声明：

由于网络中的病毒virus/malware等存在随时变异或者对应多种感染方式等情况，本文所针对的处理方法仅针对本次样本负责，个人如有误操作，后果自负。如需帮助，可以扫我头像加我微信！

前段时间收到反馈，某人感染了malware，浏览器被劫持，大致的表现情况是：使用Google搜索内容时，跳转的页面会闪一下后马上跳转到Bing搜索，很明显搜索引擎发生了被修改劫持，向对方获取了一些基本的文件和浏览器信息，发给解决问题的脚本，现将这个问题的相关可疑文件和路径公布出来，以给有同样问题的读者参考。

如果你有发现近期出现问题前后才生成的下述文件，请将其通过terminal终端运行进行移除。

根据用户反馈提供的信息，收集如下：

初步怀疑跟下述路径及其浏览的程序有关：

   1  "~/Library/LaunchAgents/com.techyutil.maftask.plist*"
   2   "~/Library/LaunchAgents/com.company.*"
   3   "/Library/LaunchAgents/com.adobe.*"
   4   "~/Library/LaunchDaemons/com.adobe.*"
   5   "/Library/LaunchDaemons/com.adobe.*"
   6   "/Library/Application\\ Support/Adobe"
   7   "~/Library/Application\\ Support/Adobe"
   8   "/Library/PrivilegedHelperTools/com.adobe.*"
   9   "/Library/Internet\\ Plug-Ins/Adobe*"
   10   "/Library/Internet\\ Plug-Ins/Flash*"
   11   "~/Library/Application\\ Support/Mac\\ File\\ Opener"
   12   "~/Library/Application\\ Support/Mac\\ Ads\\ Cleaner"
   13   "~/Library/Application\\ Support/Freshmac"
   14   "/Applications/Adobe*"
   15   "/Applications/Utilities/Adobe*"
   16   "/Library/Application\\ Support/Macromedia"
   17   "~/Library/Application\\ Support/adc"
   18   "~/Library/LaunchAgents/com.spotify.webhelper.plist"
   19   "~/Library/Application\\ Support/maf"
   20   "/Library/Application\\ Support/Adobe*"

1，浏览和使用了恶意网站的下载，导致感染了Mac File Opener及maftask类的自启动浏览器劫持类恶意软件：

通过在virus total上验证上述文件，也发现了一些问题。

处理方法：

移除上述路径下的配置文件，如果有。检查是否还存在相关的其他配置文件，杀掉该进程，再重启电脑。

实际上，上述文件对当前Mac系统的影响微乎其微，即使有误删，后期根据需要可以重新安装，所以删除不会影响系统的正常运行。

可疑文件全部移除完成后，最好重置浏览器，或者移除之前保存的状态数据

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState

再启动查看是否恢复正常。

如果觉得本文对你有帮助，那就赞一个或者评论一个吧！

--------------------- 
作者：做个有意思的人 
来源：CSDN 
版权声明：本文为博主原创文章，转载请附上博文链接！
---------------------