Hoe u het Google Redirect Virus probleem (browserkaper hijacker) kunt herstellen

 

googleredirectvirus-2-virusesHet Google Redirect virus is een browserkaper die Google en de zoekresultaten van andere zoekmachines aanvalt zodat de gebruiker naar besmette pagina’s wordt omgeleid. Deze pagina’s kunnen pornografisch zijn of veel advertenties bevatten die dienen om geld te genereren voor de ontwikkelaars. Sommige van deze webpagina’s dwingen u om geld te betalen of uw bankgegevens te delen. Met andere woorden het Google Redirect virus is knap gevaarlijk.

Er zijn een aantal verschillende varianten van het Google Redirect virus en sommige kunnen niet verwijderd worden zonder een betrouwbaar anti-malwareprogramma zoals NOD32 Antivirus, Kaspersky of Malwarebytes. Soms blokkeert het Google Redirect virus zelfs betrouwbare websites en het wordt bijna onmogelijk gemaakt om automatisch software te downloaden. Er zijn echter wel een aantal eenvoudige stappen die de minder ingewikkelde problemen kunnen oplossen.

Let op dat voor u begint met het herstellen van uw systeem, u het beste eerst een scan kunt uitvoeren met anti-malwareprogramma’s omdat die de precieze reden van van de Google Redirect kaper kunnen achterhalen. Wij raden Reimage, spyhunter of Hitman Pro aan voor deze taak. U zult bovendien de scan nogmaals moeten uitvoeren nadat u alle onderstaande stappen heeft opgevolgd. Deze scans kunnen namelijk ook nog Trojaanse virussen en rootkits kunnen ontdekken die door de andere besmetting was verborgen. In sommige gevallen worden de rootkits al tijdens de eerste scan opgespoord en verwijderd door de anti-malwareprogramma’s.

Er zijn in principe twee versies van het Google Redirect virus:

a) Het kapen van de instellingen voor uw zoekmachine oftewel het kiezen van de voorkeur van de te gebruiken zoekmachine zonder uw toestemming. Uw standaardzoekmachine wordt gewijzigd van de bekenden zoals Google, Yahoo of Bing naar iets anders. Meestal wordt dit veroorzaakt door een browsertoevoeging, maar het kan ook andere oorzaken hebben.

b) Het kapen van zoekresultaten wanneer u de zoekmachine gebruikt. Uw standaardzoekmachine blijft hetzelfde maar u krijgt andere zoekresultaten als u het gebruikt. Dit wordt waarschijnlijk veroorzaakt door een malwarebesmetting (Stap 6), maar een schadelijke proxy, dns-instellingen, besmette router of host-bestanden zijn ook mogelijkheden.

Stappen 1 t/m 6 lossen het kapen van zoekresultaten door schadelijke instellingen en browsertoevoegingen op. In de Stappen 7 en hoger worden de problemen opgelost met malwarebesmettingen van het Google Redirect virus die moeilijker zijn op te sporen en repareren. Wanneer uw anti-virusprogramma’s gestopt zijn betekent dit dat u besmet met met malware en u moet dan een scan uitvoeren op uw PC met anti-malwareprogramma’s en anti-virusprogramma’s.

Stap 1. Controller de host-bestanden voor schadelijke items.
Host-bestanden bevinden zich op C:WindowsSystem32Driversetchosts

Hosts location

Zoek in welke map Windows is geinstalleerd. Open het bestand “hosts” met Kladblok.

Let op: Voor Windows 7/Vista/8, moet u het bestand openen als administrator anders kunt u het gewijzigde bestand niet opslaan. Dit doet u op de volgende manier:

  1. Druk op de Startknop en voer “kladblok” in. Druk nog NIET op Enter.
  2. Klik met de rechtermuisknop op het bestand zoals hierboven is getoond.
  3. Kies: Als administrator uitvoeren
  4. Bestand → Openen, en zoek het bestand “hosts”.

Open Notepad

Voor Windows 8 kunt u “kladblok” invoeren in het zoekveld of het in de metro interface invoeren. Volg vervolgens stappen 2 t/m 4 op die hierboven zijn genoemd.

De problemen van het Google Redirect virus kunnen het resultaat zijn van malware dat schadelijke wijzigingen aanbrengt. Gelukkig zijn deze items eenvoudig te verwijderen.

Het bestand “hosts” ziet er als volgt uit:

Hosts file

Er kan een referentie gemaakt worden naar ::1. Dit is een lokaal IPv6 adres en daarover hoeft u zich geen zorgen te maken. Wanneer u extra regels met code en IP-adressen ziet, dan moet u ze verwijderen, vooral als ze Google of Microsoft subdomeinen overschrijven. Dit is een teken dat u een besmetting op uw computer heeft of had omdat dit bestand normaal gesproken niet van buitenaf toegankelijk is.

Stap 2. Controleer de instellingen van de DNS (Domein Naam Server)

Domein Naam Servers worden gebruikt om te bekijken welke servers gebruikt moeten worden om websites te openen. Wanneer deze instellingen gekaapt worden, kan het programma verschillende websites kapen waaronder die van de zoekmachines.

1. Ga naar Configuratiescherm → Netwerkverbindingen en selecteer uw lokale netwerk.
2. Klik met de rechtermuisknop op het pictogram van het lokale netwerk en selecteer Eigenschappen.

Network properties

3. Een scherm zal geopend worden. Selecteer daar Internet Protocol (TCP/IP) en klik op Eigenschappen.

Network settings

4. U zult onderstaand scherm te zien krijgen. Dit is het scherm van het Internet Protocol. Kies “Automatisch een IP-adres krijgen” en “automatisch een DNS-adres krijgen”.

IPV4 settings

5. Klik op OK om de wijzigingen op te slaan.

Stap 3. Uw proxy instellingen voor Internet Explorer controleren
De instellingen van de Proxy server kan ook gebruikt worden bij het kapen. Ook dit is eenvoudig te herstellen:

1. Start Internet Explorer.
2. Extra → Internetopties en ga naar het tabblad Verbindingen en kies LAN-instellingen

IE network settings

3. Zet alle vinkjes uit zoals die door de systeembeheerder zijn ingesteld.
4. Klik op OK.

Stap 4. (Optioneel) Uw proxy instellingen voor Mozilla Firefox controleren
1. Open Mozilla Firefox.
2. Extra → Opties. Kies Geavanceerd → Netwerk. Klik dan op de knop instellingen.

Firefox connection settings

3. Kies “Geen proxy” of voer in wat uw systeembeheerder eerder had ingevoerd.
4. Klik op OK.

Stap 5. Controleer uw browsertoevoegingen en herstel de browserinstellingen

Wanneer uw zoekmachine is gewijzigd naar een onbekende, dan zijn uw browserinstellingen waarschijnlijk gewijzigd door een programma. Deze programma’s worden vaak opgespoord zoals in stap 6, maar u moet de instellingen wel handmatig herstellen.

5.a. Controleer de toevoegingen voor Internet Explorer en herstel de instellingen
Als alleen Internet Explorer is gekaapt, controleer dan de browsertoevoegingen hier. Let op: er zijn toevoegingen die zowel Internet Explorer als Mozilla Firefox aanvallen en zo de zoekresultaten voor beide browsers beïnvloeden. Voordat u de volgende stappen gaat nemen, zorg er voor dat uw Configuratiescherm vrij is van spamprogramma’s.

  1. Start Internet Explorer op.
  2. Extra → Invoegtoepassingen Beheren
  3. Schakel alle toegevoegde extensies uit (er staan wellicht handige programma’s in de lijst maar het is beter deze later opnieuw te installeren.
  4. Verwijder alle extensies die er als spam uit zien.
  5. Klik op het pijltje rechts van het zoekveld.
  6. Doe het volgende: voor IE8-9 kiest u Zoekmachines Beheren, Voor IE7 klikt u op Zoekstandaard Wijzigen.
  7. Verwijder alle overbodige zoekmachines uit de lijst
  8. If settings revert after restart, you will have to do Step 6 and repeat step 5 again.

5.b. Controleer de toevoegingen voor Mozialla Firefox en herstel de instellingen

  1. Start Firefox en ga naar Extra → Add-ons.
  2. Doorzoek de lijst en schakel alle onbekende toevoegingen uit.
  3. Doe hetzelfde voor de Plugin lijst.
  4. Typ “about:config” in de adresbalk om de instellingenpagina te openen
  5. Typ “Keyword.url” in het zoekveld. Klik met de rechtermuisknop en reset het veld.
  6. Typ “browser.search.defaultengine” in het zoekveld. Klik met de rechtermuisknop en reset het veld.
  7. Typ “browser.search.selectedengine” in het zoekveld. Klik met de rechtermuisknop en reset het veld.
  8. Zoek op ‘browser.newtab.url’. Klik met de rechtermuisknop en reset het veld. Dit zorgt ervoor dat de zoekmachine niet telkens wordt geopend wanneer u een nieuw tabblad opent.
  9. Als de instellingen steeds weer gewijzigd worden dan moet u het bestand user.js uit het Firefox profiel verwijderen of eerst Stap 6 opvolgen en dan Stap 5 nogmaals herhalen.

5.c. Controleer de toevoegingen voor Google Chrome en herstel de instellingen

  1. Klik op het pictogram met de drie horizontale lijnen rechtsboven in uw browser.
  2. Klik op Instellingen → Extensies. Bekijk de lijst en schakel de items uit die u niet nodig heeft.
  3. Ga naar Instellingen → Zoekmachines Beheren
  4. Ga terug naar Instellingen. Kies Bij opstarten voor “de pagina Nieuw Tabblad openen (u kunt hier ook ongewenste pagina’s verwijderen).

Stap 6. Scan op schadelijke besmettingen met anti-spyware- en anti-virusprogramma’s:

1. Reimage
2. Spyhunter
3. NOD32 gratis proefversie

Stap 7. (Optioneel) Repreer Winsock 2 instellingen met LSPFix
Download LSPFix

Stap 8. Als u nog steeds omleidingen krijgt met uw zoekmachine, dan kan het veroorzaakt worden door TDSS of een andere rootkit

Ondanks dat Stap 6 alle besmettingen van het Google Redirect opgespoord zou moeten hebben, is het soms een niche versie dat wordt gebruikt. TDSS en Zero Access zijn allebei rootkits die soms gebruik maken van omleidingen.
Voor deze specifieke rootkit kan een programma worden gedownload op het te verwijderen: support.kaspersky.com/downloads/utils/tdsskiller.exe. Naast TDSS kan ook het rivaliserende ZeroAccess infectie de boosdoener zijn. Beide rootkits hebben speciale programma’s nodig om verwijderd te worden. In het slechtste geval is er een scanner voor het besturingssysteem nodig.

Stap 9. Het kan een Cycbot-besmetting zijn
Cycbot is één van de Trojaanse virussen die zorgt voor omleidingen in uw browser. De meeste anti-virusprogramma’s zoals Reimage, Spyhunter sporen de besmettingen van Cycbot op. Als u echter handmatig de besmetting op wilt sporen en stoppen, bekijk dan onze verwijderingsgids voor Cycbot.

door Giedrius Majauskas

 
 

Over de auteur