Come rimuovere il malware di dirottamento del browser Shampoo (ChromeLoader).
Scitto da Tomas Meskauskas il
Che tipo di software è Shampoo (ChromeLoader)?
Shampoo è il nome di un'estensione del browser diffusa nell'ultima campagna malware di ChromeLoader. Questo software funziona principalmente come browser hijacker, ma ha anche funzionalità di adware.
Shampoo è simile al dirottatore del browser Ring, sebbene il primo sia più sofisticato e utilizzi più tecniche per garantire la sua instalazione.
Panoramica del dirottatore del browser Shampoo (ChromeLoader).
In genere, il software di dirottamento del browser modifica le impostazioni del browser riassegnando i motori di ricerca predefiniti, le home page e gli URL di nuove schede e finestre agli indirizzi dei siti Web promossi. Tuttavia, non tutti i dirottatori del browser apportano modifiche a queste impostazioni.
Con un software di questo tipo installato: nuove schede/finestre del browser aperte e query di ricerca digitate nella barra degli URL, provocano reindirizzamenti al motore di ricerca falso approvato. Al momento della ricerca, l'estensione Shampoo generava reindirizzamenti tramite ythingamgladt.com al motore di ricerca Bing.
È comune che i motori di ricerca illegittimi (ad esempio, ythingamgladt.com) conducano gli utenti a siti Web di ricerca Internet autentici come Bing, Yahoo, Google e altri. Ciò è dovuto al fatto che i motori di ricerca falsi di solito non sono in grado di fornire risultati di ricerca. Tuttavia, i reindirizzamenti possono differire in quanto potrebbero essere influenzati da fattori come la geolocalizzazione dell'utente.
Come accennato nell'introduzione, l'estensione del browser Shampoo utilizza diversi meccanismi di garanzia della persistenza per impedire agli utenti di ripristinare i propri browser.
Per elaborare, Shampoo è stato osservato infiltrarsi nei sistemi dopo che un utente ha scaricato un VBScript, che esegue uno script PowerShell che crea un'attività pianificata che si ripete a determinati intervalli. Quindi, anche se lo script in loop viene terminato utilizzando Task Manager o riavviando il sistema, riappare come pianificato. Inoltre, esegue un altro script PowerShell che comporta l'installazione dell'estensione Shampoo.
Inoltre, il dirottatore impedisce agli utenti di accedere all'elenco delle estensioni di Google Chrome ("chrome://extensions") reindirizzandoli alle impostazioni ("chrome://settings"). Di seguito sono riportate le istruzioni su come eliminare shampoo.
L'estensione del browser Shampoo può anche visualizzare annunci pubblicitari, quindi è anche classificata come adware. Gli annunci pubblicati da questo software approvano principalmente truffe online, app/estensioni dannose e persino malware. Quando vengono cliccati, alcuni annunci intrusivi possono eseguire script per eseguire download ed installazioni senza l'autorizzazione dell'utente.
Come la maggior parte dei dirottatori del browser, Shampoo ha capacità di tracciamento dei dati. Le informazioni mirate possono includere: query cercate, URL visitati, pagine Web visualizzate, cookie Internet, credenziali di accesso, dettagli di identificazione personale, numeri di carte di credito, ecc. I dati raccolti possono quindi essere monetizzati tramite la vendita a terzi.
È interessante notare che il malware ChromeLoader si sta dimostrando una minaccia versatile; ci sono stati casi in cui le estensioni appartenenti a questa famiglia potrebbero causare infezioni a catena (ad esempio, download ed installazione di trojan, ransomware, ecc.). Pertanto, l'estensione del browser Shampoo potrebbe essere aggiornata con funzionalità pericolose aggiuntive/diverse o utilizzare altre tecniche di garanzia della persistenza.
In sintesi, la presenza di software come Shampoo sui dispositivi può provocare infezioni del sistema, gravi problemi di privacy, perdite finanziarie e persino furto di identità..
| Nome | Shampoo (ChromeLoader) |
| Tipologia di minaccia | Dirottatore del browser, reindirizzamento, dirottatore di ricerca, barra degli strumenti, nuova scheda indesiderata |
| Estensioni del browser | Shampoo |
| URL promossi | ythingamgladt.com |
| Nomi rilevati (ythingamgladt.com) | alphaMountain.ai (dannoso), Avira (malware), CyRadar (dannoso), Seclookup (dannoso), Sophos (malware), Elenco completo dei rilevamenti (VirusTotal) |
| IP del server (ythingamgladt.com) | 104.21.11.8 |
| Impostazioni del browser coinvolte | Home page, URL nuova scheda, motore di ricerca predefinito |
| Sintomi | Impostazioni del browser Internet manipolate (home page, motore di ricerca Internet predefinito, impostazioni di ogni nuova scheda). Gli utenti sono costretti a visitare il sito Web del dirottatore e cercare in Internet utilizzando i loro motori di ricerca. |
| Metodi distributivi | Annunci pop-up ingannevoli, installatori di software gratuiti (raggruppamento). |
| Danni | Tracciamento del browser Internet (potenziali problemi di privacy), visualizzazione di annunci indesiderati, reindirizzamenti a siti Web dubbi. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di browser hijacker
Abbiamo analizzato migliaia di campioni di browser hijacker; Volume Extra, Space backgrounds pictures, Lookup for Wikipedia, e Motivational Quotes sono solo alcune delle nostre ultime scoperte.
Il software di dirottamento del browser di solito appare legittimo e innocuo. Tende a infiltrarsi nei dispositivi con il pretesto di strumenti utili e innocui. Tuttavia, i dirottatori del browser raramente funzionano come pubblicizzato e, nella maggior parte dei casi, le funzionalità promesse non funzionano affatto.
Va sottolineato che anche se un software funziona come indicato dal suo materiale promozionale, ciò non costituisce una prova definitiva di legittimità o sicurezza.
Come è stato installato Shampoo (ChromeLoader) sul mio computer?
È stato notato che Shampoo viene diffuso come VBScript ospitato su siti Web di hosting di contenuti illegali. Pertanto, gli utenti consentono involontariamente al dirottatore del browser di accedere ai propri dispositivi credendo che si tratti di un programma, un film, un videogioco o altri media piratati.
Tuttavia, è pertinente menzionare che il software di dirottamento del browser viene distribuito utilizzando varie tecniche. Ad esempio, utilizzando la tattica di marketing "raggruppamento", in cui un normale programma di installazione del programma viene raggruppato con aggiunte indesiderate/dannose.
I dirottatori del browser possono anche avere pagine Web promozionali "ufficiali" e vengono spinti attraverso siti di truffa. La maggior parte dei visitatori di tali pagine le accede tramite reindirizzamenti generati da URL digitati in modo errato, siti Web che utilizzano reti pubblicitarie non autorizzate, notifiche del browser spam, annunci intrusivi o adware installati.
Anche le pubblicità intrusive diffondono questo software. Quando vengono cliccati, alcuni degli annunci possono eseguire script per eseguire download ed installazioni furtivi.
Come evitare l'installazione di browser hijacker?
Consigliamo vivamente di ricercare il software prima del download o dell'acquisto. Inoltre, tutti i download devono essere eseguiti da fonti ufficiali e verificate. Durante l'installazione, è essenziale leggere i termini, studiare le opzioni disponibili, utilizzare le impostazioni "Personalizzate/Avanzate" e disattivare tutte le aggiunte (ad esempio app, estensioni, strumenti, funzionalità, ecc.).
Un'altra raccomandazione è di prestare attenzione durante la navigazione poiché i contenuti online falsi e dannosi di solito appaiono legittimi e innocui. Ad esempio, mentre gli annunci intrusivi possono sembrare innocui, reindirizzano a siti inaffidabili e discutibili (ad es. Giochi d'azzardo, promozione di truffe, pornografia, incontri per adulti, ecc.).
In caso di continui incontri con annunci/reindirizzamenti di questo tipo, controllare il dispositivo e rimuovere immediatamente tutte le applicazioni sospette e le estensioni/plug-in del browser. Se il tuo computer è già stato infettato da Shampoo (ChromeLoader), ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente questo browser hijacker.
Rimozione del dirottatore del browser Shampoo;
Termina lo script di PowerShell in loop creato da Shampoo tramite Task Manager di Windows:
Tieni presente che la fine dello script disabiliterà il software solo temporaneamente, quindi i seguenti passaggi di rimozione devono essere eseguiti rapidamente!
A differenza delle attività legittime di Google Chrome che includono "Google" nei loro titoli, Shampoo crea un'attività pianificata con il prefisso "chrome_" (ad esempio, "chrome center", "chrome policy", "chrome engine", "chrome about", ecc.) .
Rimuovi l'attività pianificata tramite l'Utilità di pianificazione:
Rimuovere la chiave di registro "HKEY_CURRENT_USER:\Software\Mirage Utilities\" creata da Shampoo tramite l'editor del registro:
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cos'è Shampoo (ChromeLoader)?
- STEP 1. Disinstalla le applicazioni indesiderate utilizzando il Pannello di controllo.
- STEP 2. Rimuovi il dirottatore del browser Shampoo (ChromeLoader) da Google Chrome.
- STEP 3. Rimuovi la home page e il motore di ricerca predefinito di ythingamgladt.com da Mozilla Firefox.
- STEP 4. Rimuovi il reindirizzamento ythingamgladt.com da Safari.
- STEP 5. Rimuovi i plug-in non autorizzati da Microsoft Edge.
Rimozione del dirottatore del browser Shampoo (ChromeLoader):
Windows 10:
Pulsante destro del mouse nell'angolo in basso a sinistra dello schermo, nel menu di accesso rapido selezionare Pannello di controllo. Nella finestra aperta scegliere Disinstalla un programma.
Windows 7:
Fare clic su Start ("Windows Logo" nell'angolo in basso a sinistra del desktop), scegli Pannello di controllo. Individuare Programmi e fare clic su Disinstalla un programma.
macOS (OSX):
Fare clic su Finder, nella finestra aperta selezionare Applicazioni. Trascinare l'applicazione dalla cartella Applicazioni nel Cestino (che si trova nella Dock), quindi fare clic con il tasto destro sull'icona del Cestino e selezionare Svuota cestino.
Nella finestra di disinstallazione programmi: cercare ogni programma sospetto recentemente installato, selezionare queste voci e fare clic su "Disinstalla" o "Rimuovi".
Dopo la disinstallazione di queste applicazioni, eseguire la scansione del computer alla ricerca di eventuali componenti indesiderati rimasti o infezioni di malware possibili con Il miglior software anti-malware.
Rimozione del dirottatore del browser Shampoo (ChromeLoader) dai browser Internet:
Video che mostra come rimuovere i reindirizzamenti del browser:
Rimuovere componenti aggiuntivi malevoli da Google Chrome:
Fare clic sull'icona di menu Chrome 
(nell'angolo in alto a destra di Google Chrome), seleziona "Altri strumenti" e fai clic su "Estensioni". Individua "Shampoo" e altre estensioni sospette installate di recente, seleziona queste voci e fai clic su "Rimuovi".
Cambia la tua home page:
Fare clic sull'icona di menu Chrome (nell'angolo in alto a destra di Google Chrome), seleziona "Impostazioni". Nella sezione "All'avvio", disabilita "Shampoo" ed ogni app sospetta e cerca l'URL di un browser hijacker (hxxp://www.ythingamgladt.com) sotto l'opzione "Apri una pagina specifica o un insieme di pagine". Se presente, fai clic sull'icona dei tre punti verticali e seleziona "Rimuovi".
Cambia il tuo motore di ricerca predefinito:
Per modificare il motore di ricerca predefinito in Google Chrome: fai clic sull'icona del menu Chrome (nell'angolo in alto a destra di Google Chrome), seleziona "Impostazioni", nella sezione "Motore di ricerca", fai clic su "Gestisci motori di ricerca...", nell'elenco aperto cerca "ythingamgladt.com", una volta individuato fai clic su tre punti verticali vicino a questo URL e seleziona "Elimina".
- Se continui ad avere problemi con i reindirizzamenti del browser e le pubblicità indesiderate - Ripristina Google Chrome.
Metodo opzionale:
Se continuate ad avere problemi con la rimozione di shampoo browser hijacker, resettate le impostazioni di Google Chrome. Cliccate sull'icona menu du Chrome (nell'angolo in alto a destra di Google Chrome) e selezionate Impostazioni. Scendete fino in fondo. Cliccate sul link Avanzate….
Scendete fino in fondo alla pagina e cliccate su Ripristina (Ripristina le impostazioni originali).
Nella finestra che si aprirà, confermate che volete ripristinare Google Chrome cliccando su Ripristina.
Rimuovi estensioni dannose da Mozilla Firefox:
Fai clic sul menu Firefox
(nell'angolo in alto a della finestra principale), seleziona "Componenti aggiuntivi e temi". Fai clic su "Estensioni", nella finestra aperta individua "Shampoo" ed ogni plug in sospetto recentemente installato, fai clic sui tre punti e quindi fai clic su "Rimuovi".
Cambia la tua homepage:
Per ripristinare la tua homepage, fai clic sul menu di Firefox (nell'angolo in alto a destra della finestra principale), quindi seleziona "Impostazioni", nella finestra aperta disabilita "Shampoo" e rimuovi "hxxp://ythingamgladt.com" e inserisci il tuo dominio preferito, che si aprirà ogni volta che avvii Mozilla Firefox.
Cambia il tuo motore di ricerca predefinito:
Nella barra degli indirizzi URL, digita "about:config" e premi Invio. Fai clic su "Accetta il rischio e continua".
Nel filtro di ricerca in alto, digita: "extensionControlled". Imposta entrambi i risultati su "false" facendo doppio clic su ciascuna voce o facendo clic su 
.
Metodo Opzionale:
Gli utenti di computer che hanno problemi con la rimozione di shampoo browser hijacker, possono ripristinare le impostazioni di Mozilla Firefox.
Apri Mozilla Firefox, in alto a destra della finestra principale fare clic sul menu Firefox, nel menu aperto fare clic sull'icona Open Menu Guida, 
Selezionare Informazioni Risoluzione dei problemi.
nella finestra aperta fare clic sul pulsante Ripristina Firefox.
Nella finestra aperta confermare che si desidera ripristinare le impostazioni di Mozilla Firefox predefinite facendo clic sul pulsante Reset.
Rimuovi estensioni malevole da Safari:
Assicurati che il tuo browser Safari sia attivo e fai clic sul menu Safari, quindi selezionare Preferenze ...
Nella finestra delle preferenze selezionare la scheda Estensioni. Cercare eventuali estensioni sospette recentemente installate e disinstallarle.
Nella finestra delle preferenze selezionare la scheda Generale e fare in modo che la tua home page sia impostata su un URL preferito, se alterato da un dirottatore del browser - cambiarlo.
Nella finestra delle preferenze selezionare Ricerca e assicurarsi che il motore di ricerca Internet preferito sia selezionato.
Metodo opzionale:
Assicurati che il tuo browser Safari sia attivo e clicca sul menu Safari. Dal menu a discesa selezionare Cancella cronologia e dati Sito...
Nella finestra aperta selezionare tutta la cronologia e fare clic sul pulsante Cancella cronologia.
Rimuovi estensioni dannose da Microsoft Edge:
Fai clic sull'icona del menu Edge 
(nell'angolo in alto a destra di Microsoft Edge), seleziona "Estensioni". Individua eventuali componenti aggiuntivi sospetti installati di recente e rimuovili.
Modifica la tua home page e le nuove impostazioni di ogni scheda:
Fai clic selezionato dal menu Edge (nell'angolo in alto a destra di Microsoft Edge), seleziona "Impostazioni". Nella sezione "All'avvio" cerca il nome del browser hijacker e fai clic su "Disabilita".
Modifica il tuo motore di ricerca Internet predefinito:
Per modificare il motore di ricerca predefinito in Microsoft Edge: Fai clic sull'icona del menu Edge (nell'angolo in alto a destra di Microsoft Edge), seleziona "Privacy e servizi", scorri fino alla fine della pagina e seleziona "Barra degli indirizzi". Nella sezione "Motori di ricerca utilizzati nella barra degli indirizzi" cerca il nome del motore di ricerca Internet indesiderato, quando si trova fare clic sul pulsante "Disabilita" vicino ad esso. In alternativa è possibile fare clic su "Gestisci motori di ricerca", nel menu aperto cercare un motore di ricerca Internet indesiderato. Fai clic sull'icona a puzzle 
vicino ad esso e selezionare "Disabilita".
Metodo opzionale:
Se i problemi con la rimozione di shampoo browser hijacker persistono, ripristinare le impostazioni del browser Microsoft Edge. Fai clic sull'icona del menu Edge (nell'angolo in alto a destra di Microsoft Edge) e selezionare Impostazioni.
Nel menu delle impostazioni aperto selezionare Ripristina impostazioni.
Seleziona Ripristina le impostazioni ai loro valori predefiniti. Nella finestra aperta, confermare che si desidera ripristinare le impostazioni predefinite di Microsoft Edge facendo clic sul pulsante Ripristina.
- ISe questo non ha aiutato, segui queste alternative istruzioni che spiegano come ripristinare il browser Microsoft Edge.
Sommario:
Un browser hijacker è un tipo di adware che altera le impostazioni del browser Internet dell'utente, modificando il proprio motore di ricerca e homepage di default di Internet in qualche sito indesiderato. Più comunemente questo tipo di adware si infiltra nel sistema operativo dell'utente attraverso il download di software gratuiti. Se il download è gestito da un download client assicuratevi di scegliere di installare le barre degli strumenti pubblicizzate o applicazioni che cercano di cambiare il motore di ricerca Internet e homepage predefinita.
Assistenza alla rimozione:
Se si verificano problemi durante il tentativo di rimozione di shampoo browser hijacker dal tuo browser, chiedere assistenza nel nostro forum rimozione malware.
Lascia un commento:
Se disponi di ulteriori informazioni su shampoo browser hijacker o la sua rimozione ti invitiamo a condividere la tua conoscenza nella sezione commenti qui sotto.
Fonte: https://www.pcrisk.com/removal-guides/27067-shampoo-chromeloader-malware
Domande Frequenti (FAQ)
Qual è lo scopo di costringere gli utenti a visitare il sito Web ythingamgladt.com?
I criminali informatici, come gli sviluppatori di falsi motori di ricerca e browser hijacker, generano entrate attraverso reindirizzamenti a siti come ythingamgladt.com e simili.
Visitare ythingamgladt.com costituisce una minaccia per la mia privacy?
In una certa misura, sì. I siti Web promossi da browser hijacker in genere raccolgono (e vendono) i dati dei visitatori.
In che modo un browser hijacker si è infiltrato nel mio computer?
È stato osservato che l'estensione del browser Shampoo viene distribuita attraverso siti Web che ospitano contenuti piratati (ad esempio film, musica, videogiochi, software, ecc.). Tuttavia, i dirottatori del browser vengono diffusi anche tramite programmi di installazione in bundle, pagine Web promozionali ingannevoli, siti di hosting di file gratuiti e gratuiti, reti di condivisione P2P, truffe online, notifiche del browser spam e annunci intrusivi.
Combo Cleaner mi aiuterà a rimuovere il dirottatore del browser Shampoo?
Sì, Combo Cleaner eseguirà la scansione del tuo computer ed eliminerà le applicazioni di dirottamento del browser rilevate. Tieni presente che la rimozione manuale (senza l'ausilio di software di sicurezza) potrebbe non essere l'ideale, in particolare quando sono presenti più browser hijacker. In questi casi, dopo che un browser hijacker è stato rimosso, gli altri potrebbero semplicemente reinstallarlo. Inoltre, questo software può utilizzare tecniche che garantiscono la persistenza per complicare notevolmente la sua rimozione. Pertanto, i dirottatori del browser devono essere eliminati completamente e tutti in una volta.
Eccezionale!
▼ Mostra Discussione