父の古い MacBook（十年くらい前に売ってた Air でも Pro でもない、薄くてちょっと小さめのやつ）の調子が悪いというので見てみた。「Google で検索できない」という。やってみると search-alpha.com というサイトにリダイレクトされる。テキスト選択→右クリック→ Google で検索、どころか新しいタブを開いただけでリダイレクトされる。Google Chrome でも同様。ググってみると Search Marquis というマルウェア（の亜種？）っぽい。こいつの除去をしたのだがなかなか骨が折れた。

ググると（英語で）退治法を説明するサイトがたくさん出てくるが、どれも「どのプロセスを殺せ」「どの .plist を LaunchAgents / LaunchDaemon フォルダから消せ」とはっきり書いてなくて、たとえば xxx みたいに例が書いてあるけどその例の通りのファイル名ではないので役に立たない。どころか、その手のサイトは例外なく「このソフトをインストールすれば全部退治できます、無料です」と謳って怪しげなソフトのダウンロードとインストールを促す。だからそういうのに騙されたせいでこうなっているんだっつーの（たぶん）。

曖昧な情報と透けて見える魂胆にイライラしながら、そして最大のイライラポイントである不慣れなキーボード（JIS 配列）とタップで選択になってないトラックパッドの設定などで操作の能率半減以下になりつつ、昼間は腰を据えてやらなかったら小一時間かけても解決しきれず、夜にリベンジ。Apple のコミュニティフォーラムのスレッドで唯一まともな対処法を書いてるユーザーがいて、「セーフブートしてマルウェアの自動起動を防いだ状態で掃除しろ」。消すべき .plist のリストは合わなかったが、持ってきていた自分の仕事用 MacBook Pro にインストール済みの .plist と目視で比較して、父の MacBook だけにあるもの・父が使っているソフトのメーカー名がないものを選んで削除し、ついでに Application Support からも関連してそうなファイルを一応消し（launchd から退治できれば無害だろうが）、再起動してようやく解決・・・と思ったら Safari は OK だが Chrome がダメ。なんでだ？と思って Chrome の検索エンジン設定を見てみたら google.co.jp とか既存の検索エンジンと同じ名前のカスタムエンジンとして怪しいサイトの URL が大量に（何十個か）登録されていて、辟易としながら一個ずつ削除したら治った。

技術サポートを生業にしている身として、怪しげなソフトに頼らずこのくらい解決できなければと粘った甲斐があったが、なかなかタチが悪いやつで手こずった。calculator とか systemd とかいろんな名前に擬態していて、自分の MacBook Pro と比較できなければ自信を持って消せなかっただろう。中でも com.BatchFileRename.plist だったかそんな名前のやつは .plist を消して数秒経つと同じファイルが自動生成されるようになっていて、しかもその .plist が起動するプログラムのプロセス名もまた別の名前に偽装してるようでアクティビティモニタで探し当てられず、面倒な相手だった。あれには驚かされた。

まだ消しそびれてるゴミファイルはあるだろうけど、自動起動さえしなければ放置でも無害ではあるはずなので、一旦これにて終了。