Google Redirect Virus - Hướng dẫn loại bỏ thủ công từng bước

Bạn có(Are) đang gặp phải sự cố khi trình duyệt web của mình tự động được chuyển hướng đến các trang web lạ và đáng ngờ không? Có phải(Are) những chuyển hướng này chủ yếu chỉ đến một trang thương mại điện tử, các trang web cờ bạc không? Bạn có nhiều cửa sổ bật lên hiển thị nội dung quảng cáo không? Rất có thể bạn có một Vi rút chuyển hướng của Google(Google Redirect Virus) .

Virus chuyển hướng Google(Google) là một trong những loại lây nhiễm khó chịu nhất, nguy hiểm và khó nhất từng được phát hành trên internet. Phần mềm độc hại có thể không được coi là chết người, vì sự hiện diện của sự lây nhiễm này sẽ không làm hỏng máy tính của bạn và khiến nó trở nên vô dụng. Nhưng nó được coi là khó chịu hơn chết người vì các chuyển hướng và cửa sổ bật lên không mong muốn có thể khiến bất kỳ ai thất vọng đến tận cùng.

(Google)Virus chuyển hướng Google không chỉ chuyển hướng các kết quả của Google mà còn có khả năng chuyển hướng các kết quả tìm kiếm của YahooBing . Vì vậy, đừng ngạc nhiên khi nghe thấy  Virus chuyển hướng Yahoo(Yahoo Redirect Virus)  hoặc  Virus chuyển hướng Bing(Bing Redirect Virus) . Phần mềm độc hại này cũng lây nhiễm vào bất kỳ trình duyệt nào bao gồm Chrome , Internet Explorer , Firefox , v.v. Vì Google Chrome là trình duyệt được sử dụng nhiều nhất, một số người gọi nó là vi rút Google Chrome Redirect(Google Chrome Redirect virus) dựa trên trình duyệt mà nó chuyển hướng. Gần đây,  phần mềm độc hại(malware)người viết mã đã sửa đổi mã của họ để tạo ra các biến thể nhằm thoát khỏi sự phát hiện dễ dàng từ phần mềm bảo mật. Một số biến thể gần đây là  Vi rút chuyển hướng Nginx, Vi rút  (Nginx Redirect Virus, )chuyển hướng Happili,(Happili Redirect Virus,)  v.v. Tất cả các loại lây nhiễm này đều thuộc vi rút chuyển hướng, nhưng có sự biến đổi về mã và phương thức tấn công.

Theo một báo cáo năm 2016, virus chuyển hướng của Google đã lây nhiễm hơn 60 triệu máy tính trên diện rộng, trong đó 1/3 là từ Mỹ. Tính đến tháng 5 năm 2016(May 2016) , sự lây nhiễm dường như đã quay trở lại với số lượng các trường hợp được báo cáo ngày càng tăng.

Loại bỏ vi rút chuyển hướng của Google theo cách thủ công

Tại sao Google Redirect Virus khó loại bỏ?

Google Redirect Virus là một rootkit và không phải là một vi rút. Bản thân rootkit được liên kết với một số dịch vụ windows quan trọng giúp nó hoạt động giống như một tệp hệ điều hành. Điều này gây khó khăn cho việc xác định tệp hoặc mã bị nhiễm. Ngay cả khi bạn xác định được tệp, rất khó để xóa tệp vì tệp đang chạy như một phần của tệp hệ điều hành. Phần mềm độc hại được mã hóa theo cách thỉnh thoảng tạo ra các biến thể khác nhau từ cùng một mã. Điều này khiến phần mềm bảo mật khó bắt mã và tung ra bản vá bảo mật. Ngay cả khi họ thành công trong việc tạo một bản vá, nó sẽ trở nên vô hiệu nếu phần mềm độc hại tấn công lại có chứa một biến thể khác.

Virus chuyển hướng của Google(Google redirect virus) rất khó loại bỏ vì nó có khả năng ẩn sâu bên trong hệ điều hành và cũng như khả năng loại bỏ các dấu vết và dấu vết về cách nó xâm nhập vào bên trong máy tính. Khi vào bên trong, nó sẽ tự gắn với các tệp Hệ(System) điều hành cốt lõi khiến nó trông giống như một tệp hợp pháp chạy nền. Ngay cả khi tệp bị nhiễm được phát hiện, đôi khi rất khó để loại bỏ cos liên kết của nó với tệp hệ điều hành. Cho đến thời điểm hiện tại, không có một phần mềm bảo mật nào trên thị trường có thể đảm bảo bạn được bảo vệ 100% khỏi sự lây nhiễm này. Điều này giải thích tại sao ngay từ đầu máy tính của bạn đã bị nhiễm virus ngay cả khi đã cài đặt phần mềm bảo mật.

Bài viết ở đây giải thích cách chọn thủ công và loại bỏ vi rút chuyển hướng Google theo cách thủ công . Từ góc độ của kỹ thuật viên, đây là phương pháp hiệu quả nhất để chống lại nhiễm trùng này. Các kỹ thuật viên làm việc cho một số thương hiệu phần mềm bảo mật lớn nhất hiện đang làm theo phương pháp tương tự. Mọi nỗ lực đều được thực hiện để làm cho hướng dẫn đơn giản và dễ làm theo.

Cách loại bỏ vi rút chuyển hướng của Google

1. Hãy thử các công cụ có sẵn trực tuyến hoặc tìm một công cụ chuyên nghiệp
(1. Try tools available online or go for a professional tool )Có rất nhiều công cụ bảo mật có sẵn trên thị trường. Nhưng không có công cụ nào trong số này được phát triển đặc biệt để loại bỏ vi rút chuyển hướng google. Mặc dù một số người dùng đã thành công trong việc loại bỏ sự lây nhiễm bằng một phần mềm, nhưng phần mềm đó có thể không hoạt động trên một máy tính khác. Một số cuối cùng đã thử tất cả các công cụ khác nhau gây ra nhiều vấn đề hơn bằng cách làm hỏng các tệp trình điều khiển hệ điều hành và thiết bị. Hầu hết các công cụ miễn phí đều khó tin tưởng vì chúng nổi tiếng là làm hỏng các tệp hệ điều hành và làm hỏng chúng. Vì vậy, hãy sao lưu dữ liệu quan trọng trước khi thử bất kỳ công cụ miễn phí nào để an toàn hơn. Bạn cũng có thể nhận được sự giúp đỡ từ các chuyên gia chuyên loại bỏ nhiễm trùng này. Tôi không nói về việc mang máy tính của bạn đến một cửa hàng công nghệ hoặc gọi cho đội lập trình viên khiến bạn tốn rất nhiều tiền. Tôi đã đề cập đến một dịch vụ mà bạn có thểcố gắng như một phương sách cuối cùng.(try as a last resort.)

2. Cố gắng loại bỏ vi rút chuyển hướng google theo cách thủ công(Try to remove google redirect virus manually)

Không có cách nào dễ dàng hơn để loại bỏ nhiễm trùng ngoài việc quét bằng phần mềm và sửa chữa nó. Nhưng nếu phần mềm không khắc phục được sự cố, biện pháp cuối cùng là thử loại bỏ sự lây nhiễm theo cách thủ công. Phương pháp loại bỏ thủ công tốn nhiều thời gian và một số bạn có thể khó làm theo hướng dẫn vì bản chất kỹ thuật của nó. Phương pháp này rất hiệu quả, nhưng việc không làm theo đúng hướng dẫn hoặc khả năng do lỗi của con người trong việc xác định tệp bị nhiễm có thể khiến nỗ lực của bạn không hiệu quả. Để mọi người dễ theo dõi hơn, tôi đã tạo video giải thích chi tiết từng bước. Nó hiển thị các bước chính xác tương tự được các chuyên gia diệt vi rút sử dụng để loại bỏ nhiễm vi rút theo cách thủ công. Bạn có thể tìm thấy video ở cuối bài đăng này.

Các bước khắc phục sự cố để loại bỏ Google Redirect Virus theo cách thủ công

Không giống như hầu hết các trường hợp lây nhiễm, trong trường hợp của Google Redirect Virus , bạn sẽ chỉ tìm thấy một hoặc hai tệp có liên quan đến sự lây nhiễm. Nhưng nếu ban đầu bỏ qua việc lây nhiễm, số lượng tệp bị nhiễm dường như sẽ tăng lên trong một khoảng thời gian. Vì vậy, tốt hơn hết hãy loại bỏ sự lây nhiễm ngay khi bạn phát hiện ra các vấn đề chuyển hướng. Thực hiện theo các phương pháp khắc phục sự cố được đề cập bên dưới để loại bỏ vi rút chuyển hướng của Google . Ngoài ra còn có một video bên dưới.

1. Bật các tệp ẩn bằng cách mở Tùy chọn thư mục(1. Enable hidden files by opening Folder Options)

Các tệp hệ điều hành được ẩn theo mặc định để tránh việc vô tình xóa. Các tệp bị nhiễm cố gắng ẩn trong các tệp hệ điều hành. Vì vậy, bạn nên hiện tất cả các tệp ẩn trước khi bắt đầu khắc phục sự cố:

  • Nhấn phím Windows + R để mở  Run  Window
  • Nhập  Thư mục điều khiển(Control folders)
  • Nhấp vào  Xem( View)  tab
  • Cho phép hiển thị các tệp, thư mục và ổ đĩa ẩn(show hidden files, folders and drives)
  • Bỏ chọn ẩn phần mở rộng cho các loại tệp đã biết(hide extensions for known file types)
  • Bỏ chọn ẩn các tệp hệ điều hành được bảo vệ(hide protected operating system files)

2. Mở Msconfig(2. Open Msconfig)

Sử dụng công cụ MSConfig để kích hoạt tệp nhật ký khởi động.

  1. Mở   cửa sổ Run
  2. Nhập  msconfig
  3. Nhấp vào  tab Boot  nếu bạn đang sử dụng Windows 10 , 8 hoặc 7. Trong trường hợp bạn đang sử dụng Win XP , hãy chọn   tab boot.ini
  4. kiểm tra  bootlog  để kích hoạt nó
  5. Nhấp vào  Áp dụng(Apply)  và nhấp vào  OK

Tập tin bootlog chỉ cần thiết trong bước cuối cùng.

3. Khởi động lại máy tính(3. Restart Computer)

Khởi động lại máy tính để đảm bảo rằng các thay đổi bạn đã thực hiện được thực hiện. (Khi khởi động lại máy tính, tệp ntbttxt.log được tạo sẽ được thảo luận sau trong các bước khắc phục sự cố).

4. Thực hiện tối ưu hóa IE hoàn chỉnh(4. Do a Complete IE optimization)

Tối ưu hóa trình khám phá Internet(Internet) được thực hiện để đảm bảo rằng việc chuyển hướng không phải do sự cố trong trình duyệt web hoặc cài đặt internet bị hỏng kết nối trình duyệt trực tuyến. Nếu tối ưu hóa được thực hiện đúng cách, cài đặt trình duyệt và internet sẽ được đặt lại về mặc định ban đầu.

Lưu ý:(Note:) Một số cài đặt internet được tìm thấy khi thực hiện tối ưu hóa IE là phổ biến cho tất cả các trình duyệt. Vì vậy, không thành vấn đề nếu bạn sử dụng Chrome , Firefox , Opera , v.v., bạn vẫn nên thực hiện tối ưu hóa IE.

5. Kiểm tra Trình quản lý thiết bị(5. Check Device Manager)

Device Manager là một công cụ Windows liệt kê tất cả các thiết bị bên trong máy tính của bạn. Một số lây nhiễm có khả năng che giấu các thiết bị ẩn có thể được sử dụng để tấn công phần mềm độc hại. Kiểm tra(Check) trình quản lý thiết bị để tìm bất kỳ mục nhập nào bị nhiễm.

  1. Mở  cửa sổ Run  (Phím Windows + R)
  2. Nhập  devmgmt.msc
  3. Nhấp vào  tab Xem(View)  ở trên cùng
  4. Chọn hiển thị  các thiết bị ẩn(hidden devices)
  5. Tìm kiếm  các trình điều khiển không phải plug and play(non-plug and play drivers) . Mở rộng nó để xem toàn bộ danh sách theo tùy chọn.
  6. Kiểm tra(Check) bất kỳ mục TDSSserv.sys nào(TDSSserv.sys) . Nếu bạn không có mục nhập, hãy tìm bất kỳ mục nhập nào khác có vẻ đáng ngờ. Nếu bạn không thể quyết định được một mục nhập là tốt hay xấu, hãy thực hiện tìm kiếm trên google với tên để tìm xem nó có phải là hàng chính hãng hay không.

Nếu mục nhập được phát hiện là mục bị nhiễm, hãy nhấp chuột phải vào mục nhập đó và sau đó nhấp vào gỡ cài đặt(click uninstall) . Sau khi quá trình gỡ cài đặt hoàn tất, đừng khởi động lại máy tính. Tiếp tục khắc phục sự cố mà không cần khởi động lại.

6. Kiểm tra sổ đăng ký(6. Check Registry)

Kiểm tra tệp bị nhiễm bên trong sổ đăng ký:

  1. Mở   cửa sổ Run
  2. Nhập  regedit  để mở trình chỉnh sửa sổ đăng ký
  3. Nhấp vào  Chỉnh sửa(Edit)  >  Tìm(Find)
  4. Nhập(Enter) tên nhiễm trùng. Nếu đó là một bài viết dài, hãy nhập một vài ký tự đầu tiên của mục nhập bị nhiễm
  5. Bấm(Click) vào sửa -> tìm. Nhập một số chữ cái đầu tiên của tên nhiễm trùng. Trong trường hợp này, tôi đã sử dụng TDSS và tìm kiếm bất kỳ mục nhập nào bắt đầu bằng các chữ cái đó. Mỗi khi có một mục nhập bắt đầu bằng TDSS , nó sẽ hiển thị mục nhập ở bên trái và giá trị ở bên phải.
  6. Nếu chỉ có một mục nhập, nhưng không có vị trí tệp nào được đề cập, thì hãy xóa nó trực tiếp. Tiếp tục(Continue) tìm kiếm mục tiếp theo với TDSS
  7. Lần tìm kiếm tiếp theo đưa tôi đến một mục nhập có thông tin chi tiết về vị trí tệp ở bên phải có ghi C: WindowsSystem32 TDSSmain.dll . Bạn cần sử dụng thông tin này. Mở thư mục C: \ WindowsSystem32, tìm và xóa TDSSmain.dll được đề cập ở đây.
  8. Giả sử rằng bạn không thể tìm thấy tệp TDSSmain.dll bên trong C: \ WindowsSystem32. Điều này cho thấy mục nhập là siêu ẩn. Bạn cần xóa tệp bằng dấu nhắc lệnh. Chỉ cần(Just) sử dụng lệnh để loại bỏ nó. del C: WindowsSystem32 TDSSmain.dll
  9. Lặp lại tương tự cho đến khi tất cả các mục trong sổ đăng ký bắt đầu bằng TDSS bị xóa. Đảm(Make) bảo rằng nếu các mục nhập đó hướng tới bất kỳ tệp nào bên trong thư mục, hãy xóa tệp đó trực tiếp hoặc bằng cách sử dụng dấu nhắc lệnh.

Giả sử rằng bạn không thể tìm thấy TDSSserv.sys bên trong các thiết bị ẩn trong trình quản lý thiết bị, sau đó chuyển sang Bước 7.(Assume that you were not able to find TDSSserv.sys inside hidden devices under device manager, then go to Step 7.)

7. Kiểm tra nhật ký ntbtlog.txt để tìm tệp bị hỏng(7. Check ntbtlog.txt log for corrupted file)

Bằng cách thực hiện bước 2, một tệp nhật ký có tên ntbtlog.txt được tạo bên trong C: \ Windows. Đó là một tệp văn bản nhỏ chứa rất nhiều mục nhập có thể chạy tới hơn 100 trang nếu bạn lấy bản in. Bạn cần phải cuộn xuống từ từ và kiểm tra xem bạn có bất kỳ mục TDSSserv.sys nào cho thấy rằng đã bị nhiễm trùng hay không. Làm theo các bước được đề cập trong Bước 6(Step 6) .

Trong trường hợp nêu trên, tôi chỉ đề cập đến TDSSserv.sys , nhưng có những loại rootkit khác cũng gây ra thiệt hại tương tự. Hãy quan tâm đến 2 mục nhập H8SRTnfvywoxwtx.sys_VOIDaabmetnqbf.sys được liệt kê trong trình quản lý thiết bị trong PC của bạn tôi. Logic đằng sau việc hiểu nó có phải là một tệp nguy hiểm hay không chủ yếu là ở tên của chúng. Cái tên này không có ý nghĩa gì và tôi không nghĩ rằng bất kỳ công ty tự trọng nào sẽ đặt một cái tên như thế này cho hồ sơ của họ. Ở đây, tôi đã sử dụng một số ký tự đầu tiên H8SRT_VOID và thực hiện các bước được đề cập trong Bước 6(Step 6) để xóa tệp bị nhiễm. (Xin lưu ý: H8SRTnfvywoxwtx.sys và _VOIDaabmetnqbf.sys chỉ là một ví dụ. Các tệp bị hỏng có thể có bất kỳ tên nào, nhưng sẽ dễ dàng nhận ra vì tên tệp dài và sự hiện diện của các số và bảng chữ cái ngẫu nhiên trong tên(Please Note: H8SRTnfvywoxwtx.sys and _VOIDaabmetnqbf.sys are just an example. The corrupted files can come in any name, but it will be easy to recognize because of the long file name and the presence of random numbers and alphabets in the name) .)

Vui lòng thử các bước này với rủi ro của riêng bạn. các bước được đề cập ở trên sẽ không làm hỏng máy tính của bạn. Nhưng để an toàn hơn, tốt hơn là bạn nên sao lưu các tệp quan trọng và đảm bảo rằng bạn có tùy chọn sửa chữa hoặc cài đặt lại hệ điều hành bằng đĩa OS.

Một số người dùng có thể thấy việc khắc phục sự cố được đề cập ở đây phức tạp. Hãy đối mặt với nó, bản thân bệnh nhiễm trùng rất phức tạp và ngay cả các chuyên gia cũng phải vật lộn để loại bỏ bệnh nhiễm trùng này.

Khuyến nghị: (Recommended:) Cách loại bỏ vi-rút khỏi điện thoại Android(How to Remove a Virus from an Android Phone)

Bây giờ bạn có hướng dẫn rõ ràng bao gồm hướng dẫn từng bước về cách loại bỏ vi rút chuyển hướng Google . Ngoài ra, bạn biết phải làm gì nếu điều này không thành công. Hãy hành động ngay lập tức trước khi sự lây nhiễm lây lan sang nhiều tệp hơn và khiến PC không thể sử dụng được. Chia sẻ hướng dẫn này vì nó tạo ra sự khác biệt rất lớn cho những người đang đối mặt với cùng một vấn đề.



About the author

Tôi làm cố vấn cho Microsoft. Tôi chuyên phát triển các ứng dụng di động cho các thiết bị Apple và Android, đồng thời cũng tham gia phát triển các ứng dụng Windows 7. Kinh nghiệm của tôi với điện thoại thông minh và Windows 7 khiến tôi trở thành một ứng cử viên lý tưởng cho vị trí này.



Related posts