声明:

由于网络中的病毒/malware等存在随时变异或者对应多种感染方式等情况,本文所针对的处理方法仅针对本次样本负责,个人如有误操作,后果自负。

前段时间收到反馈,某人感染了malware,大致的描述内容如下:

” I've restarted and done all kinds of stuff but still can NOT log onto Safari. The website that pops up is "Adddekmid.online/index" or "dnserrorassist.att.net"“

macOS下malware移除实战之【safari不断弹窗_再启动

向对方获取了一些基本的文件和浏览器信息,发给解决问题的脚本,据对方回答是解决了,现将这个问题的相关可以文件和路径公布出来,以给同样问题的读者参考。

如果你有发现近期出现问题前后才生成的下述文件,请将其通过terminal终端运行进行移除。

"sudo rm -rf /Library/LaunchDaemons/com.adobe.*" 
 
  "sudo rm -rf /Library/LaunchDaemons/com.apple.aelwriter.plist" 
 
  "sudo rm -rf /Library/LaunchDaemons/com.fitbit.galileod.plist" 
 
  "sudo rm -rf ~/Library/LaunchAgents/jp.co.canon.Inkjet_Extended_Survey_Agent.plist*" 
 
  "sudo rm -rf ~/Library/Application\\ Support/com.apple.backgroundtaskmanagementagent*" 
 
  "sudo rm -rf ~/Library/Application\\ Support/com.apple.TCC*" 
 
  "sudo rm -rf /Library/Internet\\ Plug-Ins/Flash\\ Player.plugin" 
 
  "sudo rm -rf /Library/Internet\\ Plug-Ins/flashplayer.xpt" 
 
  "sudo rm -rf ~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState"

具体的名称如下图所示:

macOS下malware移除实战之【safari不断弹窗_再启动_02

实际上,上述文件已经对当前Mac系统的影响不大,所以删除不会影响系统的正常运行。

可疑文件全部移除完成后,最好重置浏览器,再启动查看是否恢复正常。