Skip to main content

从Mac电脑中削除“搜索侯爵”病毒 (Safari, Chrome, Firefox移除)


Mac电脑上的 “搜索侯爵” 病毒是利用必应重新定向疏漏的一个新型伪装者,若不删除则会导致受害者的网络浏览器被劫持并重新定向等问题。

更新:2020年7月

病毒简介
名字 “搜索侯爵”浏览器劫持者
类别 广告软件,重定向病毒,PUA
IP地址 54.230.89.106
相关域名 searchmarquis.com, searchbaron.com, searchnewworld.com, mybrowser-search.com
症状 通过searchmarquis.com将网络浏览器重定向到必应网站,将推广内容添加到搜索结果,导致系统减速,排斥定期清除
传播方式 假Adobe Flash播放器更新弹出窗口,恶意软件包,垃圾邮件
安全级别 中级
危害 被迫改变浏览器偏好,网络活动追踪而引起的隐私问题,搜索重定向,折叠广告
移除 用Combo Cleaner扫描你的Mac电脑,检测所有与浏览器劫持者相关的文件。如果发现感染,使用工具清除感染。

目前,一个网络犯罪团伙正在逍遥法外,其活动正对整个Mac社区造成威胁。尽管这些骗子不会贪婪地利用挖掘密码来暗中破坏系统或引起混乱,他们所创建的恶意代码也非常令人讨厌,而且非常难以从饱受其困扰的Mac电脑中删除。所有可疑活动的重点都集中在电脑使用中的网络浏览这一方面。通过在未经管理员同意的情况下偷偷摸摸地将应用程序和插件存植入macOS系统上,这些犯罪分子可以将流量重路由到如下站点:searchmarquis.com, 以此导致用户浏览器运作异常。 “搜索侯爵”究竟是什么?这是一种病毒的表现形式,它对人们的互联网导航设置进行了恶意修改,从而得以推广自己的登录页面。一旦中招,用户就被迫点击必应网站,并且在到达目的网页之前,浏览器的浏览路径会经过多个中间域名,如“搜索男爵 ”(Search Baron)(searchbaron.com)。

Mac电脑上浏览器默认设置为searchMarquis.com

“搜索侯爵”病毒借助一种被称为捆绑销售的软件打包计策,可悄悄地进入Mac电脑。这种技术假借良性的、通常是免费的名义共同推广多项应用。虽然其本身合法,但该机制为攻击者提供了一个机会,即不法分子可在不通知潜在受害者的情况下推进其侵害进程。除非用户未选中默认设置模式,并且在安装客户端上选择了自定义选项,否则恶意软件将同用户有意安装的项目一起涌进Mac电脑。结果就是,猎物对是否给予权限一概不知,而害虫们则得到了所有的特权。从那一刻起,“搜索侯爵”的感染便开始主宰目标计算机上所有的网页浏览信息,而计算机管理员也无法通过普通的方式恢复到其正常配置。

如前所述,这种病毒会集中攻击那些在受损Mac电脑上检测出的网络浏览器。它适用于Safari、Chrome和Firefox,鉴于这些浏览器的流行程度,几乎所有的攻击方案都会造成一定的损害。这个流氓软件一旦被植入进受害者常用的浏览器中,它会立即根据自己的利益调整主页、搜索栏和新的标签页设置,即将这些值都替换为searchmarquis.com,以此折磨用户一遍又一遍地访问无效页面。这个犯罪集团还会另外篡改DNS服务器设置以获得额外的延续性。这种干扰将会不断解决伪搜索引擎的问题,而非目标搜索引擎。并且为了进一步加强控制力,他们还在 “系统偏好设置” 这一选项下创建了一个随机命名的配置文件,该配置文件可以他们还在 “览器的设置选项。

搜索侯爵”推广的流氓登录页面之一

表面上看,searchmarquis.com网站似乎只是一个原始的查找工具,带有一个搜索框和几个指向EULA、隐私政策和“联系我们”页面的链接。不管用户输入什么关键字,这种粗略的服务都将返回必应首页。不过,导航路线还包括了几个URL,受害者只能在不到一秒钟的时间内看到它们。这种过渡其实是广告网络,在这种网络中,每一次不起眼的点击都将算作为一次独特的访问,从而为这场骗局的操纵者带来利润。随着这一恶意活动的发展,新的中间页和目的页被迫卷入到了邪恶活动之中。newworld.com和mybrowser-search.com就是两个例子。这两者都可返回由合法服务提供支持的自定义搜索结果,因此骗局基本上是朝着同一个方向发展,即将明显有害的活动与无害的因素结合在一起。这种非法的思维逻辑一成不变:先由广告软件劫持一个浏览器,再将它重新路由到一个没有任何价值且没有专有搜索算法的提供商那里,这样流量就会到达一个由必应托管的搜索页面。到此,“搜索侯爵”病毒的恶作剧就结束了。那么如何解决这个问题?解决这个问题的唯一方法就是找出并删除这个犯罪应用程序的所有组件。阅读后续章节,了解解决问题的具体方法。


“搜索侯爵”手動刪除Mac病毒

以下列出的步驟將引導您刪除該惡意應用程式。

  1. 展開Mac的Finder欄中的“前往”菜單,然後選擇“工具程式”,如下所示。

    前往“工具程式”

  2. 在“工具程式”屏幕上找到“活動監視器”圖標,然後雙擊。

    選擇“活動監視器”

  3. 在“活動監視器”應用程式中,查找看似可疑的進程。若·縮小搜索範圍,則需關注列表上不熟悉的資源密集型條目。請記住,其名稱不一定與威脅顯現的方式相關,因此您需要相信自己的判斷。如果您查明了問題的罪魁禍首,點擊選擇,然後單擊屏幕左上角的“停止”圖標。

    停止惡意進程

  4. 後續對話框彈出,並詢問您是否確定要結束故障排除過程時,請選擇“強制結束”選項。

    Select the Force Quit option

  5. 再次單擊Finder中的“前往”菜單圖標,然後選擇“前往資料夾”。您也可以使用Command-Shift-G鍵盤快捷鍵。

    使用前往資料夾功能

  6. 在文件夾搜索對話框中輸入/ 資源庫 / LaunchAgents,然後單擊“前往”按鍵。

    打開/資料庫 / LaunchAgents資料夾

  7. 檢查LaunchAgents資料夾內是否有可疑的項目。請注意,由惡意軟件生成的文件名稱可能無法提供說明它們是惡意軟件的明確線索,

    以下是與主流Mac感染相關的幾個LaunchAgents示例:com.pcv.hlpramc.plistcom.updater.mcy.plistcom.avickUpd.plistcom.msp.agent.plist。如果發現不屬於列表的文件,請繼續將其拖至垃圾桶。

    根級別LaunchAgents資料夾內容

  8. 再次使用“前往資料夾”的查找導航功能,並在搜索字段中輸入〜/ 資源庫 / Application Support的資料夾(請注意路徑前的波浪符號)。

    打開〜/ 資源庫 / Application Support資料夾

  9. 打開“Application Support”目錄時,請在其中識別最近生成的可疑資料夾,並將它們發送到“垃圾桶”。快速提示是查找名稱與您故意安裝的Apple產品或應用程式無關的項目。已知的部分惡意資料夾名稱示例有UtilityParzeProgressSiteIdeaShared

    “Application Support資料夾內容

  10. 在“前往資料夾” 搜索字段中輸入〜/ 資源庫 / LaunchAgents字符串(不要忘記添加波浪符號)。

    打開〜/ 資源庫 / LaunchAgents目錄

  11. 系統將顯示當前用戶主目錄中的LaunchAgent。查找與“搜索侯爵”病毒相關的可疑項目(請參閱上方小節中突出顯示的邏輯),然後將可疑對象拖到垃圾桶。

    用戶主目錄中LaunchAgents資料夾的內容

  12. 在“前往資料夾”搜索字段中鍵入/ 資源庫 / LaunchDaemons

    前往/ 資源庫 / LaunchDaemons

  13. 在LaunchDaemons路徑中,嘗試查明惡意軟件使用的持久性文件。部分Mac感染示例包括com.pplauncher.plistcom.startup.plistcom.ExpertModuleSearchDaemon.plist。 立即刪除可疑文件。

    LaunchDaemons資料夾內容

  14. 單擊Mac的Finder中的“前往”菜單圖標,然後在列表中選擇“應用程式”。

    在Mac中前往“應用程式”屏幕

  15. 找到顯然不屬於該應用程式的條目,然後將其移至垃圾桶。如果此操作需要輸入管理員密碼進行確認,請繼續輸入管理員密碼。

    將惡意應用拖到垃圾桶

  16. 展開Apple菜單,然後選擇“系統偏好設定”。

    Select System Preferences

    打開系統偏好設定

  17. 轉至“用戶與組群”,然後單擊“登錄項目”選項卡。

    Proceed to Users & Groups

    系統將顯示計算機啟動時的啟動項目列表。 在此處找到可能不需要的應用程序,然後單擊“-”(減號)按鍵。

    刪除不需要的登錄項

  18. 現在,在“系統偏好設定置”下選擇“描述檔”。在左側邊欄中查找惡意項目。Mac廣告軟件創建的部分配置文件示例包括TechSignalSearchMainSearchPlatform、,AdminPrefsChrome設定。選擇有問題的條目,然後單擊底部的減號,將其消除。

    Select Profiles under System Preferences

    從Mac刪除惡意配置文件

    如果您的Mac已被廣告軟件滲透,那麼即使您刪除了底層應用程序及其周圍散佈的組件,感染也很可能會繼續在默認的Web瀏覽器中佔據主導地位。使用下方的瀏覽器清除說明來進一步解決此攻擊的遺留後果。

在Mac上的網絡瀏覽器中擺脫Search Marquis重定向

首先,應將Search Marquis重定向]病毒接管的Web瀏覽器設置恢復為默認值。 儘管這將清除您的大多數自定義設置,網絡瀏覽歷史記錄以及網站存儲的所有臨時數據,但惡意干擾也應同樣終止。 完成此過程的步驟概述如下:

  1. 從Safari移除Search Marquis病毒
    • 打開瀏覽器,然後轉到Safari菜單。 在下拉列表中選擇首選項。

      在Safari中轉到“偏好設置”

    • 出現“首選項”屏幕後,單擊“高級”選項卡,然後啟用選項“在菜單欄中顯示開髮菜單”。

      “ Safari偏好設置”下的“高級”標籤

    • 現在,“開發”條目已添加到Safari菜單中,將其展開並單擊“空緩存”。.

      Safari中的空緩存

    • 現在,在Safari菜單中選擇“歷史記錄”,然後在下拉列表中單擊“清除歷史記錄”

      清除Safari中的歷史記錄

    • Safari將顯示一個對話框,要求您指定此操作將應用的時間。 選擇所有歷史記錄以確保發揮最大作用。 單擊清除歷史記錄按鈕以確認並退出。

      選擇所有歷史記錄以清除

    • 返回Safari偏好設置,然後點擊頂部的“隱私”標籤。 找到顯示“管理網站數據”的選項,然後單擊它。

      “隱私”選項卡下的“管理網站數據”選項

    • 瀏覽器將顯示一個後續屏幕,列出存儲了有關Internet活動數據的網站。 此對話框還簡要說明了刪除操作:在執行此步驟後,您可能會退出某些服務並遇到網站行為的其他變化。 如果可以的話,請繼續並點擊全部刪除按鈕。

      “確認”對話框

    • 重新啟動Safari。
  2. 從Google Chrome移除Search Marquis重定向
    • 打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。

       打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。

    • 在“設置”窗格上時,選擇“高級”。
    • 向下滾動到“重置設置”部分。

       向下滾動到“重置設置”部分。

    • 在彈出的對話框中確認Chrome重置。 該過程完成後,重新啟動瀏覽器並檢查其是否存在惡意軟件活動。

      這是在Mac上的Chrome中重置設置的方法

  3. 從Mozilla Firefox移除 Search Marquis病毒
    • 打開Firefox並轉到“幫助-故障排除信息”(或在URL欄中鍵入about:support,然後按Enter)。

      打開Firefox並轉到“幫助-故障排除信息”

      打開Firefox並轉到“幫助-故障排除信息”

    • 在“故障排除信息”屏幕上,單擊“刷新Firefox”按鈕。

      在Mac上刷新Firefox

    • 確認預期的更改,然後重新啟動Firefox。

使用Combo Cleaner自動刪除工具擺脫“搜索侯爵”病毒

Mac維護和安全性應用程序Combo Cleaner是一站式可檢測和刪除Search Marquis病毒工具 。 與實用程序清除相比,此技術具有實質性優勢,因為該實用程序每小時更新一次病毒定義,甚至可以準確發現最新的Mac感染。

此外,自動解決方案將在系統結構的深處找到惡意軟件的核心文件,否則可能很難找到該文件。 這是使用Combo Cleaner解決安全查找器問題的演練:

  1. 下載Combo Cleaner安裝程序 。 完成後,雙擊combocleaner.dmg文件,然後按照提示將工具安裝到Mac。

    下載組合清潔器

    下載本網站上推薦的任何應用程序即表示您同意我們的條款和條件以及隱私政策。 免費的掃描儀會檢查您的Mac是否被感染。 要清除惡意軟件,您需要購買高級版本的Combo Cleaner。

  2. 從啟動板打開應用程序,然後讓其運行惡意軟件簽名數據庫的更新,以確保它可以識別最新的威脅。
  3. 單擊“開始組合掃描”按鈕,檢查Mac是否存在惡意活動以及性能問題。

    Combo Cleaner Mac scan progress

  4. 檢查掃描結果。 如果報告中顯示“沒有威脅”,那麼您將處於手動清理的正確軌道,並且可以安全地整理網絡瀏覽器,該網絡瀏覽器由於受到惡意軟件攻擊的後果而可能繼續起作用(請參閱上面的說明 )。

    Combo Cleaner scan report – no threats found

  5. 如果Combo Cleaner檢測到惡意代碼,請單擊“刪除選定的項目”按鈕,並使該實用程序刪除Search Marquis威脅以及Mac上不屬於的任何其他病毒,PUP(可能有害程序)或垃圾文件。

    Combo Cleaner – threats found

  6. 一旦再次確定已卸載惡意應用程序,瀏覽器級別的疑難解答可能仍會在您的待辦事項列表中。 如果您喜歡的瀏覽器受到影響,請訴諸本教程的上一部分以恢復為輕鬆的網絡瀏覽。

129

Was this article helpful? Please, rate this.

  • Karen Wong Avatar
    Karen Wong - 7小时前
    I had that search baron on my Chrome and Safari on my Mac and I followed the instructions on how to get rid of it and it worked. I love the easy instructions and visuals to follow. Thanks so much

Authentication required

You must log in to post a comment.

Log in