Mac 谷歌浏览器chrome恶意插件劫持Any search(TotalSearchToolbox)处理
记一次Mac恶意插件Any search(TotalSearchToolbox)的删除
文章有点长有点啰嗦,请耐心读完,会有收获的。
(如果解决了你的问题,请评论点赞反馈,这个恶意插件的清除查了许多资料并进行总结,折磨我有一个多月了)
前言
chrome浏览器被安装了恶意插件,如图1。
该插件会导致在chrome地址栏填入关键词搜索时被劫持到 http://search.anysearchmanager.com (图2)。据网上的资料显示,有些朋友不一定是这个网址,但行为是差不多的。
关于该恶意插件:
该插件非常贱,知道适度恶心人,如果太恶心人就会被干掉。这个插件被删除/禁用后可以保持几天不被劫持,几天后又重新装上。所以有些人就忍下来了,从而这款恶心插件达到 “和宿主共生” 的目的。
该chrome的恶意插件名字叫TotalSearchToolbox,在网上查到的资料非常少。
据网上的资料,很多朋友不一定这个名(有些叫SearchFunction),该插件可能会换着名字,我遇到的情况是这名字。
其实不管叫什么名本质就是臭名昭著的any search。搜索
any search就可以查到很多资料。在这个教程里TotalSearchToolbox会被称为any search插件,请注意该插件可以在chrome的插件管理中删除,也可以禁用。
删除或禁用插件后,可以暂时停止被劫持(可以有几天平静),但是过了几天插件又会装上并启用。
让人恼火的是,重新安装恶意插件时会导致chrome打开的标签页全部没了!
将chrome的插件管理的开发者模式关闭不管用,在删除或禁止插件数天后还是会自动安装或解除禁用。
重新安装chrome浏览器,也解决不了会被定时安装这个插件
用了网上的杀毒软件,例如叫Combo Cleaner的,能扫描出这个威胁,并且删除重启电脑后,不顶用,过七天插件又出来恶心人
进一步确认自己被装了恶意插件
据说打开chrome,输入
chrome://policy,如果看到ExtensionSettings不为空,且等级为 Mandatory (强制)则说明浏览器被劫持。如图3下图,图1:恶意插件
- 下图,图2:Any Search恶意插件
- 下图,图3:
解决办法
按照以下顺序操作,可能不一定每个步骤都能像文章里写的那样顺利,总之是相关恶意插件名的东西都删掉。有些目录可能跟本文列的不一样,总之按照恶意插件的名字去找。
- 删除/Library/LaunchDaemons/com.TotalToolboxSearchDaemon.plist
可以用文本编辑器打开(也可以安装PlistEditor),可以看到里面是<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0"><dict><key>Label</key><string>com.TotalToolboxSearchDaemon</string><key>ProgramArguments</key><array><string>/Library/Application Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch</string><string>r</string></array><key>RunAtLoad</key><true /><key>StartInterval</key><integer>14400</integer></dict>
</plist>看到StartInterval,发现很可能隔着14400秒(即4天)就发作一次。调用的应该是`/Library/Application Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch` 的脚本
- 删除/Library/Application Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch
删除com.TotalToolboxSearchDaemon目录即可。
TotalToolboxSearch 文件,是一个可执行的文件,很奇怪的是居然不是文本文件无法看到里面的shell。双击后使用终端运行,发现运行后也没有重新安装恶意插件,**难道**是它会判断最近一次发作时间,如果还没到时间就无动作吗? 执行的效果如下Stone-MacBookPro15:~ stonewang$ /Library/Application\ Support/com.TotalToolboxSearchDaemon/TotalToolboxSearch ; exit;
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.
Deleting expired sessions...251 completed.
- 删除~/Library/LaunchAgents/com.TotalToolboxSearch/com.TotalToolboxSearch.plist
com.TotalToolboxSearch.plist文件,打开看到如下,跟上面提到的plist的内容有点不一样<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict><key>Label</key><string>com.TotalToolboxSearch</string><key>ProgramArguments</key><array><string>/Users/stonewang/Library/Application Support/com.TotalToolboxSearch/TotalToolboxSearch</string><string>r</string></array><key>RunAtLoad</key><true/><key>StartInterval</key><integer>14400</integer>
</dict>
</plist>删除~/Library/Application Support/com.TotalToolboxSearch/TotalToolboxSearch
删除com.TotalToolboxSearch目录即可
删除/Library/LaunchAgents/ 下的可疑文件
(我没遇到有可疑文件)
到目录看可疑文件~/Library/Application Support/Google/Chrome/Default/Extensions
(这个步骤是参考其他资料的,个人认为不需要执行。因为这里面的东西看了也不知道要删什么,它是chrome中已经安装了的插件的ID,其实直接到chrome中删除插件就行了,无需再这里删,又危险容易删错)
到chrome的插件管理中删除 TotalSearchToolbox 插件(any search插件,注意你的不一定叫这个名字)
到 系统偏好设置->描述文件 中删除可疑文件(注意:没有这个菜单说明没有描述符文件,可跳过),如图
(删除完毕后再到chrome里使用 chrome://policy/,就查不到任何东西了,注意chrome要完全退出,即无小黑点)
- 处理 Library/Managed Preferences/ 中的可疑文件,执行脚本
(实际测试,上一步全部删除干净后,这两个文件会消失,下面的脚本会执行失败,则本步骤跳过即可,不影响)
# 第一步:复制如下命令到命令行,输入管理员密码
sudo -s# 第二步:复制如下2段命令并执行
/usr/libexec/PlistBuddy -c \
"Delete :com.google.Chrome" \
complete.plist/usr/libexec/PlistBuddy -c \
"Delete :com.google.Chrome" \
com.google.Chrome.plist
参考
https://www.jianshu.com/p/3e1963136e95
Mac 谷歌浏览器chrome恶意插件劫持Any search(TotalSearchToolbox)处理相关推荐
- Chrome恶意插件自动跳转淘宝
Chrome恶意插件,自动跳转淘宝s.click.taobao.com 发现Chrome恶意插件,自动跳转淘宝s.click.taobao.com C:\Documents and Settings\ ...
- 谷歌浏览器chrome扩展插件-农名的世界脚本
farmersworld 游戏比较火,写个简单的自动收获的插件. 脚本支持 手锯.电锯.挖掘机.渔船的自动收获. 能量.持久度不够了自动修复. manifest.json {"manifes ...
- 谷歌浏览器chrome devtools 插件安装
具体操作: 1 . 下载chrome扩展插件. 在github上下载压缩包并解压到本地,github下载地址:https://github.com/vuejs/vue-devtools 2. npm ...
- 解决WIN/MAC平台谷歌浏览器/Chrome添加插件安装时显示程序包无效:CRX_HEADER_INVALID的问题
程序包无效"CRX_HEADER_INVALID"是个什么鬼? 一般来说安装插件应该到谷歌商店去安装,但是由于某种原因我们不一样能正常访问到谷歌商店,除了商店在线安装 ,我们还可以 ...
- 谷歌浏览器Chrome被hao123劫持怎么解决?---- 被hao123、2345、360等主页劫持和捆绑的解决方法
大早上过来用我干净得谷歌开启一天得摸鱼过程,发现浏览器被劫持,打开谷歌冒出来hao123花花绿绿90年代得网页,真的有点儿辣眼睛... 为毛不是号称BAT领袖得百度大佬,简单快捷,为毛不能在 搜索引擎 ...
- Mac下Chrome的插件安装目录在哪?
/Users/xxx/Library/Application Support/Google/Chrome/Default/Extensions /Users/xxx/Library/Applicati ...
- 【2022最新】mac版本Chrome谷歌浏览器导入burpsuite证书
不得不说,安装个pojie的burp已经很不容易,心态都要崩了,这下导个证书也和网上的教程完全不一样,一个苹果电脑把我心态搞炸,真的,搞渗透别买mac,我现在后悔的不行................ ...
- Dark Mode for Chrome(谷歌浏览器暗黑模式插件)
Dark Mode for Chrome 是一款适用于谷歌浏览器的暗黑模式插件,可以一键开启黑暗模式浏览网页,夜间上网有效保护视力!自动将各类网站的背景换成暗色调,有效降低屏幕过亮导致的眼睛视力的损伤 ...
- 【Mac】Chrome中添加截图扩展插件FireShot方法
FireShot是一款可以使用谷歌浏览器快速捕捉当前网页中元素的chrome截图插件,在谷歌浏览器中安装FireShot插件以后可以对网页中整个屏幕或者是网页的部分视图进行截图操作,在截图之后用户还可 ...
- 谷歌浏览器 Chrome 安装 Tampermonkey 油猴插件的方法
谷歌浏览器 Chrome 安装 Tampermonkey 油猴插件的方法 一.什么是油猴脚本 二.油猴安装方法 方法一:Google官方商店安装(推荐) 方法二:本地安装(无需KX上网) 一.什么是油 ...
最新文章
- [IoC容器Unity]第四回:使用范例
- Windows 服务全攻略(2)
- Enabling HierarchyViewer on Rooted Android Devices
- DefWndProc/WndProc/IMessageFilter的区别
- 444 nginx_nginx 安全问题
- Python打包之pyinstaller
- 6000毫安以上智能手机_三星超长续航神机,6000毫安+128GB,上市半年不到跌至1499...
- 台湾游戏企业抢滩大陆 研发成竞争核心
- Swift 的函数和闭包
- 带彩色字体的man pages(debian centos)
- JavaScript设计模式之构造器、模块和原型
- tornado 重定向404
- yarn 常用命令(干干货!)
- ArcGIS 泛克里金插值
- 解决各种IE兼容问题
- 人体的神经系统图 分布,人体脑神经系统分布图
- ARP报文目的MAC为什么不是广播地址?
- Python 繁体转简体
- iOS图片加载策略的简单实现
- uniapp全局修改字体