Como remover o malware de sequestro de navegador Shampoo (ChromeLoader)
Escrito por Tomas Meskauskas a
Que tipo de software é o Shampoo (ChromeLoader)?
Shampoo é o nome de uma extensão de navegador, que está a proliferar na mais recente campanha de malware ChromeLoader. Este software funciona principalmente como um sequestrador de navegador, mas também tem funcionalidades de adware.
O Shampoo é semelhante ao sequestrador de navegador Ring, embora o primeiro seja mais sofisticado e utilize várias técnicas de garantia de persistência.
Visão geral do sequestrador de navegador Shampoo (ChromeLoader)
Normalmente, o software sequestrador de navegador modifica as definições do navegador reatribuindo os seus motores de pesquisa pré-definidos, páginas iniciais e novos URLs de separador/janela aos endereços de sites promovidos. No entanto, nem todos os sequestradores de navegador fazem alterações a estas definições.
Com este software instalado: novos separadores/janelas do navegador abertos e consultas de pesquisa digitadas na barra de URL - resultam em redireccionamentos para o falso motor de pesquisa aprovado. No momento da pesquisa, a extensão Shampoo gerou redireccionamentos através do ythingamgladt.com para o motor de pesquisa Bing.
É comum que os motores de pesquisa ilegítimos (por exemplo, ythingamgladt.com) levem os utilizadores a sites de pesquisa genuínos da Internet como Bing, Yahoo, Google e outros. Isto é devido ao facto de que os motores de pesquisa falsos são geralmente incapazes de fornecer resultados de pesquisa. No entanto, os redireccionamentos podem ser diferentes, uma vez que podem ser influenciados por factores como a geolocalização do utilizador.
Como mencionado na introdução, a extensão do navegador Shampoo utiliza vários mecanismos de garantia de persistência para impedir que os utilizadores recuperem os seus navegadores.
Para elaborar, o Shampoo tem sido observado a infiltrar-se nos sistemas depois de um utilizador descarregar um VBScript, que executa um script PowerShell que cria uma tarefa agendada que se repete em determinados intervalos. Assim, mesmo que o script em loop seja terminado usando o Gestor de Tarefas ou reiniciando o sistema - reaparece como programado. Além disso, executa outro script PowerShell que resulta na instalação da extensão Shampoo.
Além disso, o sequestrador impede os utilizadores de aceder à lista de extensões do Google Chrome ("chrome://extensions") redireccionando-os para as definições ("chrome://settings"). As instruções sobre como eliminar o Shampoo podem ser encontradas abaixo.
A extensão de navegador Shampoo também pode exibir anúncios - por isso, também é classificada como adware. Os anúncios distribuídos por este software patrocinam principalmente fraudes online, aplicações/extensões prejudiciais, e até mesmo malware. Quando clicados, alguns anúncios intrusivos podem executar scripts para executar descarregamentos/instalações sem a permissão do utilizador.
Tal como a maioria dos sequestradores de navegador, Shampoo tem capacidades de rastreio de dados. As informações visadas podem incluir: consultas pesquisadas, URLs visitados, páginas web visualizadas, cookies de Internet, credenciais de login, detalhes de identificação pessoal, números de cartão de crédito, etc. Os dados recolhidos podem depois ser rentabilizados através da venda a terceiros.
É digno de nota que o malware ChromeLoader está a provar ser uma ameaça versátil; houve casos em que as extensões pertencentes a esta família podem causar infecções em cadeia (ou seja, descarregar/instalar trojans, ransomware, etc.). Por conseguinte, a extensão do navegador Shampoo pode ser actualizada com capacidades perigosas adicionais/diferentes ou utilizar outras técnicas de garantia de persistência.
Em suma, a presença de software como o Shampoo nos dispositivos pode resultar em infecções do sistema, graves problemas de privacidade, perdas financeiras e até mesmo roubo de identidade.
| Nome | Shampoo (ChromeLoader) |
| Tipo de Ameaça | Sequestrador de Navegador, Redirecionamento, Sequestrador de Pesquisa, Barra de Ferramentas, Novo Separador Indesejado |
| Extensão(s) de Navegador | Shampoo |
| URL Promovido | ythingamgladt.com |
| Nomes de deteção (ythingamgladt.com) | alphaMountain.ai (Malicioso), Avira (Malware), CyRadar (Malicioso), Seclookup (Malicioso), Sophos (Malware), Lista completa de detecções (VirusTotal) |
| Endereço IP do servidor (ythingamgladt.com) | 104.21.11.8 |
| Configurações do Navegador Afectado | Página inicial, novo separador URL, motor de pesquisa pré-definido |
| Sintomas | Configurações de navegador da Internet manipuladas (página inicial, mecanismo de pesquisa padrão da Internet, configurações de novo separador). Os utilizadores são forçados a visitar o site do sequestrador e pesquisar na Internet a usar os seus mecanismos de pesquisa. |
| Métodos de distribuição | Anúncios pop-up fraudulentos, instaladores de software gratuito (agregação). |
| Danos | Rastreio do navegador da Internet (potenciais problemas de privacidade), exibição de anúncios indesejados, redirecionamentos para sites questionáveis. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Exemplos de sequestradores de navegador.
Analisámos milhares de amostras de sequestradores de navegador; Volume Extra, Space backgrounds pictures, Lookup for Wikipedia e Motivational Quotes são apenas algumas das nossas últimas descobertas.
O software de sequestro de navegador geralmente parece legítimo e inofensivo. Tende a infiltrar-se nos dispositivos sob o disfarce de ferramentas úteis e inócuas. No entanto, os sequestradores de navegador raramente funcionam como anunciado, e na maioria dos casos - as características prometidas não funcionam de todo.
Importa sublinhar que, mesmo que um software funcione como indicado no seu material promocional, tal não constitui uma prova definitiva de legitimidade ou segurança.
Como é que o Shampoo (ChromeLoader) foi instalado no meu computador?
O Shampoo tem sido notado a ser distribuído como um VBScript hospedado em sites de hospedagem de conteúdo ilegal. Assim, os utilizadores permitem involuntariamente que o sequestrador de navegador entre nos seus dispositivos, acreditando que se trata de um programa, filme, jogo de vídeo ou outro meio de comunicação pirateado.
No entanto, é pertinente mencionar que o software de sequestro de navegador é distribuído usando várias técnicas. Por exemplo, empregando a tática de marketing "agregação" - em que um instalador de programa comum é agregado com adições indesejadas/maliciosas.
Os sequestradores de navegador também podem ter páginas web promocionais "oficiais", e são empurrados através de sites fraudulentos. A maioria dos visitantes dessas páginas entra nelas através de redireccionamentos gerados por URLs mal digitados, sites que utilizam redes de publicidade fraudulentas, notificações de spam do navegador, anúncios intrusivos ou adware instalado.
Os anúncios intrusivos também proliferam este software. Quando clicados, alguns dos anúncios podem executar scripts para executar descarregamentos/instalações furtivas.
Como evitar a instalação de sequestradores de navegador?
Recomendamos veementemente que pesquise o software antes de o descarregar ou comprar. Além disso, todas as transferências devem ser efectuadas a partir de fontes oficiais e verificadas. Durante a instalação, é essencial ler os termos, estudar as opções disponíveis, utilizar as definições "Personalizadas/Avançadas" e recusar todas as adições (por exemplo, aplicações, extensões, ferramentas, funcionalidades, etc.).
Outra recomendação é ter cuidado ao navegar, uma vez que os conteúdos falsos e maliciosos online parecem normalmente legítimos e inócuos. Por exemplo, embora os anúncios intrusivos possam parecer inofensivos, redireccionam para sites questionáveis e pouco fidedignos (por exemplo, jogos de azar, promoção de fraudes, pornografia, encontros para adultos, etc.).
Em caso de encontros contínuos com anúncios/redireccionamentos deste tipo, verifique o dispositivo e remova imediatamente todas as aplicações questionáveis e extensões/plug-ins do navegador. Se o seu computador já estiver infectado com Shampoo (ChromeLoader), recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente esse sequestrador de navegador.
Remoção do sequestrador de navegador Shampoo:
Terminar o script PowerShell em loop criado pelo Shampoo através do Gestor de Tarefas do Windows:
Tenha em mente que terminar o script só irá desativar o software temporariamente - por isso, os passos de remoção seguintes devem ser executados rapidamente!
Ao contrário das tarefas legítimas do Google Chrome que incluem "Google" nos seus títulos, o Shampoo cria uma tarefa agendada com o prefixo "chrome_" (por exemplo, "chrome center", "chrome policy", "chrome engine", "chrome about", etc.).
Remover a tarefa agendada através do Programador de Tarefas:
Remova a chave de registo "HKEY_CURRENT_USER:\Software\Mirage Utilities\" criada pelo Shampoo através do Editor de Registo:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o Shampoo (ChromeLoader)?
- PASSO 1. Desinstale as aplicações indesejadas ao usar o Painel de Controlo.
- PASSO 2. Remova o sequestrador de navegador Shampoo (ChromeLoader) do Google Chrome.
- PASSO 3. Remova a página inicial e o mecanismo de pesquisa padrão do ythingamgladt.com do Mozilla Firefox.
- PASSO 4. Remova o redirecionamento de ythingamgladt.com do Safari.
- PASSO 5. Remova os plug-ins não autorizados do Microsoft Edge.
Remoção do sequestrador de navegador Shampoo (ChromeLoader):
Utilizadores Windows 10:
Clique com o botão direito do rato no canto inferior esquerdo do ecrã, seleccione Painel de Controlo no Menu de Acesso Rápido. Na janela aberta, escolha Desinstalar um Programa.
Utilizadores Windows 7:
Clique Início ("Logo Windows" no canto inferior esquerdo do seu ambiente de trabalho), escolha o Painel de Controlo. Localize Programas e clique em Desinstalar um programa.
Utilizadores macOS (OSX):
Clique Finder, na janela aberta selecione Aplicações. Arraste a app da pasta das Aplicações para a Reciclagem (localizado em Dock), e depois clique com o botão direito no botão da Reciclagem e selecione Esvaziar Reciclagem.
Na janela de desinstalação de programas: procure por aplicações suspeitas instaladas recentemente, selecione essas entradas e clique em "Desinstalar" ou "Remover".
Após desinstalar as aplicações potencialmente indesejadas, faça uma verificação ao seu computador para pesquisar qualquer componente indesejado restantes. Para verificar o seu computador, utilize o software recomendado para remoção de malware.
Remoção do sequestrador de navegador Shampoo (ChromeLoader) dos navegadores da Internet:
O vídeo demonstra como remover redirecionamentos do navegador:
Remover as extensões maliciosas do Google Chrome:
Clique no ícone do menu do Chrome 
(no canto superior direito do Google Chrome), seleccione "Extensões" e clique em "Gerir Extensões". Localize "Shampoo" e outras extensões suspeitas instaladas recentemente, seleccione estas entradas e clique em "Remover".
Altere a sua página inicial:
Clique no ícone do menu do Chrome (o canto superior direito do Google Chrome), selecione "Configurações". Na seção "Na inicialização", desative "Shampoo", procure um URL de sequestrador de navegador (hxxp://www.ythingamgladt.com) abaixo de "Abrir um opção específica ou conjunto de páginas”. Se estiver presente, clique no ícone de três pontos verticais e selecione "Remover".
Altere o seu motor de pesquisa pré-definido:
Para alterar o seu motor de pesquisa padrão no Google Chrome: Clique no ícone do menu Chrome (no canto superior direito do Google Chrome), seleccione "Definições", na secção "Motor de Pesquisa", clique em "Gerir motores de pesquisa...", na lista aberta procure por "ythingamgladt.com", quando localizado clique nos três pontos verticais perto deste URL e seleccione "Eliminar".
- Se continuar a ter problemas com o redireccionamento do navegador e anúncios indesejados - Repor Google Chrome.
Método opcional:
Se continuar a ter problemas com a remoção do sequestrador de navegador shampoo, reinicie as configurações do navegador do Google Chrome. Clique no Chrome menu icon (no canto superior direito do Google Chrome) e selecione Settings. Faça scroll para o fundo do ecrã. Clique em Advanced… link.
Depois de descer para a parte de baixo do ecrã, clique no botão Reset (Restore settings to their original defaults).
Na janela aberta, confirme que deseja redefinir as configurações do Google Chrome para o padrão, clicando no botão Reset.
Remova as extensões maliciosas do Mozilla Firefox:
Clique no menu Firefox 
(no canto superior direito da janela principal), seleccione "Add-ons e temas". Clique em "Extensões", na janela aberta localize Infinity Search bem como todas as extensões suspeitas recentemente instaladas, clique nos três pontos e depois clicar em "Remover".
Altere a sua página inicial:
Para redefinir a sua página inicial, clique no menu do Firefox (no canto superior direito da janela principal), depois seleccione"Definições", na janela aberta desactive o"Shampoo", remova hxxp://ythingamgladt.com e introduza o seu domínio preferido, que será aberto sempre que iniciar o Mozilla Firefox.
Altere o seu motor de pesquisa pré-definido:
Na barra de endereço do URL, digite "about:config" e prima Enter. Clique em "Aceitar o risco e continuar".
No filtro de pesquisa na parte superior, digite: "extensionControlled". Defina ambos os resultados como "falso" ao clicar duas vezes em cada entrada ou clicar no botão 
.
Método opcional:
Os utilizadores de computador que estão a ter problemas com a remoção dos sequestrador de navegador shampoo, podem repor as suas definições do Mozilla Firefox. Abra o Mozilla Firefox, no canto superior direito da janela principal clique no menu Firefox , na caixa do menu suspenso escolha Menu de Ajuda Aberto e selecione o menu de ajuda firefox 
.
Selecione Informação de Soluções de Problemas.
Na janela aberta, clique no botão Repor Firefox.
Nas janelas abertas confirme que quer restaurar as suas configurações do Mozilla Firefox para padrão, clicando no botão Repor.
Remova extensões fraudulentas do Safari:
Certifique-se de que o seu navegador Safari está ativo, clique no menu Safari, e depois selecione Preferências….
Na janela de preferências selecione o separador Extensões. Procure todas as extensões recentemente instaladas e desinstale as suspeitas.
Na janela de preferências selecione o separador Geral e certifique-se que a sua página inicial está definida para o URL preferido, se for alterado por um sequestrador de navegador - altere-o.
Na janela de preferências selecione o separador Pesquisar e certifique-se que a sua página de pesquisa de Internet preferida está definida.
Método opcional:
Certifique-se de que o seu navegador Safari está ativo e clique no menu Safari. Do menu suspenso, selecione Limpar Histórico e Dados dos Sites.
Na janela aberta selecione histórico todo e clique no botão Limpar Histórico.
Remova as extensões maliciosas do Microsoft Edge:
Clique no ícone do menu Edge 
(chromium) (no canto superior direito do Microsoft Edge), selecione "Extensões". Localize quaisquer complementos suspeitos do navegador recentemente instalados e remova-os.
Altere a sua página inicial e as novas configurações do separador:
Clique no ícone do menu Edge (chromium) (no canto superior direito do Microsoft Edge), selecione "Configurações". Na seção "Inicialização", procure o nome do seqUestrador de navegador e clique em "Desativar".
Altere o seu mecanismo de pesquisa da Internet padrão:
Para alterar o seu mecanismo de pesquisa padrão no Microsoft Edge: Clique no ícone de menu Edge (chromium) (no canto superior direito do Microsoft Edge), selecione "Privacidade e serviços", role para a parte inferior da página e selecione "Endereço Barra". Na seção "Mecanismos de pesquisa usados na barra de endereço", procure o nome do mecanismo de pesquisa indesejado na Internet. Quando localizado, clique no botão "Desativar" ao lado. Como alternativa, pode clicar em "Gerir mecanismos de pesquisa", no menu aberto, procure por mecanismos de pesquisa indesejados na Internet. Clique no ícone do puzzle Microsoft Edge (Chromium) 
junto e selecione "Desativar".
Método opcional:
Se continuar a ter problemas com a remoção do sequestrador de navegador shampoo, redefina as configurações do navegador Microsoft Edge. Clique no ícone do menu Edge (chromium) (no canto superior direito do Microsoft Edge) e selecione Configurações.
No menu de configurações aberto, selecione Redefinir configurações.
Selecione Restaurar configurações para os seus valores padrão. Na janela aberta, confirme que deseja redefinir as configurações do Microsoft Edge para o padrão, clicando no botão Redefinir.
- Se isso não ajudou, siga estas instruções alternativas, explicando como redefinir o navegador Microsoft Edge.
Resumo:
Um sequestrador de navegadir é um tipo de adware que altera as configurações do navegador de Internet do utilizador mudando o motor de busca e a página inicial padrão para sites indesejados.Mais comummente, este tipo de adware infiltra-se no sistema operacional do utilizador através de descarregamentos de software gratuito. Se o seu descarregamento for gerido por um cliente de descarregamento, certifique-se de excluir da instalação barras de ferramentas ou aplicações promovidas que procuram mudar o seu motor de busca e página inicial de Internet padrão.
Ajuda na remoção:
Se estiver a experienciar problemas ao tentar remover sequestrador de navegador shampoo a partir dos seus navegadores de Internet, por favor, peça ajuda no nosso fórum de remoção de malware.
Deixe um comentário:
Se tiver informações adicionais sobre sequestrador de navegador shampoo ou a sua remoção por favor, partilhe o seu conhecimento na secção de comentários abaixo.
Fonte: https://www.pcrisk.com/removal-guides/27067-shampoo-chromeloader-malware
Perguntas Frequentes (FAQ)
Qual é o objetivo de forçar os utilizadores a visitar o site ythingamgladt.com?
Os criminosos cibernéticos, tais como os desenvolvedores de falsos motores de pesquisa e sequestradores de navegador, geram rendimentos através de redireccionamentos para sites como ythingamgladt.com e similares.
Visitar o site ythingamgladt.com é uma ameaça à minha privacidade?
Até certo ponto, sim. Os sites promovidos por sequestradores de navegador normalmente recolhem (e vendem) dados dos visitantes.
Como é que um sequestrador de navegador se infiltrou no meu computador?
A extensão de navegador Shampoo foi observada a ser distribuída através de sites que hospedam conteúdo pirateado (por exemplo, filmes, música, jogos de vídeo, software, etc.). No entanto, os sequestradores de navegador também são distribuídos através de instaladores agregados, páginas web promocionais fraudulentas, freeware e sites de alojamento de ficheiros gratuitos, redes de partilha P2P, fraudes on-line, notificações de navegador de spam e anúncios intrusivos.
O Combo Cleaner vai ajudar-me a remover o sequestrador de navegador Shampoo?
Sim, o Combo Cleaner irá analisar o seu computador e eliminar as aplicações de sequestro de navegador detectadas. Note que a remoção manual (sem a ajuda de software de segurança) pode não ser ideal, particularmente quando estão presentes vários sequestradores de navegador. Nestes casos, depois de um sequestrador de navegador ser removido - os outros podem simplesmente reinstalá-lo. Além disso, este software pode usar técnicas de garantia de persistência para complicar muito a sua remoção. Portanto, os sequestradores de navegador devem ser eliminados completamente e de uma só vez.
Excelente!
▼ Mostrar comentários