Comment supprimer le maliciel de détournement de navigateur Shampoo (ChromeLoader) ?
Écrit par Tomas Meskauskas le (mis à jour)
Quel type de logiciel est Shampoo (ChromeLoader) ?
Shampoo est le nom d'une extension de navigateur, qui prolifère dans la dernière campagne de maliciels ChromeLoader. Ce logiciel fonctionne principalement comme un pirate de navigateur, mais il possède également des fonctionnalités de publiciels.
Shampoo est similaire au pirate de navigateur Ring, bien que le premier soit plus sophistiqué et utilise plusieurs techniques de garantie de persistance.
Aperçu du pirate de navigateur Shampoo (ChromeLoader)
En règle générale, les logiciels de piratage de navigateur modifient les paramètres du navigateur en réaffectant les moteurs de recherche par défaut, les pages d'accueil et les URL des nouveaux onglets/fenêtres vers les adresses des sites web promus. Cependant, tous les pirates de navigateur ne modifient pas ces paramètres.
Lorsqu'un tel logiciel est installé, les nouveaux onglets/fenêtres du navigateur qui s'ouvrent et les requêtes de recherche saisies dans la barre d'URL sont redirigés vers le faux moteur de recherche approuvé. Au moment de la recherche, l'extension Shampoo générait des redirections vers le moteur de recherche Bing via ythingamgladt.com.
Il est courant que des moteurs de recherche illégitimes (par exemple, ythingamgladt.com) conduisent les utilisateurs vers des sites de recherche Internet authentiques tels que Bing, Yahoo, Google, et d'autres. En effet, les faux moteurs de recherche sont généralement incapables de fournir des résultats de recherche. Cependant, les redirections peuvent être différentes car elles peuvent être influencées par des facteurs tels que la géolocalisation de l'utilisateur.
Comme indiqué dans l'introduction, l'extension de navigateur Shampoo utilise plusieurs mécanismes de garantie de persistance pour empêcher les utilisateurs de récupérer leur navigateur.
Plus précisément, il a été observé que Shampoo s'infiltre dans les systèmes après qu'un utilisateur a téléchargé un VBScript, qui exécute un script PowerShell créant une tâche programmée se répétant à certains intervalles. Ainsi, même si le script en boucle est interrompu en utilisant le gestionnaire des tâches ou en redémarrant le système, il réapparaît comme prévu. En outre, il exécute un autre script PowerShell qui entraîne l'installation de l'extension Shampoo.
En outre, le pirate empêche les utilisateurs d'accéder à la liste des extensions de Google Chrome ("chrome://extensions") en les redirigeant vers les paramètres ("chrome://settings"). Vous trouverez des instructions sur la manière d'éliminer Shampoo ci-dessous.
L'extension de navigateur Shampoo peut également afficher des publiciels - c'est pourquoi elle est également classée comme publiciel. Les publicités diffusées par ce logiciel endossent principalement des escroqueries en ligne, des apps/extensions nuisibles, voire des maliciels. Lorsqu'on clique dessus, certaines publicités intrusives peuvent exécuter des scripts pour effectuer des téléchargements/installations sans l'autorisation de l'utilisateur.
Comme la plupart des pirates de navigateur, Shampoo a des capacités de suivi des données. Les informations ciblées peuvent inclure : les requêtes de recherche, les URL visités, les pages web consultées, les cookies Internet, les identifiants de connexion, les données personnelles identifiables, les numéros de carte de crédit, etc. Les données collectées peuvent ensuite être monétisées par la vente à des tiers.
Il convient de noter que le maliciel ChromeLoader s'avère être une menace polyvalente ; il y a eu des cas où des extensions appartenant à cette famille pouvaient provoquer des infections en chaîne (c'est-à-dire télécharger/installer des chevaux de Troie, des rançongiciels, etc.). Par conséquent, l'extension de navigateur Shampoo pourrait être mise à jour avec des capacités dangereuses supplémentaires/différentes ou utiliser d'autres techniques de garantie de la persistance.
En résumé, la présence d'un logiciel comme Shampoo sur des appareils peut entraîner des infections du système, de graves problèmes de confidentialité, des pertes financières et même le vol d'identité.
| Nom | Shampoo (ChromeLoader) |
| Type de Menace | Pirate de Navigateur, Redirection, Recherche Pirate, Barre d'Outils, Nouvel Onglet Non Désiré |
| Extension(s) de Navigateur | Shampoo |
| URL Promue | ythingamgladt.com |
| Noms de Détection (ythingamgladt.com) | alphaMountain.ai (Malveillant), Avira (Maliciel), CyRadar (Malveillant), Seclookup (Malveillant), Sophos (Maliciel), Liste complète des détections (VirusTotal) |
| Adresse IP de Service (ythingamgladt.com) | 104.21.11.8 |
| Paramètres du Navigateur Affectés | Page d'accueil, nouvel onglet d'URL, moteur de recherche par défaut |
| Symptômes | Manipulation des paramètres du navigateur Internet (page d'accueil, moteur de recherche Internet par défaut, paramètres des nouveaux onglets). Les utilisateurs sont contraints de visiter le site web des pirates et d'effectuer des recherches sur Internet à l'aide de leurs moteurs de recherche. |
| Méthodes de Distribution | Annonces pop-up trompeuses, installateurs de logiciels gratuits (bundling). |
| Dommages | Suivi du navigateur Internet (problèmes potentiels de confidentialité), affichage de publicités indésirables, redirections vers des sites Web douteux. |
| Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Exemples de pirates de navigateur
Nous avons analysé des milliers d'exemples de pirates de navigateur ; Volume Extra, Space backgrounds pictures, Lookup for Wikipedia, et Motivational Quotes ne sont que quelques-unes de nos dernières découvertes.
Les logiciels de détournement de navigateur semblent généralement légitimes et inoffensifs. Ils ont tendance à s'infiltrer dans les appareils sous l'apparence d'outils utiles et inoffensifs. Cependant, les pirates de navigateur fonctionnent rarement comme annoncé et, dans la plupart des cas, les fonctionnalités promises ne fonctionnent pas du tout.
Il convient de souligner que même si un logiciel fonctionne comme indiqué dans son matériel promotionnel, cela ne constitue pas une preuve définitive de sa légitimité ou de sa sécurité.
Comment Shampoo (ChromeLoader) s'est-il installé sur mon ordinateur ?
On a constaté que Shampoo se propageait sous la forme d'un VBScript hébergé sur des sites web d'hébergement de contenu illégal. Par conséquent, les utilisateurs autorisent involontairement le pirate de navigateur à pénétrer dans leur appareil en croyant qu'il s'agit d'un programme, d'un film, d'un jeu vidéo ou d'un autre média piraté.
Il convient toutefois de préciser que les logiciels de piratage de navigateur sont distribués au moyen de différentes techniques. Par exemple, en employant la tactique de marketing du "bundling" ou "regroupement" - dans laquelle un programme d'installation ordinaire est regroupé avec des ajouts non désirés/malveillants.
Les pirates de navigateur peuvent également avoir des pages web promotionnelles "officielles", et ils sont poussés par des sites frauduleux. La plupart des visiteurs de ces pages y accèdent par le biais de redirections générées par des URL mal saisies, des sites web utilisant des réseaux publicitaires malhonnêtes, des notifications de spam de navigateur, des publicités intrusives ou des publiciels installés.
Les publicités intrusives prolifèrent également dans ce logiciel. Lorsqu'on clique dessus, certaines publicités peuvent exécuter des scripts pour effectuer des téléchargements/installations furtifs.
Comment éviter l'installation de pirates de navigateurs ?
Nous vous recommandons vivement d'effectuer des recherches sur les logiciels avant de les télécharger ou de les acheter. En outre, tous les téléchargements doivent être effectués à partir de sources officielles et vérifiées. Lors de l'installation, il est essentiel de lire les conditions, d'étudier les options disponibles, d'utiliser les paramètres "personnalisés/avancés" et de refuser tous les ajouts (par exemple, les applications, les extensions, les outils, les fonctions, etc.)
Il est également recommandé de faire preuve de prudence lors de la navigation, car les contenus en ligne falsifiés et malveillants semblent généralement légitimes et inoffensifs. Par exemple, des publicités intrusives peuvent sembler inoffensives, mais elles redirigent vers des sites peu fiables et douteux (jeux d'argent, escroqueries, pornographie, rencontres pour adultes, etc.)
Si vous rencontrez continuellement des publicités/redirections de ce type, vérifiez votre appareil et supprimez immédiatement toutes les applications douteuses et les extensions/plug-ins du navigateur. Si votre ordinateur est déjà infecté par Shampoo (ChromeLoader), nous vous recommandons de lancer une analyse avec Combo Cleaner pour éliminer automatiquement ce pirate de navigateur.
Suppression du pirate de navigateur Shampoo;
Mettez fin au script PowerShell en boucle créé par Shampoo via le Gestionnaire des tâches de Windows :
Gardez à l'esprit que l'arrêt du script ne désactivera le logiciel que temporairement - c'est pourquoi les étapes de suppression suivantes doivent être exécutées rapidement !
Contrairement aux tâches légitimes de Google Chrome qui incluent "Google" dans leurs titres, Shampoo crée une tâche planifiée préfixée par "chrome_" (par exemple, "chrome center", "chrome policy", "chrome engine", "chrome about", etc.)
Supprimez la tâche planifiée via le Planificateur de tâches :
Supprimez la clé de registre "HKEY_CURRENT_USER:\Software\Mirage Utilities\" créée par Shampoo via l'Éditeur de registre :
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu Rapide :
- Qu'est-ce que Shampoo (ChromeLoader) ?
- ETAPE 1. Désinstallez les applications indésirables à l'aide du Panneau de configuration.
- ETAPE 2. Supprimez le pirate de navigateur Shampoo (ChromeLoader) de Google Chrome.
- ETAPE 3. Supprimez la page d'accueil et le moteur de recherche par défaut de Mozilla Firefox.
- ETAPE 4. Supprimez la redirection ythingamgladt.com de Safari.
- ETAPE 5. Supprimez les plug-ins indésirables de Microsoft Edge.
Suppression du pirate de navigateur Shampoo (ChromeLoader) :
Utilisateurs de Windows 10:
Cliquez droite dans le coin gauche en bas de l'écran, sélectionnez le Panneau de Configuration. Dans la fenêtre ouverte choisissez Désinstallez un Programme.
Utilisateurs de Windows 7:
Cliquez Démarrer ("Logo de Windows" dans le coin inférieur gauche de votre bureau), choisissez Panneau de configuration. Trouver Programmes et cliquez Désinstaller un programme.
Utilisateurs de macOS (OSX):
Cliquer Localisateur, dans la fenêtre ouverte sélectionner Applications. Glisser l’application du dossier Applications à la Corbeille (localisé sur votre Dock), ensuite cliquer droite sur l’cône de la Corbeille et sélectionner Vider la Corbeille.
Dans la fenêtre de désinstallation des programmes, recherchez les applications suspectes récemment installées, sélectionnez ces entrées et cliquez sur "Désinstaller" ou "Supprimer".
Après avoir désinstallé les applications potentiellement indésirables, analysez votre ordinateur pour détecter d'éventuels composants indésirables restants. Pour analyser votre ordinateur, utilisez le logiciel de suppression des maliciels recommendé.
Suppression du pirate de navigateur Shampoo (ChromeLoader) des navigateurs internet :
Vidéo montrant comment supprimer les redirections de navigateur :
Supprimez les extensions malveillantes de Google Chrome :
Cliquez sur l'icône du menu Google Chrome 
(dans le coin supérieur droit de Google Chrome), sélectionnez "Extensions" et cliquez sur "Gérer les extensions". Localisez "Shampoo" et d'autres extensions suspectes récemment installées, sélectionnez ces entrées et cliquez sur "Supprimer".
Modifiez votre page d'accueil :
Cliquez sur l'icône de menu Google Chrome (dans le coin supérieur droit de Google Chrome), sélectionnez "Paramètres". Dans la section "Au démarrage", désactivez "Shampoo", recherchez l'URL de pirate de navigateur (hxxp://www.ythingamgladt.com) sous l'option "Ouvrir une page spécifique ou un ensemble de pages". Si elle est présente, cliquez sur l'icône des trois points verticaux et sélectionnez "Supprimer".
Modifiez votre moteur de recherche par défaut :
Pour modifier votre moteur de recherche par défaut dans Google Chrome (dans le coin supérieur droit de Google Chrome), sélectionnez "Paramètres", dans la section "Moteur de recherche", cliquez sur "Gérer les moteurs de recherche...", dans la liste ouverte, recherchez "ythingamgladt.com", une fois localisé, cliquez sur les trois points verticaux près de cette URL et sélectionnez "Supprimer".
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et les publicités non désirées - Réinitialisez Google Chrome.
Méthode optionnelle :
Si vous continuez à avoir des problèmes avec le pirate de navigateur shampoo, restaurez les paramètres de votre navigateur Google Chrome. Cliquer 'icône du menu Chromel (dans le coin supérieur droit de Google Chrome) et sélectionner Options. Faire défiler vers le bas de l'écran. Cliquer le lien Avancé… .
Après avoir fait défiler vers le bas de l'écran, cliquer le bouton Restaurer (Restaurer les paramètres à défaut) .
Dans la fenêtre ouverte, confirmer que vous voulez restaurer les paramètres par défaut de Google Chrome e cliquant le bouton Restaurer.
Supprimez les extensions malveillantes de Mozilla Firefox :
Cliquez sur l'icône du menu Firefox 
(dans le coin supérieur droit de la fenêtre principale), sélectionnez "Modules complémentaires et thèmes". Cliquez sur "Extensions", dans la fenêtre ouverte, localisez "Shampoo", ainsi que toutes les extensions suspectes récemment installées, cliquez sur les trois points, puis sur "Supprimer".
Modifiez votre page d'accueil :
Pour réinitialiser votre page d'accueil, cliquez sur l'icône du menu Firefox (dans le coin supérieur droit de la fenêtre principale), puis sélectionnez "Paramètres", dans la fenêtre ouverte désactivez "Shampoo", supprimez hxxp://ythingamgladt.com et entrez votre domaine préféré, qui s'ouvrira chaque fois que vous démarrerez Mozilla Firefox.
Modifiez votre moteur de recherche par défaut :
Dans la barre d'adresse URL, tapez "about:config" et appuyez sur Entrée. Cliquez sur "Accepter les risques et continuer".
Dans le filtre de recherche en haut, tapez : "extensionControlled". Définissez les deux résultats sur "false" en double-cliquant sur chaque entrée ou en cliquant sur le bouton 
.
Méthode optionnelle:
Les utilisateurs d'ordinateur qui ont des problèmes avec la suppression des pirate de navigateur shampoo peuvent restaurer leurs paramètres de Mozilla Firefox.
Ouvrez Mozilla FireFox, dans le haut à gauche dans la fenêtre principale cliquer sur le menu Firefox, dans le menu ouvert cliquez sur l'icône Ouvrir le menu d'aide, 
Sélectionnez Information de Dépannage.
Dans la fenêtre ouverte cliquez sur le bouton Restaurer Firefox.
Dans la fenêtre ouverte, confirmez que vous voulez restaurer les paramètres de Mozilla Firefox à défaut en cliquant sur le bouton Restaurer.
Supprimer les extensions malicieuses de Safari:
Assurez-vous que votre navigateur Safari est actif et cliquer le menu Safari, ensuite sélectionner Préférences...
Dans la fenêtre préférences sélectionner l’onglet Extensions tab. Rechercher toutes extensions suspicieuses récemment installées et désinstaller-les.
Dans la fenêtre préférences sélectionner l’onglet Général assurez-vous que votre d’accueil est configuré à un URL préféré, si elle est déjà altérée par un pirate de navigateur- changez-le.
Dans la fenêtre préférences sélectionner l’onglet Recherche et assurez-vous que votre moteur de recherche Internet est sélectionné.
Méthode optionnelle:
Assurez-vous que votre navigateur Safari est actif et cliquer sur le menu Safari. À partir du menu déroulant sélectionner Supprimer l’historique et les données des sites web...
Dans la fenêtre ouverte sélectionner tout l’historique et cliquer le bouton Supprimer l’historique.
Supprimer les extensions malveillantes de Microsoft Edge :
Cliquez sur l'icône du menu Edge 
(en haut à droite de Microsoft Edge), sélectionnez "Extensions". Repérez les extensions de navigateur suspectes récemment installées et supprimez-les.
Modifiez votre page d'accueil et les nouveaux paramètres de l'onglet :
Cliquez sur l'icône du menu Edge (en haut à droite de Microsoft Edge), sélectionnez "Paramètres". Dans la section "Au démarrage", recherchez le nom du pirate de navigateur et cliquez sur "Désactiver".
Changez votre moteur de recherche Internet par défaut :
Pour changer votre moteur de recherche par défaut dans Microsoft Edge : Cliquez sur l'icône du menu Edge (en haut à droite de Microsoft Edge), sélectionnez " Confidentialité et services", faites défiler jusqu'au bas de la page et sélectionnez "Barre d'adresse". Dans la section "Moteur de recherche utilisés dans la barre d'adresse", recherchez le nom du moteur de recherche Internet indésirable, lorsqu'il est localisé, cliquez sur le bouton "Désactiver" situé à côté. Vous pouvez également cliquer sur "Gérer les moteurs de recherche", dans le menu ouvert, chercher le moteur de recherche Internet indésirable. Cliquez sur l'icône du puzzle 
à proximité et sélectionnez "Désactiver".
Méthode optionnelle :
Si vous continuez à avoir des problèmes avec la suppression de pirate de navigateur shampoo, réinitialisez les paramètres de votre navigateur Microsoft Edge. Cliquez sur l'icône du menu Edge (dans le coin supérieur droit de Microsoft Edge) et sélectionnez Paramètres.
Dans le menu des paramètres ouvert, sélectionnez Réinitialiser les paramètres.
Sélectionnez Rétablir la valeur par défaut de tous les paramètres. Dans la fenêtre ouverte, confirmez que vous souhaitez rétablir les paramètres Microsoft Edge à leur valeur par défaut en cliquant sur le bouton Réinitialiser.
- Si cela ne vous a pas aidé, suivez ces instructions alternatives qui expliquent comment réinitialiser le navigateur Microsoft Edge.
Résumé:
Un pirate de navigateur est un type de logiciel de publicité qui altère les paramètres du navigateur Internet de l’utilisateur en changeant la page d’accueil et le moteur de recherche Internet par défaut de l’utilisateur pour certains site web indésirables. Habituellement ce type de logiciel de publicité infiltre le système d’exploitation de l’utilisateur à travers les téléchargements de logiciels gratuits. Si votre téléchargement est géré par un téléchargement client soyez sûr de décliner l’installation de plug-ins et de barres d’outils de navigateur publicisés qui cherche à changer votre page d’accueil et votre moteur de recherche Internet par défaut.
Aide pour la suppression:
Si vous éprouvez des problèmes tandis que vous essayez de supprimer pirate de navigateur shampoo de votre ordinateur, s'il vous plaît demander de l'aide dans notre forum de suppression de logiciels malveillants.
Publier un commentaire:
Si vous avez de l'information additionnelle sur pirate de navigateur shampoo ou sa suppression s'il vous plaît partagez vos connaissances dans la section commentaires ci-dessous.
Source: https://www.pcrisk.com/removal-guides/27067-shampoo-chromeloader-malware
Foire Aux Questions (FAQ)
Quel est le but de forcer les utilisateurs à visiter le site web ythingamgladt.com ?
Les cybercriminels, tels que les développeurs de faux moteurs de recherche et de pirates de navigateur, génèrent des revenus en redirigeant les utilisateurs vers des sites comme ythingamgladt.com et d'autres sites similaires.
La visite de ythingamgladt.com constitue-t-elle une menace pour ma vie privée ?
Dans une certaine mesure, oui. Les sites web promus par des pirates de navigateur collectent (et vendent) généralement les données des visiteurs.
Comment un pirate de navigateur s'est-il infiltré dans mon ordinateur ?
L'extension de navigateur Shampoo a été distribuée par l'intermédiaire de sites web qui hébergent des contenus piratés (films, musique, jeux vidéo, logiciels, etc.). Cependant, les pirates de navigateur se propagent également par le biais d'installateurs groupés, de pages Web promotionnelles trompeuses, de freeware et de sites d'hébergement de fichiers gratuits, de réseaux de partage P2P, d'escroqueries en ligne, de notifications spam de navigateur, et des publicités intrusives.
Combo Cleaner peut-il m'aider à supprimer le pirate de navigateur Shampoo ?
Oui, Combo Cleaner analysera votre ordinateur et éliminera les applications de piratage de navigateur détectées. Notez que la suppression manuelle (sans l'aide d'un logiciel de sécurité) peut ne pas être idéale, en particulier lorsque plusieurs pirates de navigateur sont présents. Dans ce cas, après la suppression d'un pirate de navigateur, les autres peuvent simplement le réinstaller. De plus, ce logiciel peut utiliser des techniques de persistance pour compliquer considérablement sa suppression. Par conséquent, les pirates de navigateur doivent être éliminés complètement et en une seule fois.
!Remarquable!
▼ Montrer la discussion