Nie można znaleźć / usunąć porywaczy przeglądarki

2

Moja współlokatorka przyniosła mi po południu swojego iMaca, ponieważ zachowywał się bardzo źle od czasu przejścia na High Sierra. Okazuje się, że jej chłopak ma na sobie dużo złośliwego oprogramowania i mam poważne problemy z jego usunięciem.

Największym winowajcą jest zestaw porywaczy przeglądarki (wszystkie mogą być powiązane lub mogą być oddzielnym złośliwym oprogramowaniem, nie jestem pewien), w tym dobrze znane, takie jak G-Search.Pro i inne (feedvertizus, beleelashopper itp. ).

Nie mogę zrozumieć, gdzie te rzeczy utknęły, aby się ich pozbyć. Do tej pory mam:

  • Usunąłem wszystkie zainstalowane aplikacje, których nie rozpoznałem.
  • Zainstalowałem i uruchom MalwareBytes, który twierdzi, że nie mam złośliwego oprogramowania.
  • Zainstalowałem i uruchomiłem AVG Anti-Virus, który twierdzi, że jestem czysty.
  • Całkowicie usunąłem Chrome i Firefox z komputera i ponownie zainstalowałem.
  • Sprawdziłem foldery LaunchAgents w / Library, / System / Library i / Users / user / Library pod kątem jakichkolwiek dziwnych danych.
  • Sprawdziłem foldery LaunchDemons w tych samych miejscach.
  • Usunięto wszystko z folderów obsługi aplikacji, które wyglądały podejrzanie.

Wszystko bez skutku. Czysta, świeża instalacja Chrome natychmiast zostaje zainfekowana G-Search.pro i tymi innymi rzeczami. Mam ograniczoną wiedzę na temat systemu OS X, więc nie mam pojęcia, gdzie szukać.

Gdzie mogą się ukrywać te rzeczy lub gdzie mogę się udać (czy są dzienniki systemowe itp.), Aby się dowiedzieć?

macos troubleshooting web-browser malware virus Michael Edenfield
źródło
Sprawdziłbym foldery danych Chrome i Firefox. Nie pamiętam dokładnie, gdzie się znajdują i jestem teraz AFK (używam mojego telefonu), ale są one gdzieś w wyżej wymienionych folderach Biblioteki.
NoahL
Te też znalazłem i usunąłem. Czy istnieje jakiś folder typu „globalne preferencje”, w którym mogą się rejestrować rzeczy?
Michael Edenfield
Wspomniałeś, że całkowicie usunąłeś i ponownie zainstalowałeś Chrome i Firefox, ale co z Safari? Oczywiście jest zainstalowany w systemie, więc sprawdziłbym to również. Uruchom Safari, przejdź do Safari> Preferencje, wybierz zakładkę Rozszerzenia i sprawdź tam wszelkie oznaki GSearchPro itp.
Monomeeth
2
Stwórz nowe konto. Jeśli problem zniknie, nie będzie obejmował całego systemu. Prawdopodobnie łatwiej jest po prostu migrować dane niż bez końca szukać złośliwego oprogramowania.
Allan
Są artykuły „jak pozbyć się g-search.pro” itp. (Zdaję sobie sprawę, że był to jeden z wielu i nie zajmowałem się innymi). Z punktu widzenia bezpieczeństwa pytanie brzmi „skąd możesz wiedzieć, że wszystko znalazłeś?” Z tego powodu zazwyczaj zalecam (a) wykonanie kopii zapasowej wszystkich ważnych danych (dokumentów, zdjęć itp.) Oraz (b) wykonanie pełnego czyszczenia i ponownej instalacji, a następnie (c) przywrócenie samych danych (nie „ przywracanie aplikacji ... bezpieczniejsze jest ponowne pobieranie aplikacji i instalacja ze znanego dobrego źródła.)
Tim Campbell,

Odpowiedzi:

2

W przypadku zarażenia kogoś innego to oto, co ostatecznie odkryłem:

Wirus zainstalował lokalny serwer proxy sieci Web oraz usługę działającą w tle, która stale monitorowała ustawienia serwera proxy systemu i „przywracała” je, aby wskazywały na siebie. Odkryłem to, gdy zauważyłem, że Safari rzuca ostrzeżenia SSL na wszystko i że YouTube zwraca puste odpowiedzi i błędy serwera proxy podczas próby oglądania filmów.

Wydaje się również, że serwer proxy uniemożliwia synchronizację Chrome i uniemożliwia mi aktywację kilku programów antywirusowych wymagających aktywacji online.

Udało mi się go znaleźć za pomocą lsof, aby zobaczyć, co nasłuchuje na porcie, który ustawiał się jako lokalny serwer proxy. Zainstalował aplikację mono przy użyciu pakietu NuGet proxy sieci web Titanium do / usr / local / srcsrv.

Po zabiciu tego zachowanie przeglądarki wróciło do normy, z wyjątkiem strony „Nowa karta” w Google, która nadal wskazuje G-Search.pro. Nie próbowałem jeszcze usunąć i ponownie zainstalować Chrome po raz drugi, ale dodałem kilka domen do / etc / hosts, aby uniemożliwić im dzwonienie do domu.

Michael Edenfield
źródło
Powyższa odpowiedź działała dla mnie. Skończyło się usuwanie prawie wszystkiego w katalogu / usr / local / srcsrv. Następnie ponownie uruchomiłem komputer i połączenie sieciowe nie działało. Musiałem przejść do Sieć -> Zaawansowane -> Serwery proxy, aby odznaczyć serwery proxy HTTP i HTTPS, z których korzysta złośliwe oprogramowanie. Następnie Internet działał, a usługi proxy same się nie restartowały.
user1880798