Jak usunąć malware Shampoo (ChromeLoader) porywające przeglądarkę

Jakim oprogramowaniem jest Shampoo (ChromeLoader)?

Shampoo to nazwa rozszerzenia przeglądarki, które jest dystrybuowane w najnowszej kampanii malware ChromeLoader. To oprogramowanie działa głównie jako porywacz przeglądarki, ale ma również funkcje adware.

Shampoo jest podobny do Ring porywacza przeglądarki, chociaż ten pierwszy jest bardziej wyrafinowany i wykorzystuje wiele technik zapewniających trwałość.

Przegląd porywacza przeglądarki Shampoo (ChromeLoader)

Zwykle oprogramowanie porywające przeglądarkę zmienia ustawienia przeglądarki, ponownie przypisując ich domyślne wyszukiwarki, strony domowe i adresy URL nowych kart/okien do adresów promowanych witryn. Jednak nie wszystkie porywacze przeglądarki dokonują zmian w tych ustawieniach.

Po zainstalowaniu takiego oprogramowania: otwieranie nowych kart/okien przeglądarki i wpisywanie zapytań w pasku adresu URL prowadzi do przekierowań do promowanej fałszywej wyszukiwarki. W czasie badań rozszerzenie Shampoo generowało przekierowania poprzez ythingamgladt.com do wyszukiwarki Bing.

Nielegalne wyszukiwarki (np. ythingamgladt.com) często prowadzą użytkowników do prawdziwych wyszukiwarek internetowych, takich jak Bing, Yahoo, Google i innych. Wynika to z faktu, że fałszywe wyszukiwarki zwykle nie są w stanie samodzielnie zapewnić wyników wyszukiwania. Jednak przekierowania mogą się różnić, ponieważ mogą na nie wpływać takie czynniki, jak geolokalizacja użytkownika.

Jak wspomniano na wstępie, rozszerzenie przeglądarki Shampoo wykorzystuje kilka mechanizmów zapewniających trwałość, aby uniemożliwić użytkownikom odzyskanie ich przeglądarek.

Aby rozwinąć, zaobserwowano, że Shampoo infiltruje systemy po pobraniu przez użytkownika skryptu VBScript, który uruchamia skrypt PowerShell, który tworzy zaplanowane zadanie powtarzające się w określonych odstępach czasu. Dlatego nawet jeśli zapętlony skrypt zostanie zakończony za pomocą Menedżera zadań lub ponownego uruchomienia systemu – pojawi się ponownie zgodnie z planem. Dodatkowo uruchamia inny skrypt PowerShell, który powoduje instalację rozszerzenia Shampoo.

Ponadto porywacz uniemożliwia użytkownikom dostęp do listy rozszerzeń Google Chrome („chrome://extensions"), przekierowując ich do ustawień („chrome://settings"). Instrukcje, jak usunąć Shampoo można znaleźć poniżej.

Rozszerzenie przeglądarki Shampoo może również wyświetlać reklamy – dlatego też jest klasyfikowane jako adware. Reklamy generowane przez to oprogramowanie promują przede wszystkim oszustwa internetowe, szkodliwe aplikacje/rozszerzenia, a nawet malware. Po kliknięciu niektóre natrętne reklamy mogą uruchamiać skrypty w celu pobierania/instalowania bez zgody użytkownika.

Podobnie jak większość porywaczy przeglądarki, Shampoo ma możliwości śledzenia danych. Obierane za cel informacje mogą obejmować: wyszukiwane hasła, odwiedzane adresy URL, przeglądane strony internetowe, internetowe pliki cookie, dane logowania, dane osobowe, numery kart kredytowych itp. Na zebranych danych można następnie zarabiać poprzez sprzedaż stronom trzecim.

Warto zauważyć, że malware ChromeLoader okazuje się być wszechstronnym zagrożeniem. Zdarzały się przypadki, w których rozszerzenia należące do tej rodziny mogły powodować infekcje łańcuchowe (tj. pobieranie/instalowanie trojanów, ransomware itp.). Dlatego rozszerzenie przeglądarki Shampoo może zostać zaktualizowane o dodatkowe/inne niebezpieczne funkcje lub użyć innych technik zapewniających trwałość.

Podsumowując, obecność oprogramowania takiego jak Shampoo na urządzeniach może skutkować infekcjami systemu, poważnymi problemami prywatności, stratami finansowymi, a nawet kradzieżą tożsamości.

Podsumowanie zagrożenia:

Nazwa	Shampoo (ChromeLoader)
Typ zagrożenia	Porywacz przeglądarki, przekierowanie, porywacz wyszukiwania, pasek narzędzi, niechciana nowa karta
Rozszerzenie(a) przeglądarki	Shampoo
Promowany adres URL	ythingamgladt.com
Nazwy wykrycia (ythingamgladt.com)	alphaMountain.ai (złośliwy), Avira (malware), CyRadar (złośliwy), Seclookup (złośliwy), Sophos (malware), Pełna lista wykrycia (VirusTotal)
Obsługiwany adres IP (ythingamgladt.com)	104.21.11.8
Zmienione ustawienia przeglądarki	Strona główna, adres URL nowej karty, domyślna wyszukiwarka
Objawy	Zmienione ustawienia przeglądarki internetowej (strona główna, domyślna wyszukiwarka internetowa, ustawienia nowej karty). Użytkownicy są zmuszani do odwiedzania strony porywacza i przeszukiwania internetu za pomocą jego wyszukiwarek.
Metody dystrybucji	Zwodnicze reklamy pop-up, instalatory bezpłatnego oprogramowania (sprzedaż wiązana).
Zniszczenie	Śledzenie przeglądarki internetowej (potencjalne problemy z prywatnością), wyświetlanie niechcianych reklam, przekierowania do podejrzanych witryn.
Usuwanie malware (Windows)	Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. ▼ Pobierz Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Przykłady porywaczy przeglądarki

Przeanalizowaliśmy tysiące próbek porywacza przeglądarki, a Volume Extra, Space backgrounds pictures, Lookup for Wikipedia i Motivational Quotes to tylko niektóre z naszych najnowszych odkryć.

Oprogramowanie porywające przeglądarkę zwykle wygląda na legalne i nieszkodliwe. Ma tendencję do infiltracji urządzeń pod pozorem użytecznych i nieszkodliwych narzędzi. Jednak porywacze przeglądarki rzadko działają zgodnie z reklamą, a w większości przypadków obiecane funkcje w ogóle nie działają.

Należy podkreślić, że nawet jeśli oprogramowanie działa zgodnie z reklamą, nie jest to ostateczny dowód legalności ani bezpieczeństwa.

Jak zainstalowano Shampoo (ChromeLoader) na moim komputerze?

Odnotowano, że Shampoo jest rozpowszechniane jako skrypt VBScript hostowany na nielegalnych witrynach hostujących treści. Dlatego użytkownicy nieumyślnie wpuszczają porywacza przeglądarki na swoje urządzenia, wierząc, że jest to piracki program, film, gra wideo lub inne media.

Należy jednak wspomnieć, że oprogramowanie porywające przeglądarkę jest dystrybuowane przy użyciu różnych technik. Przykładowo, stosując taktykę marketingową „sprzedaży wiązanej", w której zwykły instalator programu jest dołączany do niechcianych/złośliwych dodatków.

Porywacze przeglądarki mogą również mieć „oficjalne" promocyjne strony internetowe i są promowane przez oszukańcze witryny. Większość odwiedzających te strony wchodzi na nie poprzez przekierowania generowane przez błędnie wpisane adresy URL, witryny korzystające z nieuczciwych sieci reklamowych, spamowe powiadomienia przeglądarki, natrętne reklamy lub zainstalowane adware.

Natrętne reklamy również dystrybuują to oprogramowanie. Po kliknięciu niektóre reklamy mogą uruchamiać skrypty w celu potajemnego pobierania/instalowania produktów.

Jak uniknąć instalacji porywaczy przeglądarki?

Zdecydowanie zalecamy sprawdzanie oprogramowania przed pobraniem lub zakupem. Ponadto wszystkie pobrania muszą pochodzić z oficjalnych i zweryfikowanych źródeł. Podczas instalacji bardzo ważne jest, aby przeczytać warunki, przestudiować dostępne opcje, użyć „Niestandardowych"/„Zaawansowanych" ustawień i zrezygnować ze wszystkich dodatków (np. aplikacji, rozszerzeń, narzędzi, funkcji itp.).

Innym zaleceniem jest zachowanie ostrożności podczas przeglądania sieci, ponieważ fałszywe i złośliwe treści online zwykle wydają się uzasadnione i nieszkodliwe. Przykładowo, chociaż natrętne reklamy mogą wyglądać nieszkodliwie, przekierowywać do niewiarygodnych i podejrzanych witryn (np. z hazardem, promujących oszustwa, pornografię, randki dla dorosłych itp.).

W przypadku ciągłych spotkań z tego rodzaju reklamami/przekierowaniami, sprawdź urządzenie i natychmiast usuń wszystkie podejrzane aplikacje oraz rozszerzenia/wtyczki przeglądarki. Jeśli twój komputer jest już zainfekowany Shampoo (ChromeLoader), zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć tego porywacza przeglądarki.

Usuwanie porywacza przeglądarki Shampoo:

Zakończ zapętlony skrypt PowerShell utworzony przez Shampoo za pomocą Menedżera zadań Windows:

Pamiętaj, że zakończenie działania skryptu wyłączy oprogramowanie tylko tymczasowo – dlatego poniższe kroki usuwania muszą być wykonane szybko!

W przeciwieństwie do legalnych zadań Google Chrome, które zawierają „Google" w tytule, Shampoo tworzy zaplanowane zadanie z przedrostkiem „chrome_" (np. „chrome center", „chrome policy", „chrome engine", „chrome about" itp.).

Usuń zaplanowane zadanie za pomocą Harmonogramu zadań:

Usuń klucz rejestru „HKEY_CURRENT_USER:\Software\Mirage Utilities\" utworzony przez Shampoo za pomocą Edytora rejestru:

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

• Czym jest Shampoo (ChromeLoader)?
• KROK 1. Odinstalowanie niechcianych aplikacji przy użyciu Panelu sterowania.
• KROK 2. Usuwanie porywacza przeglądarki Shampoo (ChromeLoader) a Google Chrome.
• KROK 3. Usuwanie strony domowej i domyślnej wyszukiwarki ythingamgladt.com z Mozilla Firefox.
• KROK 4. Usuwanie przekierowania ythingamgladt.com z Safari.
• KROK 5. Usuwanie zwodniczych wtyczek z Microsoft Edge.

Usuwanie porywacza przeglądarki Shampoo (ChromeLoader):

Użytkownicy Windows 10:

Kliknij prawym przyciskiem myszy w lewym dolnym rogu ekranu i w menu szybkiego dostępu wybierz Panel sterowania. W otwartym oknie wybierz Programy i funkcje.

Użytkownicy Windows 7:

Kliknij Start ("logo Windows" w lewym dolnym rogu pulpitu) i wybierz Panel sterowania. Zlokalizuj Programy i funkcje.

Użytkownicy macOS (OSX):

Kliknij Finder i w otwartym oknie wybierz Aplikacje. Przeciągnij aplikację z folderu Aplikacje do kosza (zlokalizowanego w Twoim Docku), a następnie kliknij prawym przyciskiem ikonę Kosza i wybierz Opróżnij kosz.

W oknie odinstalowywania programów: spójrz na wszelkie ostatnio zainstalowane podejrzane aplikacje, wybierz te wpisy i kliknij przycisk „Odinstaluj" lub „Usuń".

Po odinstalowaniu potencjalnie niechcianych aplikacji przeskanuj swój komputer pod kątem wszelkich pozostałych niepożądanych składników. Zalecane oprogramowanie usuwania malware.

Usuwanie porywacza przeglądarki Shampoo (ChromeLoader) z przeglądarek internetowych:

Film pokazujący, jak usunąć przekierowania przeglądarki:

Usuwanie złośliwych rozszerzeń z Google Chrome:

Kliknij ikonę menu Chrome  (w prawym górnym rogu przeglądarki Google Chrome), wybierz „Rozszerzenia" i kliknij „Zarządzaj rozszerzeniami". Zlokalizuj „Shampoo" i inne ostatnio zainstalowane podejrzane rozszerzenia, wybierz te wpisy i kliknij „Usuń".

Zmiana twojej strony domowej:

Kliknij ikonę menu Chrome  (w prawym górnym rogu przeglądarki Google Chrome), wybierz „Ustawienia". W sekcji „Na starcie" wyłącz „Shampoo", poszukaj adresu URL porywacza przeglądarki (hxxp://www.ythingamgladt.com) poniżej opcji „Otwórz określoną lub zestaw stron". Jeśli jest obecny, kliknij ikonę trzech pionowych kropek i wybierz „Usuń".

Zmiana twojej domyślnej wyszukiwarki:

Aby zmienić domyślną wyszukiwarkę w Google Chrome: kliknij ikonę menu Chrome  (w prawym górnym rogu Google Chrome), wybierz „Ustawienia", w sekcji „Wyszukiwarka" kliknij „Zarządzaj wyszukiwarkami...", na otwartej liście poszukaj „ythingamgladt.com", po zlokalizowaniu kliknij trzy pionowe kropki w pobliżu tego adresu URL i wybierz „Usuń".

• Jeśli nadal masz problemy z przekierowaniami przeglądarki i niechcianymi reklamami - Przywróć Google Chrome.

Metoda opcjonalna:

Jeśli nadal masz problem z usunięciem porywacz przeglądarki shampoo, przywróć ustawienia swojej przeglądarki Google Chrome. Kliknij ikonę menu Chrome  (w prawym górnym rogu Google Chrome) i wybierz Ustawienia. Przewiń w dół do dołu ekranu. Kliknij link Zaawansowane….

Po przewinięciu do dołu ekranu, kliknij przycisk Resetuj (Przywróć ustawienia do wartości domyślnych).

W otwartym oknie potwierdź, że chcesz przywrócić ustawienia Google Chrome do wartości domyślnych klikając przycisk Resetuj.

Usuwanie złośliwych rozszerzeń z Mozilla Firefox:

Kliknij menu Firefox  (w prawym górnym rogu okna głównego), wybierz „Dodatki i motywy". Kliknij „Rozszerzenia", w otwartym oknie zlokalizuj „Shampoo", a także wszystkie ostatnio zainstalowane podejrzane rozszerzenia, kliknij trzy kropki, a następnie kliknij „Usuń".

Zmiana twojej strony domowej:

Aby przywrócić twoją stronę domową, kliknij menu Firefox  (w prawym górnym rogu okna głównego), a następnie wybierz „Ustawienia". W otwartym oknie wyłącz „Shampoo", usuń hxxp://ythingamgladt.com i wprowadź preferowaną domenę, która otworzy się przy każdym uruchomieniu Mozilla Firefox.

Zmiana twojej strony domowej:

W pasku adresu URL wpisz „about:config" i naciśnij Enter. Kliknij „Zaakceptuj ryzyko i kontynuuj".

W filtrze wyszukiwania u góry wpisz: „extensionControlled". Ustaw oba wyniki na „fałszywe", klikając dwukrotnie każdy wpis lub klikając przycisk .

Metoda opcjonalna:

Użytkownicy komputerów, którzy mają problemy z usunięciem porywacz przeglądarki shampoo, mogą zresetować ustawienia Mozilla Firefox do domyślnych.

Otwórz Mozilla Firefox i w prawym górnym rogu okna głównego kliknij menu Firefox . W otworzonym menu kliknij na ikonę Otwórz Menu Pomoc.

Wybierz Informacje dotyczące rozwiązywania problemów.

W otwartym oknie kliknij na przycisk Reset Firefox.

W otwartym oknie potwierdź, że chcesz zresetować ustawienia Mozilla Firefox do domyślnych klikając przycisk Reset.

Usuwanie złośliwych rozszerzeń z Safari:

Upewnij się, że Twoja przeglądarka Safari jest aktywna, kliknij menu Safari i wybierz Preferencje....

W otwartym oknie preferencji wybierz zakładkę Rozszerzenia. Zlokalizuj wszelkie ostatnio zainstalowane podejrzane rozszerzenia i odinstaluj je.

W oknie preferencji wybierz zakładkę Ogólne i upewnij się, że Twoja strona domowa jest ustawiona na preferowany URL. Jeżeli jest zmieniona na porywacz przeglądarki, zmień to.

W oknie preferencji wybierz zakładkę Szukaj i upewnij się, że wybrana jest Twoja preferowana wyszukiwarka.

Metoda opcjonalna:

Upewnij się, że Twoja przeglądarka Safari jest aktywna i kliknij menu Safari. Z rozwijanego menu wybierz Wyczyść historię i dane witryn...

W otwartym oknie wybierz całą historię i kliknij przycisk wyczyść historię.

Usuwanie złośliwych rozszerzeń z Microsoft Edge:

Kliknij ikonę menu Edge  (w prawym górnym rogu Microsoft Edge) i wybierz "Rozszerzenia". Znajdź wszelkie ostatnio zainstalowane podejrzane dodatki przeglądarki i usuń je.

Zmień ustawienia strony domowej i nowej zakładki:

Kliknij ikonę menu Edge  (w prawym górnym rogu Microsoft Edge) i wybierz „Ustawienia". W sekcji "Po uruchomieniu" poszukaj nazwy porywacza przeglądarki i kliknij "Wyłącz".

Zmień swoją domyślną wyszukiwarkę internetową:

Aby zmienić swoją domyślną wyszukiwarkę w Microsoft Edge: Kliknij ikonę menu Edge  (w prawym górnym rogu Microsoft Edge), wybierz "Prywatność i usługi", przewiń w dół strony i wybierz "Pasek adresu". W sekcji "Wyszukiwarki używane w pasku adresu" poszukaj nazwy niechcianej wyszukiwarki internetowej, a po jej zlokalizowaniu kliknij przycisk "Wyłącz" obok niej. Możesz też kliknąć "Zarządzanie wyszukiwarkami". W otwartym menu poszukaj niechcianej wyszukiwarki internetowej. Kliknij ikonę puzzli  obok niej i wybierz "Wyłącz".

Metoda opcjonalna:

Jeśli nadal masz problemy z usunięciem porywacz przeglądarki shampoo, przywróć ustawienia przeglądarki Microsoft Edge. Kliknij ikonę menu Edge  (w prawym górnym rogu Microsoft Edge) i wybierz Ustawienia.

W otwartym menu ustawień wybierz Przywróć ustawienia.

Wybierz Przywróć ustawienia do ich wartości domyślnych. W otwartym oknie potwierdź, że chcesz przywrócić ustawienia Microsoft Edge do domyślnych, klikając przycisk Przywróć.

• Jeśli to nie pomogło, postępuj zgodnie z tymi alternatywnymi instrukcjami wyjaśniającymi, jak przywrócić przeglądarkę Microsoft Edge..

Podsumowanie:

Porywacz przeglądarki to takiego typu adware, które zmienia ustawienia przeglądarki internetowej użytkownika poprzez zmianę strony domowej i domyślnej wyszukiwarki na pewną domyślną niechcianą stronę internetową. Najczęściej tego typu adware infiltruje system operacyjny użytkownika poprzez pobrania bezpłatnego oprogramowania. Jeśli twoje pobieranie jest zarządzane przez klienta pobierania, należy zrezygnować z instalacji reklamowanych pasków narzędzi lub aplikacji, które chcą zmienić twoją stronę domową i domyślną wyszukiwarkę internetową.

Pomoc usuwania:
Jeśli masz problemy podczas próby usunięcia porywacz przeglądarki shampoo ze swoich przeglądarek internetowych, powinieneś zwrócić się o pomoc na naszym forum usuwania malware.

Opublikuj komentarz:
Jeśli masz dodatkowe informacje na temat porywacz przeglądarki shampoo lub jego usunięcia, prosimy podziel się swoją wiedzą w sekcji komentarzy poniżej.

Źródło: https://www.pcrisk.com/removal-guides/27067-shampoo-chromeloader-malware

Często zadawane pytania (FAQ)

Jaki jest cel zmuszania użytkowników do odwiedzania strony ythingamgladt.com?

Cyberprzestępcy, tacy jak twórcy fałszywych wyszukiwarek i porywaczy przeglądarki, generują przychody poprzez przekierowania do stron takich jak ythingamgladt.com i podobnych.

Czy odwiedzanie witryny ythingamgladt.com stanowi zagrożenie dla mojej prywatności?

W pewnym stopniu tak. Witryny promowane przez porywaczy przeglądarki zwykle zbierają (i sprzedają) dane odwiedzających.

Jak porywacz przeglądarki przeniknął do mojego komputera?

Zaobserwowano, że rozszerzenie przeglądarki Shampoo jest rozpowszechniane za pośrednictwem stron internetowych zawierających pirackie treści (np. filmy, muzykę, gry wideo, oprogramowanie itp.). Jednak porywacze przeglądarki są również dystrybuowane za pośrednictwem dołączonych instalatorów, zwodniczych promocyjnych stron internetowych, witryn z freeware i stron z bezpłatnym hostingiem plików, sieci udostępniania P2P, oszustw internetowych, spamowych powiadomień przeglądarki i natrętnych reklam.

Czy Combo Cleaner pomoże mi usunąć porywacza przeglądarki Shampoo?

Tak, Combo Cleaner przeskanuje twój komputer i usunie wykryte aplikacje porywające przeglądarkę. Pamiętaj, że ręczne usuwanie (bez pomocy oprogramowania bezpieczeństwa) może nie być idealne, zwłaszcza gdy obecnych jest wiele porywaczy przeglądarki. W takich przypadkach, po usunięciu jednego porywacza przeglądarki – inne mogą go po prostu ponownie zainstalować. Co więcej, to oprogramowanie może wykorzystywać techniki zapewniające trwałość, aby znacznie skomplikować jego usunięcie. Dlatego porywacze przeglądarki muszą zostać dokładnie i jednocześnie usunięte.

▼ Pokaż dyskusję