我的Mac中毒了,病毒居然叫做MacPerformance

我的Mac中毒了,病毒居然叫做MacPerformance

不知道什么时候上了什么网站,还是下载了什么程序,最近我的MacOS中毒了:)。中毒以后的现象是浏览器经常无故自动打开一个页面,看起来像是个广告,然后又自己关掉了。
开始我怀疑是自己安装了什么Chrome插件引起了。后来发现Safari里也一样。

使用Mac以来基本上没怎么碰到过病毒的问题,这个现象也不能算是什么病毒,算是个广告类的流氓软件吧。
也不知道Mac下有没有比较好的清除病毒的App,Google了一下感觉都不太可靠。就暂时手工清除了一遍。

首先查找Mac系统启动的时候自动开启了哪些项目。命令是sudo launchctl list
输出结果里不是Apple或者你熟悉的应用,都比较可以。
我这里很明显的是这几个:

  • MacPerformance
  • nysgar
  • cPIEf
  • 3Tr5D
  • aD1yM

通过命令 sudo launchctl remove <service_name>来删除这些启动项。

然后是删除这些程序对应的目录和文件。搜索了一下,基本上都在当前用户的Library目录里。有些我也不认识,但是抱着宁可错杀不能放过的想法,就都删掉了。

rm ~/Library/LaunchAgents/com.apple.nysgar.plist
rm ~/Library/LaunchAgents/com.MacPerformance.plist
rm ~/Library/LaunchAgents/com.cPIEf.plist
rm ~/Library/LaunchAgents/com.3Tr5D.plist
rm ~/Library/LaunchAgents/com.aD1yM.plist
rm -rf /Users/Apple/Library/UpdateMac/
rm -rf /Users/Apple/Library/search.amp/
rm -rf /Users/Apple/Library/hgw7D
rm -rf /Users/Apple/Library/IsBjg
rm -rf /Users/Apple/Library/Heroin.nu
rm -rf /Users/Apple/Library/molarimeter.wf
rm -rf /Users/Apple/Library/walleva
rm -rf /Users/Apple/Library/wheetle-bother
rm -rf /Users/Apple/Library/phthiocol
rm -rf /Users/Apple/Library/potamologist.mg
cd    /Users/Apple/Library/
rm jjkl
rm instance
rm MacInstallEe
rm MacInstallPall
rm MacInstallPall4
rm MacInstallPallc
rm nysgar
rm settings.dat
rm watch.log
rm StickiesDatabase
rm MixPanelLib_SavedData.plist
rm MixPanelLib_SavedPeople.plist

删除/Users/Apple/Library/settings.dat文件的时候,发现一会儿它又被创建出来了。
使用下面这个命令监控/Users/Apple/Library/目录下的文件访问。如果输出太多,你可以先把结果重定向到一个文件,然后再在文件里搜索settings.dat
结果发现是nysgar进程在重新创建这个文件。就先把这个进程杀掉了。大概是前面nysgar文件虽然删掉了,但是这个程序已经运行在哪里了。

sudo opensnoop /Users/Apple/Library/

清理完之后,重启机机器。
重启以后再检查一下前面的那些加载项和文件是不是没有了。如果还有应该是没删除干净。再从头检查检查。

如果有些加载项删除不掉,也可以检查一下这些目录。
* ~/Library/LaunchAgents
* /Library/LaunchAgents
* /Library/LaunchDaemons
* /System/Library/LaunchAgents
* /System/Library/LaunchDaemons

leon

每天进步一点点
Close Menu