‌سازی به درستی انجام شود، تنظیمات مرورگر و اینترنت به پیش‌فرض اولیه بازنشانی می‌شوند.

توجه:(Note:) برخی از تنظیمات اینترنت که هنگام بهینه سازی اینترنت اکسپلورر یافت می شوند برای همه مرورگرها مشترک هستند. بنابراین، مهم نیست که از کروم(Chrome) ، فایرفاکس(Firefox) ، اپرا(Opera) و غیره استفاده می کنید، همچنان توصیه می شود بهینه سازی اینترنت اکسپلورر را انجام دهید.

5. Device Manager را بررسی کنید(5. Check Device Manager)

Device Manager یک ابزار ویندوزی است که تمام دستگاه های داخل کامپیوتر شما را فهرست می کند. برخی از عفونت ها قادر به پنهان کردن دستگاه های مخفی هستند که می توانند برای حمله بدافزار استفاده شوند. برای یافتن ورودی های آلوده، مدیر دستگاه را بررسی کنید.(Check)

  1. باز کردن   پنجره Run (Windows Key + R)(Run)
  2. devmgmt.msc را(devmgmt.msc) تایپ  کنید
  3. روی   تب View در بالا کلیک کنید(View)
  4. نمایش  دستگاه های مخفی را انتخاب کنید(hidden devices)
  5. به دنبال  درایورهای غیر متصل و پخش(non-plug and play drivers) باشید . آن را گسترش دهید تا کل لیست زیر گزینه را ببینید.
  6. (Check)هر ورودی TDSSserv.sys را (TDSSserv.sys)بررسی کنید . اگر ورودی ندارید، به دنبال هر ورودی دیگری باشید که مشکوک به نظر می رسد. اگر نمی توانید تصمیم خود را در مورد خوب یا بد بودن یک ورودی بگیرید، در گوگل با نام آن جستجو کنید تا ببینید که آیا واقعی است یا خیر.

اگر مشخص شد ورودی آلوده است، روی آن کلیک راست کرده و سپس حذف نصب(click uninstall) را کلیک کنید . هنگامی که حذف کامل شد، هنوز کامپیوتر را مجددا راه اندازی نکنید. بدون راه اندازی مجدد به عیب یابی ادامه دهید.

6. رجیستری را بررسی کنید(6. Check Registry)

فایل آلوده داخل رجیستری را بررسی کنید:

  1.  پنجره Run را(Run) باز  کنید
  2.  برای باز کردن ویرایشگر رجیستری، regedit را تایپ  کنید
  3. روی  Edit  >  Find کلیک کنید(Find)
  4. (Enter)نام عفونت را وارد کنید . اگر طولانی است، چند حرف اول ورودی آلوده را وارد کنید
  5. روی(Click) ویرایش –> پیدا کردن کلیک کنید. چند حرف اول نام عفونت را وارد کنید. در این مورد، من از TDSS استفاده کردم و هر ورودی که با آن حروف شروع می شد را جستجو کردم. هر بار که یک ورودی وجود دارد که با TDSS شروع می شود، ورودی را در سمت چپ و مقدار را در سمت راست نشان می دهد.
  6. اگر فقط یک ورودی وجود دارد، اما مکان فایل ذکر نشده است، آن را مستقیماً حذف کنید. به جستجوی ورودی بعدی با TDSS ادامه دهید(Continue)
  7. جستجوی بعدی من را به یک ورودی برد که جزئیات مکان فایل را در سمت راست نشان می دهد که می گوید C:WindowsSystem32 TDSSmain.dll . شما باید از این اطلاعات استفاده کنید. پوشه C:WindowsSystem32 را باز کنید، TDSSmain.dll ذکر شده در اینجا را پیدا کرده و حذف کنید.
  8. فرض کنید که نتوانستید فایل TDSSmain.dll را در C:WindowsSystem32 پیدا کنید. این نشان می دهد که ورودی فوق العاده پنهان است. شما باید فایل را با استفاده از خط فرمان حذف کنید. فقط(Just) از دستور برای حذف آن استفاده کنید. del C:WindowsSystem32 TDSSmain.dll
  9. همین کار را تکرار کنید تا زمانی که تمام ورودی های رجیستری که با TDSS شروع می شوند حذف شوند. مطمئن(Make) شوید که آیا آن ورودی ها به سمت هر فایلی در داخل پوشه هستند، آن را مستقیماً یا با استفاده از خط فرمان حذف کنید.

فرض کنید نمی توانید TDSSserv.sys را در دستگاه های مخفی تحت مدیریت دستگاه پیدا کنید، سپس به مرحله 7 بروید.(Assume that you were not able to find TDSSserv.sys inside hidden devices under device manager, then go to Step 7.)

7. گزارش ntbtlog.txt را برای فایل خراب بررسی کنید(7. Check ntbtlog.txt log for corrupted file)

با انجام مرحله 2، یک فایل log به نام ntbtlog.txt در داخل C:Windows تولید می شود. این یک فایل متنی کوچک است که حاوی ورودی های زیادی است که در صورت پرینت گرفتن ممکن است بیش از 100 صفحه داشته باشد. باید به آرامی پایین بروید و بررسی کنید که آیا ورودی TDSSserv.sys دارید(TDSSserv.sys) که نشان می دهد عفونت وجود دارد یا خیر. مراحل ذکر شده در مرحله 6(Step 6) را دنبال کنید .

در مورد فوق، من فقط در مورد TDSSserv.sys اشاره کردم ، اما انواع دیگری از روت کیت ها وجود دارند که همین آسیب را ایجاد می کنند. بیایید مراقب 2 ورودی H8SRTnfvywoxwtx.sys و _VOIDaabmetnqbf.sys باشیم(_VOIDaabmetnqbf.sys) که در قسمت مدیریت دستگاه در رایانه شخصی دوستم فهرست شده است. منطق پشت درک اینکه آیا این یک فایل خطرناک است یا نه، عمدتاً به نام آنها است. این نام معنی ندارد و فکر نمی کنم هیچ شرکتی که به خود احترام می گذارد چنین نامی برای پرونده های خود بگذارد. در اینجا از چند حرف اول H8SRT و _VOID استفاده کردم(_VOID) و مراحل ذکر شده در مرحله 6(Step 6) را برای حذف فایل آلوده انجام دادم. (لطفاً توجه داشته باشید: H8SRTnfvywoxwtx.sys و _VOIDaabmetnqbf.sys فقط یک مثال هستند. فایل های خراب می توانند به هر نامی بیایند، اما به دلیل طولانی بودن نام فایل و وجود اعداد و حروف تصادفی در نام، تشخیص آن آسان خواهد بود(Please Note: H8SRTnfvywoxwtx.sys and _VOIDaabmetnqbf.sys are just an example. The corrupted files can come in any name, but it will be easy to recognize because of the long file name and the presence of random numbers and alphabets in the name) .)

لطفاً این مراحل را با مسئولیت خود امتحان کنید. مراحل ذکر شده در بالا کامپیوتر شما را خراب نمی کند. اما برای اطمینان بیشتر، بهتر است از فایل های مهم یک نسخه پشتیبان تهیه کنید و مطمئن شوید که گزینه تعمیر یا نصب مجدد سیستم عامل را با استفاده از دیسک سیستم عامل دارید.

برخی از کاربران ممکن است عیب یابی ذکر شده در اینجا را پیچیده بدانند. بیایید با آن روبرو شویم، عفونت به خودی خود پیچیده است و حتی متخصصان نیز برای رهایی از این عفونت تلاش می کنند.

توصیه می شود: (Recommended:) نحوه حذف ویروس از تلفن اندرویدی(How to Remove a Virus from an Android Phone)

اکنون دستورالعمل های واضحی از جمله راهنمای گام به گام در مورد چگونگی خلاص شدن از شر ویروس ریدایرکت گوگل دارید. (Google)همچنین، می‌دانید که اگر این کار درست نشد، چه کاری انجام دهید. بلافاصله قبل از اینکه عفونت به فایل های بیشتری سرایت کند و کامپیوتر را غیرقابل استفاده کند، اقدام کنید. این آموزش را به اشتراک بگذارید زیرا برای افرادی که با مشکل مشابه روبرو هستند تفاوت زیادی ایجاد می کند.



قلندر حیاتی

About the author

من یک توسعه دهنده ماهر iOS با بیش از دوازده سال تجربه هستم. من روی هر دو پلتفرم iPhone و iPad کار کرده‌ام و می‌دانم چگونه برنامه‌ها را با استفاده از آخرین فناوری‌های اپل ایجاد و سفارشی‌سازی کنم. علاوه بر مهارت‌هایم به‌عنوان توسعه‌دهنده aiOS، تجربه قوی در استفاده از Adobe Photoshop و Illustrator و همچنین توسعه وب از طریق چارچوب‌هایی مانند WordPress و Laravel دارم.


Related posts