macOS下malware移除实战之weknow弹窗的移除

声明：

由于网络中的病毒virus/malware等存在随时变异或者对应多种感染方式等情况，本文所针对的处理方法仅针对本次样本负责，个人如有误操作，后果自负。如需帮助，可以扫我头像加我微信！

前段时间收到反馈，某人感染了malware，浏览器被劫持，大致的表现情况截图如下：

 

从截图可以看出，显然是感染了makekeeper之类的恶意插件，向对方获取了一些基本的文件和浏览器信息，发给解决问题的脚本，现将这个问题的相关可疑文件和路径公布出来，以给有同样问题的读者参考。

如果你有发现近期出现问题前后才生成的下述文件，请将其通过terminal终端运行进行移除。

根据用户反馈的信息，初步怀疑跟下述路径及其浏览的程序有关：

1，浏览和使用Mogobiggy恶意网站的下载，导致感染了Mac clean up及makekeeper：

~/Library/LaunchAgents/Mogobiggy.AppVemoral.plist
~/Library/LaunchAgents/Mogobiggy.btvlit.plist
~/Library/LaunchAgents/Mogobiggy.disable.plist
~/Library/LaunchAgents/Mogobiggy.dolnwoad.plist

~/Library/LaunchAgents/Mogobiggy.uadpte.plist
~/Library/Application\ Support/Mogobiggy




~/Library/LaunchAgents/com.coupons.coupond.plist
~/Library/LaunchAgents/com.pcv.hlprmcp.plist
~/Library/Application\ Support/Mac\ Cleanup\ Pro
~/Library/Application\ Support/mcp

2，感染了Mac clean up及makekeeper相关配置；

实际上，上述文件已经对当前Mac系统的影响不大，即使有误删，后期根据需要可以重新安装，所以删除不会影响系统的正常运行。

可疑文件全部移除完成后，最好重置浏览器，或者移除之前保存的状态数据

~/Library/Saved\\ Application\\ State/com.apple.Safari.savedState
~/Library/Saved\\ Application\\ State/com.google.Chrome.savedState
 

再启动查看是否恢复正常。

 

如果觉得本文对你有帮助，那就赞一个或者评论一个吧！

 

--------------------- 
作者：做个有意思的人 
来源：CSDN 
版权声明：本文为博主原创文章，转载请附上博文链接！