How to remove Any Search malware from your Mac - 내 맥에서 Any Sarch 멀웨어 삭제하는 방법 / CleanMyMac / Combo Cleaner / 직접 삭제하기 / 클리너 없이 삭제하는 방법

원문을 보고 정리하였습니다.

https://macpaw.com/how-to/remove-anysearch-malware-from-mac

How to get rid of Any Search Manager on your Mac

해당 블로그에서는 아래의 클리너를 추천하고 있습니다.

하지만 무료 평가판이라고 하지만 결국 바이러스 search 하고 나서 발견되어 치료할려고 하면 업그레이드를 유도합니다.

https://macpaw.com/ko/download/cleanmymac

CleanMyMac X 평가판 무료 다운로드 — Mac을 위한 스마트한 컴퓨터 클리너

Combo Cleaner 도 사용해봤는데 AntiVirus를 검색하니 3건이 나오네요.

그런데 그런데 역시나 Upgrade to Premium 으로 비용내고 업그레이드 받아서 삭제하라고 뜨네요.

 

Variant.Application.MAC.Adload.8

Variant.Adware.Mac.AdLoad.1

 

해당 파일을 찾아봤는데 전혀 못찾겠어요.

 

 

아래 수동 방식으로 삭제처리하고 나서 다시 CleanMyMac을 돌렸더니 CleanMyMac 에서는 나오지 않네요.

---

위의 클리너를 사용하지 않고 수동으로 할 수 있는 방법이 있으니 참고하시길 바랍니다.

 

---

핵심은 Launch Agents 와 Daemons 폴더에 의심되는 프로그램을 삭제해야 합니다.

그치만 해당 폴더에 들어가면 ".plist" 파일이 안보일 수 있습니다.

 

결국 terminal.app (터미널)로 들어가서 보시는게 더 좋습니다.

자 시작합니다.

---

1. /Libaray/LaunchAgents 살펴보기 

저 같은 경우에는 

cd /Libaray/LaunchAgents 로 이동하여  의심되는 파일을 삭제하였습니다.

 

2. 사용자 의 LaunchAgents 를 살펴보기 

root 의 LaunchAgents 를 살펴보고 의심되는 plist파일을 삭제하였습니다.

그 다음  사용자 의 LaunchAgents 를 살펴봐야 합니다.

 

"jaehonghan" 이라는 사용자 폴더의 Libaray 에서 똑같은 LaunchAgents 폴더를 살펴 봅니다.

다행히도 여기에는 의심되는 내용이 없네요.

 

 

 

 

 

3. 사용자 의 ~/Library/Application\ Support/ 살펴보기 

사용자의 어플레케이션 서포트 폴더로 가서 의심되는 프로그램이 설치되어 있는지 살펴봐야 합니다.

 

cd ~/Library/Application\ Support/

 

저 같은 경우에는 UltraSearchSystem 을 발견하여 삭제하였습니다.

 

4. 구글 브라우저의 설정에서 검색엔진 점검하기

구글 브라우저에서 chrome://settings 로 주소검색을 합니다.

검색엔진이 다른 것으로 변경된게 아니지 확인해봐야 합니다.

저의 경우에는 UltraSearch 라는 엔진으로 변경되어 있었습니다.

그래서 이를 Google검색엔진으로 다시 변경해줬습니다.

 

아래와 같이 검색엔진쪽으로 가보니 이상한 검색엔진이 선택되어 있었습니다.

해서 해당 선택엔진을 Google로 바꿔주기 위해서 "검색엔진 관리" 메뉴로 들어가서 Google을 제외하고 다 지웠습니다

 

저의 경우에는 기본 검색엔진에 Google, yahoo,  naver  가 존재했지만 Google을 빼고 삭제했습니다.

 

Google로 검색엔진을 바꾼 후의 화면입니다.

 

5. 구글 브라우저의 권한이 다른 프로그램에게도 줬는지 확인하기

구글 브라우저에서 chrome://policy 로 주소검색을 합니다.

구글 부라우저가 자신의 권한을 다른 프로그램에게도 줬는지를 파악하기 위해서 입니다.

 

 

 

다행히도 저의 경우에는 다른 프로그램에 넘어가지 않았어요.

하지만 위에서 언급했듯이 다른 프로그램에 구글이 자신의 권한을 넘겨주는 경우가 있기 때문에 꼭 찾아서 삭제해야 한다고 하네요.

 

6. 구글 브라우저에 대해 제대로 설정되어 있는지를 확인하기

defaults read com.google.Chrome

위의 명령어를 command line 에서 직접 타이핑 하시면 

{

    LastRunAppBundlePath = "/Applications/Google Chrome.app";

}

와 같이 뜨는지 확인해 보시길 바랍니다.

 

---

정  리

 

 

1. 관리자 폴더에 들어가서 의심되는 파일을 삭제합니다.

$ cd /Library/LaunchAgents/

$ cd /Library/LaunchDaemons/

 

2. 사용자 폴더에 들어가서 의심되는 파일을 삭제합니다.

$ cd ~/Library/LaunchAgents/

$ cd ~/Library/LaunchDaemons/

 

3. 어플리케이션 suppert파일로 가서 의심되는 파일을 삭제합니다.

$ cd ~/Library/Application\ Support/

 

4. Chrome 브라우저의 검색엔진중 원하시는 검색엔진을 선택하신 후에 다른 검색엔진은 삭제합니다.

구글 브라우저에서 chrome://settings 로 주소검색을 합니다.

검색엔진이 다른 것으로 변경된게 아니지 확인해봐야 합니다.

저의 경우에는 UltraSearch 라는 엔진으로 변경되어 있었습니다.

그래서 이를 Google검색엔진으로 다시 변경해줬습니다.

 

5. 구글 브라우저의 권한이 다른 프로그램에게도 줬는지 확인하기

구글 브라우저에서 chrome://policy 로 주소검색을 합니다.

구글 부라우저가 자신의 권한을 다른 프로그램에게도 줬는지를 파악하기 위해서 입니다.

 

6. 구글 브라우저에 대해 제대로 설정되어 있는지를 확인합니다.

$ defaults read com.google.Chrome

위의 명령어를 command line 에서 직접 타이핑 하시면 

{

    LastRunAppBundlePath = "/Applications/Google Chrome.app";

}

와 같이 뜨는지 확인해 보시길 바랍니다.

 

---

아래는 원문 입니다.

확인 해보시기 바랍니다.

 

How do I know if my Mac is infected?

When you launch a web browser like Safari, Chrome, or Firefox you will not see your regular homepage. Instead, you’ll see the Any Search page. You will then need to uninstall Any Search from your Mac, using the steps below.

---

How did I get infected?

When you give permission to the seemingly legitimate download to be installed, the bundled hijacker gets permission too. That’s why you should always be certain of what you’re downloading and double-check the website you’ve downloaded it from before you give permission for anything to be installed. Fortunately, it’s not too difficult to remove.

 

How to remove Any Search from your Mac

1. Go to the Apple menu and click on System Preferences

2. Look for a pane called Profiles. If it’s there, it will be next to Accessibility

3. If it’s there, click on it and look to see if there is a profile called AdminPrefs

4. If it’s there, unlock System Preferences by clicking the padlock and entering your login details, if necessary

5. Click on the AdminPrefs profile and click the ‘-‘ button at the bottom left of the window

 

Check your Startup items

Malware like the Any Search Manager virus sometimes inserts itself in your startup items so it launches every time you boot your Mac.

1. Go to System Preferences again and click the Users & Groups pane.

2. Unlock it using the padlock, then click on your user name in the left-hand pane.

3. Choose the Login items tab in the main window.

4. Look for anything that seems suspicious.

5. If you find anything, click on it then click the ‘-‘ button at the bottom of the window to remove it.

Alternatively, there is an easier way to remove login items, using CleanMyMac, which scans your Mac for startup processes and allows you to remove them with one click. CleanMyMac also allows you to quickly and easily remove browser extensions, uninstall apps, and reclaim tens of gigabytes of disk space.

 

Get CleanMyMac here. It's a free version that allows you to remove a few login items completely for free.

 

Remove Launch Agents and Daemons

1. In the Finder, click on the Go menu and choose Go to Folder.

 

2. Type /Library/LaunchDaemons

3. Scan the list of .plist files and look for anything with a name you don’t recognize.

4. If you find one, click on it and preview the file, looking for the name of a vendor you recognize.

5. If you don’t find one, drag the file to the Trash.

6. Repeat steps 1-5 for /Library/LaunchAgents and
~/Library/LaunchAgents

7. Once you’ve dragged all the files you want to remove to the Trash, empty it and restart your Mac.

 

Reset the default page in browser

How to remove Any Search from Safari

1. Once your Mac has restarted, launch Safari

2. Click on the Safari menu and then choose Preferences

3. Click on the Search tab and choose the search engine you want to use

4. Select the General tab and set the Homepage to your preferred home page and the options above it to your preference from the menu options

 

How to remove Any Search from Chrome

1. Launch Chrome.

2. Click the Settings menu icon (three horizontal lines) on the left of the window or type chrome://settings/  into the address bar.

3. Click On start-up and check the button next to “Open a specific page or set of pages”.

4. Click on the More icon (three vertical dots).

5. Choose Edit and type or paste the URL you want as your start-up page into the text box.

6. Click Save.

7. Click on the Settings icon again.

8. Choose Search Engine.

9. Click Manage search engines and press the More button next to the Any Search engine, then select Remove from list.

 

10. Click on the dropdown menu next to the “Search engine used in the address bar” and choose the search engine you want to use. Alternatively, click Manage search engines and either add one from the bigger list (by clicking on the More icon and choosing Make Default) or press Add and type in the URL of another search engine.

 

 

How to remove AnySearch from Firefox

1. Launch Firefox.

2. Press the settings button (three horizontal lines) on the right-hand side of the toolbar, or type about:preferences into the address bar.

3. Click the Home category and next to “Homepage and new windows” click on the dropdown menu and choose either Firefox Home or Custom URL. If you choose the Custom URL type the URL you want to open into the text box.

4. Click the Search category and in the main window, scroll down to “One-Click Search Engines”. Click on Any Search and press Remove.

5. Scroll back up and click on the menu under the Default Search engine and choose the one you want.

 

Remove suspicious browser extensions

 

The final steps for removal [Important]

So far we've cleaned the browser part — what's left is it to root out AnySearch from your system parts associated with Chrome and other browsers. First, we will need to check if AnySearch has seized your Chrome settings. 

 

 

STEP 1

Please open Chrome, paste this string into the URL field and press Return: chrome://policy/

You will see something like this:

See the Level and Policy value columns. What's written there?

"Recommended" means AnySearch has gained control over your Chrome settings — need to uninstall Chrome.

"Mandatory" means the malware is sitting deeper and is tied to your user account
— go to step 2 below.

For additional check:

Go to Applications/Terminal
Open Terminal, paste the following command and press Return:
defaults read com.google.Chrome

Now, look through the results. If you see anything related to Anysearch there, you can simply uninstall Chrome and reinstall it anew. The best way to uninstall Chrome along with all leftovers is CleanMyMac's Uninstaller tool.

---

STEP 2

If that is not the case, please open Finder, go up to the Go menu in the menubar -> Go to Folder, and paste this directory:
/Library/Managed Preferences/[your username]

You should enter [your username] as shown in System Preferences/Users & Groups

Open the folder. Now look for a “com.google.Chrome” file there. 

If you have found it in any of these locations, please open the file in any editor and check if you can find any Anysearch-related information there. Then, manually remove the info from the file and restart your computer.

The same logic applies to Firefox and Safari browsers.