宣告：

由於網路中的病毒/malware等存在隨時變異或者對應多種感染方式等情況，本文所針對的處理方法僅針對本次樣本負責，個人如有誤操作，後果自負。如需幫助，可以掃我頭像加我微信！

前段時間收到反饋，某人感染了malware，大致的描述內容如下：

my browser has been hacked by any search manager and I need to get it removed. 

向對方獲取了一些基本的檔案和瀏覽器資訊，發給解決問題的指令碼，據對方回答是解決了，現將這個問題的相關可疑檔案和路徑公佈出來，以給有同樣問題的讀者參考。

如果你有發現近期出現問題前後才生成的下述檔案，請將其通過terminal終端執行進行移除。

根據使用者反饋的資訊，初步懷疑跟下述路徑及其Safari或Chrome安裝的外掛有關：

~/Library/sisinfo.plist

/Library/LaunchDaemons/com.AuraSearchDaemon.plist

~/Library/LaunchAgents/com.AuraSearch.plist
~/Library/Application\\ Support/com.AuraSearch
/Library/Internet\\ Plug-Ins/Flash\\ Player.plugin
~/Library/Application\\ Support/Google/Chrome/Default/Extensions/phbinndijkbhpejedkobjmihghleneji
~/Library/Safari/Extensions/SearchIt.safariextz
 

實際上，上述檔案已經對當前Mac系統的影響不大，即使有誤刪，後期根據需要可以重新安裝，所以刪除不會影響系統的正常執行。

可疑檔案全部移除完成後，最好重置瀏覽器，或者移除之前的保持資料

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState

再啟動檢視是否恢復正常。

如果覺得本文對你有幫助，那就贊一個或者評論一個吧！