Skip to main content
Hur man tar bort SearchBaron virus från Mac

Hur man tar bort SearchBaron virus från Mac


Search Baron viruset (Mac) är ett bekymmer som försämrar offrets webbupplevelse genom att omdirigera trafiken till Bing, därför är det viktigt med skyndsam rensning.

Uppdaterad: Juli 2020

Hotprofil
Namn Search Baron (SearchBaron.com) webbläsarkapare
Kategori Webbläsarkapare, omdirigeringsvirus, Mac annonsprogram
IP 151.139.128.10, 13.32.255.71, 204.11.56.48
Relaterade domäner searchmarquis.com, hut.brdtxhea.xyz, mybrowser-search.com
Detektering Avast: MacOS:MaxOfferDeal-I [Adw], BitDefender: Adware.MAC.Genieo.WS, ESET: A Variant Of OSX/Adware.MaxOfferDeal.N, McAfee: RDN/Generic.osx, Microsoft: Trojan:Win32/Bitrep.A, Sophos: Generic PUA PB (PUA), Symantec: OSX.Trojan.Gen
Symtom Omdirigerar webbläsaren till SearchBaron.com och Bing.com, lägger till sponsrat innehåll i sökresultat, segar ner systemet
Distribution Freeware-samlingar, torrenter, försåtsminerade programuppdateringar, vilseledande popup-annonser, spam
Allvarlighetsnivå Medium
Skada Oönskade ändringar av anpassade webbläsningsinställningar, sekretessproblem på grund av aktivitetsspårning på Internet, omdirigering av sökningar, överflödiga annonser
Borttagning Skanna din Mac med Combo Cleaner för att upptäcka filer relaterade till webbläsarkapare. Använd verktyget för att ta bort infektionen om den upptäcks.

Av alla bedrägliga aktiviteter som hemsöker Mac är webbläsarkapning en av de mest störande incidenterna. Det resulterar i webbsurfningspreferenser som plötsligt försvinner från användarens kontroll, vilket innebär tvångsmässig vidarebefordran av trafiken till oönskade webbplatser. Även om denna typ av en attack inte kategoriseras som svår är det enormt irriterande och kräver en grundlig sanering. Få infektioner från detta kluster når någonsin de distributionshöjder som det nyligen upptäckta Search Baron-viruset kan skryta med. Det har infiltrerat många Mac-datorer under de senaste dagarna och orsakade en del rabalder i säkerhetsforum. Plågan manifesterar sig genom att ta över de anpassade Internetnavigeringsinställningarna för att omdirigera offrets webbtrafik. När den drabbade användaren försöker besöka en slumpmässig webbplats vidarebefordras den till searchbaron.com, och sedan vidare till bing.com.

Startpunkt för en webbläsaromdirigering orsakad av Search Baron-viruset Mac

Vid första anblick verkar logiken i denna attack inte vettig. Varför ge en Mac-användares online-preferenser en översyn och sedan skicka dem till Bing, en legitim sökmotor? Motiven för denna skumma kampanjs upphovsmän är mer subtila än det först kan tyckas. Varje gång omdirigeringen sker följer det en komplex slinga som involverar mellanmänsdomäner, såsom den välkänt bedrägliga searchnewworld.com webbplatsen, eller sidor som ligger på AWS (Amazon Web Services) plattformen. Ett ofta rapporterat exempel på det senare är searchroute-1560352588.us-west-2.elb.amazonaws.com. Förresten är användningen av välrenommerade molnnätverk för parkering av skumma webbresurser ett sätt för cyberbrottslingar att undvika svartlistning. Dessa webbplatser visas inte synbart i webbläsaren under tiden, men tekniskt sett besöks de som en del av omdirigeringen.

En extra bieffekt av webbläsarkapningsvågen med Search Baron är att nya skadliga domäner läggs till användarens genre efterhand. Ett av exemplen på aktiv rotation är hut.brdtxhea.xyz URL. Mer specifikt är hela strängen hut.brdtxhea.xyz/api/rolbng/ffind. Ett annat skifte som ägde rum nästan ett år efter att kampanjen ursprungligen exploderade på nätet är att utbudet av sidofrämjade siter har kompletterats med mybrowser-search.com. Detta är en tramstjänst som bygger på anpassade sökresultat från en annan sökmotor utan att bidra med något egentligt värde i sig självt. Arkitekterna av detta övergripande system har byggt ett komplext nätverk av tvivelaktiga resurser som fortsätter att expandera. Gärningsmännen driver därmed trafik till specifika sidor samtidigt som det ser ut som den enda inladdade webbplatsen är bing.com. Det här tricket är inte nytt, men det fortsätter att gynna den skumma affärsmodellen som baseras på kapning av trafik för intäktsgenerering.

Search Barons webbläsarkapning är så irriterande att det döljer en annan oönskad effekt av den underliggande skadliga appen. När det körs på en Mac håller viruset dessutom koll på offrets online-aktiviteter. Det övervakar i tysthet vilka webbplatser som besöks och vilka sökfrågor som anges. Utöver det kan infektionen fokusera på känsliga detaljer som användarna uppger när de loggar in på sina personliga webbkonton, inklusive internetbanken, e-post och molntjänster. Genom att sammanställa alla dessa detaljer kan cyberbrottslingarna bakom Search Baron skapa en detaljerad profil för det intet ont anande offret och missbruka denna information för att genomföra identitetsstöld och trovärdiga nätfiskeangrepp. Chansen är stor att denna data kommer att säljas vidare till andra bedrägliga aktörer, såsom tvivelaktiga annonsörer eller högprofilerade hackergrupper.

Den gemensamma ingångspunkten för Search Baron virusintrång är paketering. Detta är en långvarig bluff som lurar människor att installera skadliga program. Vissa iögonfallande, och vanligtvis kostnadsfria, appar som marknadsförs på olika ocertifierade mjukvaruportaler är kärnan i detta system, vilket gör att användarna tror att de har tur som får ett sådant juste verktyg utan extra kostnad. Installationsprogrammet kan dock visa sig ha en del extra föremål under huven, även om det vanligtvis inte finns några omnämnanden om detta faktum. Därför klickar det kommande offret sig igenom installationsguidens fönster, bara för att dessutom installera potentiellt oönskade program. Mac-användare måste tillslut lära sig läxan: Välj bort standardläget när du installerar freeware och kontrollera förekomsten av ovälkomna kompletterande objekt. Att läsa det finstilta kan ibland verkligen löna sig.

En av de mellanliggande domänerna som är involverad i Search Baron webbläsaromdirigeringsplanen

När det är igång på en Mac lägger Search Baron-viruset till sig självt permanent under Startobjekt. Det förändrar också inställningarna för administratörens standardwebbläsare, vilket resulterar i att sökleverantören och startsidan ändras till searchbaron.com. Ibland har webbplatsadressen en svans som hänvisar till en specifik underannonseringskampanj. Strängen kan till exempel vara något i stil med searchbaron.com/v1/hostedsearch. De ofördelaktigt uppdaterade inställningarna i Safari, Chrome eller Firefox kommer upprepade gånger träda i kraft varje gång offret manuellt försöker välja rätt tjänster, eftersom det finns en skadlig plugin konfigurerad för att göra dessa oönskade ändringar om och om igen. En ytterligare permanent effekt är att infektionen lägger till en ny administrativ profil listad under Systeminställningar. Denna tvivelaktiga företeelse hindrar saneringsprocessen genom att förstärka specifikt beteende hos den drabbade webbläsaren, inklusive dess standardinställningar. Det innebär att reparationen är en fråga om att ta bort Search Baron-viruset korrekt, inklusive dess komponenter avsedda för behörighetseskalering och kvardröjningseffekter på Mac, och sedan återanpassa den drabbade webbläsaren. Genomgångarna nedan beskriver vad som behöver göras.


Search Baron-virus manuell borttagning för Mac

Nedanstående steg hjälper dig genom borttagningen av den här skadliga applikationen. Se till att följa instruktionerna i ordning.

  1. Öppna -menyn i Finder-raden och välj Verktygsprogram som bilden visar.

    Gå till Verktygsprogram

  2. Sök upp ikonen Aktivitetskontroll på Verktygsprogram-skärmen och dubbelklicka på den.

    Välj Aktivitetskontroll

  3. I Aktivitetskontrollen söker du upp en process som verkar misstänkt. För att förenkla sökningen fokuserar du på obekanta resurskrävande objekt i listan. Tänk på att namnet inte nödvändigtvis behöver vara relaterat till sättet det menar beter sig på så du behöver lita på ditt eget omdöme. Om du preciserar brottslingen väljer du den och klickar på ikonen Stäng av i det övre vänstra hörnet av skärmen.

    Stoppa skadlig process

  4. När en uppföljningsdialog öppnas och frågar om du är säker på att du vill avsluta den problemskapande processen väljer du alternativet Tvångsavsluta.

    Select the Force Quit option

  5. Klicka på menyikonen i Finder igen och välj Gå till mapp. Du kan även använda skrivbordsgenvägen Command-Shift-G.

    Använd mappfunktionen Gå till

  6. Skriv in /Bibliotek/LanchAgents i mappens sökdialog och klicka på knappen .

    Öppna mappen /Bibliotek/LaunchAgents

  7. Undersök innehållet i mappen LaunchAgents efter misstänka objekt. Tänk på att filer utsatta för skadlig kod kan ge oklara ledtrådar att de är skadliga, så du behöver söka efter nyligen tillagda objekt som verkar skilja sig från normen.

    Som en illustration visas här flera exempel på LaunchAgents relaterade till vanliga Mac-infektioner: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, och com.msp.agent.plist. Om du hittar filer som inte tillhör listan, gå vidare och dra dem till Papperskorgen.

    LaunchAgents-mapens innehåll på rotnivå

  8. Använd sökfunktionen Gå till mappen igen för att navigera till mappen ~/Bibliotek/Application Support (observera tilde-symbolen som inleder sökvägen).

    Öppna mappen ~/Bibliotek/Application Support

  9. När katalogen Application Support öppnas identifierar du nyligen genererade misstänkta mappar i den och skickar den till Papperskorgen. Ett snabbtips är att leta objekt vars namn inte har något med Apple-produkter eller appar du nyligen installerat att göra. Några exempel på kända misstänkta mappnamn är IdeaShared, ForwardOpen och ExtraBrowser.

    Innehåll i mappen Application Support

  10. Ange strängen ~/Bibliotek/LaunchAgents (glöm inte att ta med tilde-tecknet) i sökfältet Gå till mappen.

    Öppna katalogen /Bibliotek/LaunchAgents

  11. Systemet visar LaunchAgents i den aktuella användarens Hemkatalog.  Leta efter skumma objekt relaterade till viruset Search Baron (se logiken som markeras i underavsnitten ovan) och dra de misstänkta till Papperskorgen.

    Innehåll i användarens hemkatalog LaunchAgents

  12. Skriv in /Bibliotek/LaunchDaemons sökfältet i Gå till mappen.

    Gå till /Bibliotek/LaunchDaemons

  13. I sökvägen LaunchDaemons försöker du hitta filerna som den skadliga koden använde för att överleva. Några exempel på sådan objekt utsatta för Mac-infektioner är com.pplauncher.plist, com.startup.plist, och com.ExpertModuleSearchDaemon.plist. Radera de fula filerna omedelbart.

    Mappinnehåll i LaunchDaemons

  14. Klicka på menyikonen i din Mac:s Finder och välj Program i listan.

    Gå till Program-skärmen på Mac

  15. Hitta ingången för en app som tydligt inte borde vara där och flytta den till Papperskorgen. Om den här åtgärden kräver ditt admin-lösenord för bekräftelse skriver du in det.

    Dra misstänkt app till Papperskorgen

  16. Expandera menyn Apple och välj Systeminställningar.

    Öppna Systeminställningar

  17. Fortsätt till Användare och grupper och klicka på fliken Startobjekt.Öppna SysteminställningarSystemet visar listan på objekt som öppnas när datorn startar upp. Hitta den potentiellt oönskade appen där och klicka på knappen ”-” (minus).

    Radera oönskat startobjekt

  18. Välj sedan Profiler i Systempreferenser. Leta efter misstänkta objekt i det vänstra sidofältet. Flera exempel på konfigurationsfiler skapade av Mac adware är TechSignalSearch, MainSearchPlatform, AdminPrefs, och Chrome Settings. Välj den oönskade profilen och klicka på minustecknet längst ner för att ta bort den.

    Ta bort skadlig konfigurationsfil från Mac

    Om din Mac har infiltrerats av skadlig kod kommer infektionen sannolikt att fortsätta behålla kontrollen över din standardwebbläsare även efter att du tagit bort den underliggande applikationen tillsammans med dess komponenter som finns utspridda i systemet. Följ instruktionerna för rensning av webbläsare nedan för att åtgärda de återstående konsekvenserna av den här attacken.

Bli av med Search Baron i webbläsare på Mac

Till att börja med behöver webbläsarinställningar som tagits över av Search Baron-viruset återställas till sina ursprungliga värden. Även om detta rensar de flesta av dina anpassade inställningar, som webbhistorik och alla tillfälliga data som lagras av webbplatser, kommer den skadliga koden också tas elimineras. Följ nedanstående steg för att slutföra den här processen:

  1. Avlägsna Search Baron-viruset från Safari
    • Öppna webbläsaren och gå till Safari-menyn. Välj Inställningar i rullgardingsmenyn.

      Gå till Inställningar i Safari

    • I fönstret Inställningar väljer du fliken Avancerat och markerar alternativet ”Visa utvecklarmenyn i menyraden”.

      Fliken Avancerat i menyn Inställningar

    • Nu har menyobjektet Utvecklare lagts till i Safari-menyn. Öppna den och klicka på Töm cachar.

      Töm cachar i Safari

    • Välj Historik i Safari-menyn och klicka på Rensa historik... i rullgardinsmenyn.

      Rensa historik i Safari

    • Safari visar en dialog som ber dig specificera tiden som den här åtgärden ska tillämpas på. Välj all historik för att åstadkomma bäst effekt. Klicka på knappen Rensa historik för att bekräfta och avsluta.

      Välj att rensa all historik

    • Gå tillbaka till menyn Inställningar och klicka på fliken Integritet längst upp.  Hitta alternativet som säger Hantera webbplatsdata och klicka på det.

      Alternativet hantera webbplatsdata på fliken Integritet

    • Webbläsaren visar följande fönster där webbplatser som har lagrat data om dina internetaktiviteter visas. Fönstret innehåller en kort beskrivning av vad borttagningen gör: du kan loggas ut från vissa tjänster och förvänta dig andra ändringar av webbplatsens beteende efter proceduren. Om du är okej med det fortsätter du genom att klicka på knappen Ta bort alla.

      Bekräftelsedialog

    • Starta om Safari.
  2. Ta bort Search Baron från Google Chrome
    • Öppna Chrome, klicka på Inställnings-ikonen för Google Chrome (⁝) längst upp till höger i fönstret, och välj Inställningar i rullgardingsmenyn.

      Inställningar

    • När panelen öppnats väljer du Avancerat.
    • Bläddra ner till avsnittet Återställ inställningarna.

      Återställ inställningarna

    • Bekräfta återställningen av Chrome i ett popup-fönster som visas. När proceduren är slutförd startar du om webbläsaren och letar efter aktivitet med skadlig kod.

      Så här återställer du inställningarna i Chrome på Mac

  3. Ta bort Search Baron från Mozilla Firefox
    • Öppna Firefox och gå till Hjälp – Felsökningsinformation (eller skriv in about:support i URL-fältet och tryck Enter).

      Öppna Firefox och gå till Hjälp – Felsökningsinformation

      Select Troubleshooting Information

    • När fönstret Felsökningsinformation öppnas klickar du på knappen Återställ Firefox...

      Återställ Firefox på Mac

    • Bekräfta och starta om Firefox.

Bli av med Search Baron-virus genom att använda Combo Cleaners automatiska borttagningsverktyg

Mac-programmet för underhåll och säkerhet som kallas Combo Cleaner är verktyg för att upptäcka och ta bort Search Baron-virus. Den här tekniken har stora fördelar jämfört med manuell rensning eftersom verktyget får virusdefinitionsuppdateringar varje timme och kan snabbt hitta även de senaste Mac-infektionerna.

Dessutom kommer den automatiska lösningen hitta kärnfilerna för den skadliga programvaran djupt ned i systemstrukturen, vilket annars kan vara en utmaning. Här är en beskrivning av hur du löser problemet med Safe Finder med hjälp av Combo Cleaner:

  1. Ladda ner Combo Cleaner Installer. När du är klar dubbelklickar du på filen combocleaner.dmg och följer uppmaningarna för att installera verktyget på din Mac.

    Ladda ner Combo Cleaner

    Genom att ladda ner alla program som rekommenderas på den här webbplatsen godkänner du våra villkor och vår sekretesspolicy. Den kostnadsfria skannern kontrollerar om din Mac är infekterad.  För att bli av med skadlig programvara måste du köpa Premium-versionen av Combo Cleaner.

  2. Öppna appen från din Launchpad och låt den köra uppdateringen av signaturdatabasen för skadlig programvara för att se till att den kan identifiera de senaste hoten.
  3. Klicka på knappen Starta Combo Scan för att kontrollera om det finns skadliga aktiviteter på din Mac eller prestandaproblem.

    Combo Cleaner Mac scan progress

  4. Undersök skanningsresultaten. Om det står ”No Threats” i rapporten är du på rätt spår med manuell rengöring och kan säkert fortsätta att städa upp i webbläsaren som kan fortsätta att fungera märkligt på grund av effekterna av den skadliga programvaran (se anvisningarna ovan).

    Combo Cleaner scan report – no threats found

  5. Om Combo Cleaner har upptäckt skadlig kod klickar du på knappen Remove Selected Items och verktyget tar bort hot från Search Baron tillsammans med andra virus, PUP:er (potentiellt oönskade program) eller skräpfiler som inte tillhör din Mac.

    Combo Cleaner – threats found

  6. När du har försäkrat dig om att den skadliga appen har avinstallerats kan det hända att felsökningen på webbläsarnivå fortfarande finns på att göra-listan. Om din webbläsare påverkas kan du använda föregående avsnitt i den här vägledningen för att återgå till problemfri webbsurfning.

FAQ

84

Was this article helpful? Please, rate this.

There are no comments yet.
Authentication required

You must log in to post a comment.

Log in