声明:
由于网络中的病毒/malware等存在随时变异或者对应多种感染方式等情况,本文所针对的处理方法仅针对本次样本负责,个人如有误操作,后果自负。如需帮助,可以扫我头像加我微信!
前段时间收到反馈,某人感染了malware,大致的描述内容如下:
my browser has been hacked by any search manager and I need to get it removed.
向对方获取了一些基本的文件和浏览器信息,发给解决问题的脚本,据对方回答是解决了,现将这个问题的相关可疑文件和路径公布出来,以给有同样问题的读者参考。
如果你有发现近期出现问题前后才生成的下述文件,请将其通过terminal终端运行进行移除。
根据用户反馈的信息,初步怀疑跟下述路径及其Safari或Chrome安装的插件有关:
~/Library/sisinfo.plist
/Library/LaunchDaemons/com.AuraSearchDaemon.plist
~/Library/LaunchAgents/com.AuraSearch.plist
~/Library/Application\\ Support/com.AuraSearch
/Library/Internet\\ Plug-Ins/Flash\\ Player.plugin
~/Library/Application\\ Support/Google/Chrome/Default/Extensions/phbinndijkbhpejedkobjmihghleneji
~/Library/Safari/Extensions/SearchIt.safariextz实际上,上述文件已经对当前Mac系统的影响不大,即使有误删,后期根据需要可以重新安装,所以删除不会影响系统的正常运行。
可疑文件全部移除完成后,最好重置浏览器,或者移除之前的保持数据
~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState再启动查看是否恢复正常。
如果觉得本文对你有帮助,那就赞一个或者评论一个吧!