Удаление вируса перенаправления в браузере

TL;DR: Вирус перенаправления в браузере перенаправляет ваши поиски и ссылки на мошеннические сайты, собирает данные и зарабатывает на показах/кликах. Для удаления: загрузитесь в безопасном режиме с сетью, проверьте Hosts и прокси, удалите подозрительные расширения, очистите временные файлы, запустите TDSSKiller, Malwarebytes и HitmanPro, затем сбросьте настройки браузеров и обновите систему. Следуйте приведённому ниже пошаговому чеклисту и плейбуку для полного восстановления.

Важно: пока угроза не удалена, не вводите личные данные в браузеры и не выполняйте финансовые операции на заражённом компьютере.

Большое изображение: иллюстрация проблемы перенаправлений и фишинга

В вы выполнили поиск в Google, кликнули по ссылке, но результат оказался не тем — и это повторяется снова и снова. Такое поведение характерно для браузерных вирусов-перенаправителей (browser redirect virus) — вредоносного ПО, которое не только раздражает, но и пытается извлечь прибыль за счёт ваших кликов и сбора данных.

В этой статье подробно объясняется, как такие вирусы работают, как их обнаружить и пошагово удалить с компьютера под управлением Windows. Включены подробные инструкции, рекомендованные инструменты, контрольные списки для разных ролей и плейбук реагирования на инцидент.

Что такое вирус перенаправления и как он действует

Определение: вирус перенаправления — это вредоносная программа, изменяющая поведение браузера так, чтобы поисковые запросы и переходы по ссылкам направлялись на нежелательные сайты, рекламные сети или фишинговые страницы.

Как это выглядит на практике:

Страницы, которые вы открываете, автоматически перенаправляются на посторонние сайты.
Веб-страницы загружают знакомые элементы (поисковая строка, логотип), но URL указывает на подозрительный домен.
Поиск возвращает необычные результаты или добавляет спонсорские записи на каждую страницу.

Примеры доменов, которые часто появляются при таких атаках (примерный список из обнаруженных кейсов):

icityfind.com
scour.com
fastsfind.com
amusede.in
1freefiledownload.com
find-quick-results.com
bidvertiser.com

Механизмы распространения и удерживания контроля:

Rootkit/bootkit: маскирует файлы и процессы на уровне ядра, усложняя обнаружение и удаление.
Изменённый файл Hosts: перенаправляет запросы на нужные IP-адреса локально.
Вредоносные расширения браузера: перехватывают навигацию и подвергают страницы подмене.
Изменение системных прокси-настроек: заставляет весь HTTP(S)-трафик идти через контролируемый сервер.

Цели злоумышленников: получение дохода (click-fraud), сбор данных о пользователях (включая историю поиска) и возможная подготовка к более серьёзным атакам, например краже учётных данных.

Почему важно не вводить личные данные

Пока перенаправления активны, ваш трафик может перехватываться или подменяться. Не вводите в браузерах пароли, реквизиты банковских карт или личную информацию до тех пор, пока вы не подтвердите очистку системы.

Перезаписанный файл Hosts — как он используется вредом

Windows использует файл Hosts для сопоставления доменов IP-адресам локально. Злоумышленники могут переписать этот файл, чтобы направлять легитимные домены на свои адреса или блокировать безопасность-ориентированные ресурсы.

Путь к файлу Hosts в Windows: C:\Windows\System32\Drivers\etc\hosts

Пример механики: злоумышленник добавляет записи, которые перенаправляют запросы к поисковым сервисам или популярным сайтам на IP-адреса, контролируемые злоумышленниками.

Иллюстрация редактирования файла Hosts для блокировки и перенаправления страниц

Совет: перед изменениями сохраните резервную копию оригинального файла Hosts (например, hosts.original).

Подготовка: загрузка в безопасном режиме с сетью

Первый шаг при удалении многих типов вредоносного ПО — загрузиться в безопасном режиме с поддержкой сети (Safe Mode with Networking). В Safe Mode многие сторонние службы и драйверы не загружаются, что облегчает удаление руткитов и модификаций.

Для Windows XP–7:

Перезагрузите ПК и сразу многократно нажимайте F8.
В меню Advanced Boot Options выберите Safe Mode with Networking и нажмите Enter.

Примечание: если используете беспроводную клавиатуру, переключитесь на USB-клавиатуру для надёжности.

Для Windows 8 и новее:

Откройте Параметры -> Питание.
Удерживайте клавишу Shift и выберите Перезагрузить.
На экране восстановления выберите Поиск и устранение неисправностей -> Дополнительные параметры -> Параметры загрузки -> Перезагрузить.
Нажмите 5 чтобы включить безопасный режим с сетью.

Экран перезагрузки для входа в безопасный режим

Шаг 1 — проверьте и очистите прокси-настройки

Вредоносные программы часто меняют системный прокси, чтобы направлять весь трафик через свой сервер.

Как проверить:

Откройте Панель управления -> Свойства обозревателя (Internet Options).
Вкладка Подключения -> Настройки сети LAN (LAN Settings).
Снимите галочку с «Использовать прокси-сервер для локальной сети» (Proxy Server), если она установлена.
Включите «Автоматически определять параметры» (Automatically detect settings).

Сохраните изменения и закройте.

Шаг 2 — управление браузерами: расширения, панели и домашняя страница

Даже если основная инфекция в системе, вредоносные расширения могут продолжать влиять на поведение браузера.

Рекомендации:

Удалите неизвестные или подозрительные расширения/плагины в каждом браузере.
Сбросьте домашнюю страницу и поисковую систему по умолчанию.
Очистите кэш и временные файлы браузера.

Используйте CCleaner для очистки временных файлов (внимательно: снимайте галочки с опций установки дополнительного ПО при инсталляции CCleaner).

Установите и запустите CCleaner.
Вкладка Cleaner -> отмечайте опции для Internet Explorer и других браузеров во вкладке Applications.
Нажмите Run Cleaner и дождитесь завершения.

Экран CCleaner, показывающий очистку временных файлов браузеров

Шаг 3 — инструменты для удаления угроз: TDSSKiller, Malwarebytes, HitmanPro

Запустите набор инструментов в Safe Mode with Networking. Последовательность рекомендуемых запусков:

Kaspersky TDSSKiller — для обнаружения rootkit/bootkit-инфекций.
Malwarebytes Anti-Malware — для удаления широкого спектра нежелательного ПО и рекламных модулей.
HitmanPro — дополнительная проверка и инструмент для удаления особо стойких следов.

Kaspersky TDSSKiller — как запустить

Окно TDSSKiller перед сканированием корневых наборов

Инструкция:

Скачайте tdsskiller.exe из официального источника Kaspersky.
Запустите файл без установки (double-click).
Нажмите Change Parameters и включите Detect TDLFS file system.
Нажмите OK, затем Start Scan.
При обнаружении угроз выберите Recommended actions и нажмите Continue.
После удаления перезагрузитесь в Safe Mode с сетью (если утилита потребует перезагрузку).

Важно: TDSSKiller может пометить системные загрузочные файлы; внимательно читайте рекомендации утилиты перед удалением.

Malwarebytes Anti-Malware — как использовать

Окно Malwarebytes с результатами сканирования угроз

Инструкция:

Установите Malwarebytes Anti-Malware Free.
При первом запуске нажмите Update (если будет предложение) и затем Scan / Fix Now.
После завершения сканирования нажмите Quarantine All, затем Apply Actions.
Перезагрузите компьютер если требуется.

Malwarebytes хорошо работает против рекламного ПО, перенаправителей поисков и связанных с ними остаточных компонентов.

HitmanPro — как использовать

Окно HitmanPro после завершения проверки и списка обнаруженных объектов

Инструкция:

Скачайте HitmanPro (есть портативная версия “one-time run”).
Запустите сканирование; программа покажет найденные элементы.
Нажмите Next и затем Activate free license, чтобы воспользоваться пробной лицензией для очистки.

Завершите эти три проверки, затем запустите штатный антивирус на полное сканирование (Avira, AVG, Kaspersky, BitDefender и т.п.).

Шаг 4 — проверка и восстановление файла Hosts и других системных записей

После удаления вредоносных процессов проверьте файл Hosts и восстановите его к дефолтному состоянию при необходимости.

Дефолтный пустой Hosts-файл обычно содержит комментарии и строку типа:

127.0.0.1 localhost

Если вы видите строки, перенаправляющие популярные домены (google.com, bing.com и т. п.) на другие IP-адреса, удалите эти строки и сохраните файл.

Совет: перед правками создайте резервную копию hosts: copy C:\Windows\System32\drivers\etc\hosts C:\Windows\System32\drivers\etc\hosts.bak

Шаг 5 — сброс настроек браузеров

Чтобы убрать последние остатки вредоносных настроек, выполните сброс каждого используемого браузера.

Internet Explorer: Settings -> Internet Options -> Advanced -> Reset. Отметьте Delete personal settings и подтвердите Reset.
Mozilla Firefox: Menu -> Help -> Troubleshooting Information -> Reset Firefox.
Google Chrome: Menu -> Settings -> chrome://settings -> Show advanced settings -> Reset settings -> Confirm.

После сброса проверьте расширения и домашние страницы ещё раз.

Плейбук реагирования на инцидент (SOP)

Роль: домашний пользователь / администратор малого офиса.

Шаги:

Отключите компьютер от интернета, если производится работа с учётными данными.
Загрузитесь в Safe Mode with Networking.
Создайте резервную копию важных данных (только документы, избегайте исполняемых файлов).
Проверка Hosts и прокси-настроек.
Удалите подозрительные расширения и сбросьте браузеры.
Запустите TDSSKiller -> Malwarebytes -> HitmanPro.
Запустите полный антивирусный сканер.
Перезагрузитесь в обычный режим и проверьте поведение браузера.
Измените пароли на безопасном устройстве, если есть подозрение на компрометацию.
Обновите ОС и все программы; включите автоматические обновления.

Критерии успешного завершения:

Перенаправления больше не наблюдаются.
Файл Hosts очищен или восстановлен.
Никаких подозрительных расширений в браузерах.
Антивирусные утилиты не находят активных угроз.

Руководство по откату и инцидент-ранбук

Если после всех шагов перенаправления продолжаются:

Повторно загрузитесь в Safe Mode; запустите дополнительные средства, например ESET Online Scanner.
Проверьте автозапуск (msconfig, Autoruns от Sysinternals) — отключите неизвестные записи.
Рассмотрите восстановление системы к точке до появления проблемы (System Restore), если доступно.
В крайнем случае — резервное копирование данных и чистая переустановка Windows.

Примечание: чистая переустановка — самый надёжный способ удаления руткитов, но требует времени и восстановления данных.

Decision flowchart — как действовать (Mermaid)

flowchart TD
  A[Начало: замечены перенаправления] --> B{Может ли безопасный режим загрузиться?}
  B -- Да --> C[Загрузиться в Safe Mode with Networking]
  B -- Нет --> D[Использовать загрузочную флешку/безопасное восстановление]
  C --> E[Проверить Hosts и прокси]
  E --> F[Удалить расширения и очистить кэш]
  F --> G[Запустить TDSSKiller]
  G --> H[Запустить Malwarebytes]
  H --> I[Запустить HitmanPro]
  I --> J{Проблема решена?}
  J -- Да --> K[Сбросить браузеры, обновить систему, изменить пароли]
  J -- Нет --> L[Проверить автозапуск, использовать Autoruns, рассмотреть восстановление/переустановку]

Роль‑ориентированные чеклисты

Для домашних пользователей:

Отключить интернет при подозрении.
Загрузиться в безопасном режиме с сетью.
Сохранить документы (не исполняемые файлы).
Проверить Hosts и прокси.
Удалить расширения в браузерах.
Запустить TDSSKiller, Malwarebytes, HitmanPro.
Сбросить браузеры и обновить Windows.
Сменить пароли с безопасного устройства.

Для системного администратора малого бизнеса:

Изолировать заражённый узел от сети.
Собрать базовую телеметрию (список запущенных процессов, автозапуск).
Проверить сетевой трафик через прокси/фаервол.
Выполнить средства удаления в контролируемом порядке и задокументировать действия.
При массовой инфекции — использовать образ восстановления и план отката.

Mini-methodology: приоритеты при расследовании

Безопасность людей и данных: отключение от сети, сохранение доказательств.
Локализация: Hosts, прокси, расширения — наиболее частые причины.
Удаление: руткиты → рекламное ПО → остаточные настройки.
Проверка: разные сканеры и повторные проверки.
Восстановление: сбросы, обновления, смена паролей.

Когда выбранный подход может не сработать

Rootkit глубоко интегрирован в загрузочный сектор — может потребоваться внешняя загрузочная флешка и инструменты уровня WinPE или чистая переустановка.
Если заражённый сервер в вашей инфраструктуре продолжает поставлять вредоносный контент, перенаправления будут повторяться до устранения источника в сети.
Если вы не имеете локальных резервных копий и важные файлы зашифрованы/повреждены, простая очистка не вернёт данные — потребуется восстановление из копий.

Профилактика: как не допустить повторного заражения

Делайте регулярные обновления ОС и браузеров.
Не устанавливайте программы из непроверенных источников.
Внимательно читайте диалоги установки стороннего ПО (снятие галочек с предложений «дополнительного ПО»).
Используйте надёжный антивирус с реальным временем защиты.
Регулярно проверяйте расширения в браузерах и режим автозагрузки.
Включите двухфакторную аутентификацию для ключевых сервисов и регулярно меняйте пароли.

1‑строчная глоссарий

Hosts: локальный файл сопоставления доменов и IP.
Rootkit: программный компонент, скрывающий файлы и процессы.
Safe Mode with Networking: безопасный режим Windows с сетевой поддержкой.
TDSSKiller: инструмент Kaspersky для удаления руткитов семейства TDL.
Malwarebytes: антималварь для удаления рекламного ПО и перенаправителей.
HitmanPro: независимый сканер на случай стойких инфекций.

Краткое резюме и следующие шаги

Вирус перенаправления запускает нежелательные редиректы и собирает данные; он часто использует Hosts, прокси и расширения.
Основной рабочий алгоритм: загрузка в безопасном режиме с сетью → проверка Hosts и прокси → удаление расширений и очистка кэша → запуск TDSSKiller, Malwarebytes, HitmanPro → сброс браузеров → обновления и смена паролей.
Если стандартные процедуры не помогают, используйте Autoruns для поиска автозапуска, рассматривать восстановление системы или чистую переустановку.

Если вам нужна индивидуальная помощь: опишите вашу ОС и симптомы (какие сайты появляются, какие браузеры используются), и я подскажу следующие конкретные шаги.

Featured Image Credit: URL Phishing via Shutterstock