文章目录

不知从什么时候开始，Mac Book Air 上的谷歌浏览器开始中招了，现象就是点击一条链接的时候会打开一个新页面，并会经过好几次的跳转，最终跳至一些广告页面上去。而切换至原页面，会发现原本要点的链接地址貌似没有真正被点击到，这个时候才能再次点击并打开。

嗯，看起来像是浏览器上被人加了脚本或者是插件进去，在页面上蒙了一层div，点击任意地方都会触发跳转到广告页面的，为什么说是广告页面呢？因为跳转时能明显观察到经过了好几次的跳转，这个木马应该是通过劫持用户的点击行为，往广告页面跳转，靠广告主来挣钱的。

但是一直没能找到这个木马的藏身之处，也就无从下手。试过重置浏览器设置，重装浏览器，重启电脑，使用 CleanMyMac 等清理工具，均未奏效。无奈下只能先用别的浏览器应付着，好在 Safari 还没有中招。

今天无意中看到~/Library/LaunchAgents目录下有几个可疑文件：

• com.MyCouponize.agent.plist
• com.MyCouponize2.agent.plist
• com.My-ShopMate.agent.plist
• com.MyMacUpdater.agent.plist
• com.MyShopcoupon.agent.plist

用谷歌一搜，「mycouponize」这货是一个典型的广告木马。参考了网上其他人的做法，终于把这货给请（清）出去了。

1. 打开Finder，搜索「MyCouponize」，将搜索结果全部移至回收站，再清空回收站，在操作时，可能会提示正在使用中，点击继续，同时会有一个弹出对话框，警告检测到有卸载「MyCouponinze」，要恢复，不要理会这家伙，点击「取消」按钮，打开终端，输入ps -afe|grep my，找到对应的进程ID，用kill -9 <PID>，多执行几次；同时，清空回收站的对话框上点击「继续」。对另外的关键字也做相同处理。

2. 删除文件

   2.1 删除~/Library/LaunchAgents目录下的可疑文件

   cd ~/Library/LaunchAgents
   rm -fr com.MyCouponize.agent.plist com.MyCouponize2.agent.plist com.MyMacUpdater2.agent.plist com.My-ShopMate.agent.plist

   2.2 删除~/Library/Application Support目录下的可疑文件

   cd ~/Library/Application\ Support
   rm -fr .MyShopMate .MyShopcoupon

   2.3 清空/tmp目录

   rm -fr /tmp/*

3. 清除掉浏览器的「MyCouponize」插件（如有）

4. 重置 Chrome 浏览器

   打开新标签页，输入chrome://settings/?search=reset，选择重置。

5. 删除/Applications目录下的可疑文件

   cd /Applications
   sudo rm -fr My-ShopMate MyCouponize MyMacUpdater2 MyShopMate MySoftUpdate

最后不放心，又重启了下电脑。呼呼，世界终于清静了。