记一次Mac恶意插件Any search(TotalSearchToolbox)的删除
文章有点长有点啰嗦,请耐心读完,会有收获的。
(如果解决了你的问题,请评论点赞反馈,这个恶意插件的清除查了许多资料并进行总结,折磨我有一个多月了)
前言
chrome浏览器被安装了恶意插件,如图1。
该插件会导致在chrome地址栏填入关键词搜索时被劫持到 http://search.anysearchmanager.com (图2)。据网上的资料显示,有些朋友不一定是这个网址,但行为是差不多的。
关于该恶意插件:
该插件非常贱,知道适度恶心人,如果太恶心人就会被干掉。这个插件被删除/禁用后可以保持几天不被劫持,几天后又重新装上。所以有些人就忍下来了,从而这款恶心插件达到 “和宿主共生” 的目的。
-
该chrome的恶意插件名字叫TotalSearchToolbox,在网上查到的资料非常少。
据网上的资料,很多朋友不一定这个名(有些叫SearchFunction),该插件可能会换着名字,我遇到的情况是这名字。
其实不管叫什么名本质就是臭名昭著的any search。搜索
any search就可以查到很多资料。在这个教程里TotalSearchToolbox会被称为any search插件,请注意 -
该插件可以在chrome的插件管理中删除,也可以禁用。
删除或禁用插件后,可以暂时停止被劫持(可以有几天平静),但是过了几天插件又会装上并启用。
让人恼火的是,重新安装恶意插件时会导致chrome打开的标签页全部没了!
-
将chrome的插件管理的开发者模式关闭不管用,在删除或禁止插件数天后还是会自动安装或解除禁用。
-
重新安装chrome浏览器,也解决不了会被定时安装这个插件
-
用了网上的杀毒软件,例如叫Combo Cleaner的,能扫描出这个威胁,并且删除重启电脑后,不顶用,过七天插件又出来恶心人
-
进一步确认自己被装了恶意插件
据说打开chrome,输入
chrome://policy,如果看到ExtensionSettings不为空,且等级为 Mandatory (强制)则说明浏览器被劫持。如图3 -
下图,图1:恶意插件
- 下图,图2:Any Search恶意插件
- 下图,图3:
解决办法
按照以下顺序操作,可能不一定每个步骤都能像文章里写的那样顺利,总之是相关恶意插件名的东西都删掉。有些目录可能跟本文列的不一样,总之按照恶意插件的名字去找。
- 删除/Library/LaunchDaemons/com.TotalToolboxSearchDaemon.plist
可以用文本编辑器打开(也可以安装PlistEditor),可以看到里面是
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.TotalToolboxSearchDaemon</string>
<key>ProgramArguments</key>
<array>
<string>/Library/Application Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch</string>
<string>r</string>
</array>
<key>RunAtLoad</key>
<true />
<key>StartInterval</key>
<integer>14400</integer>
</dict>
</plist>
看到StartInterval,发现很可能隔着14400秒(即4天)就发作一次。调用的应该是`/Library/Application Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch` 的脚本
- 删除/Library/Application Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch
删除com.TotalToolboxSearchDaemon目录即可。
TotalToolboxSearch 文件,是一个可执行的文件,很奇怪的是居然不是文本文件无法看到里面的shell。双击后使用终端运行,发现运行后也没有重新安装恶意插件,**难道**是它会判断最近一次发作时间,如果还没到时间就无动作吗? 执行的效果如下
Stone-MacBookPro15:~ stonewang$ /Library/Application\ Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch ; exit;
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.
Deleting expired sessions...251 completed.
- 删除~/Library/LaunchAgents/com.TotalToolboxSearch/com.TotalToolboxSearch.plist
com.TotalToolboxSearch.plist文件,打开看到如下,跟上面提到的plist的内容有点不一样
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.TotalToolboxSearch</string>
<key>ProgramArguments</key>
<array>
<string>/Users/stonewang/Library/Application Support/com.TotalToolboxSearch/TotalToolboxSearch</string>
<string>r</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>StartInterval</key>
<integer>14400</integer>
</dict>
</plist>
-
删除~/Library/Application Support/com.TotalToolboxSearch/TotalToolboxSearch
删除com.TotalToolboxSearch目录即可
-
删除/Library/LaunchAgents/ 下的可疑文件
(我没遇到有可疑文件)
-
到目录看可疑文件~/Library/Application Support/Google/Chrome/Default/Extensions
(这个步骤是参考其他资料的,个人认为不需要执行。因为这里面的东西看了也不知道要删什么,它是chrome中已经安装了的插件的ID,其实直接到chrome中删除插件就行了,无需再这里删,又危险容易删错)
-
到chrome的插件管理中删除 TotalSearchToolbox 插件(any search插件,注意你的不一定叫这个名字)
-
到 系统偏好设置->描述文件 中删除可疑文件(注意:没有这个菜单说明没有描述符文件,可跳过),如图
(删除完毕后再到chrome里使用 chrome://policy/,就查不到任何东西了,注意chrome要完全退出,即无小黑点)
- 处理 Library/Managed Preferences/ 中的可疑文件,执行脚本
(实际测试,上一步全部删除干净后,这两个文件会消失,下面的脚本会执行失败,则本步骤跳过即可,不影响)
# 第一步:复制如下命令到命令行,输入管理员密码
sudo -s
# 第二步:复制如下2段命令并执行
/usr/libexec/PlistBuddy -c \
"Delete :com.google.Chrome" \
complete.plist
/usr/libexec/PlistBuddy -c \
"Delete :com.google.Chrome" \
com.google.Chrome.plist
参考
https://www.jianshu.com/p/3e1963136e95
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
