Moja współlokatorka przyniosła mi po południu swojego iMaca, ponieważ zachowywał się bardzo źle od czasu przejścia na High Sierra. Okazuje się, że jej chłopak ma na sobie dużo złośliwego oprogramowania i mam poważne problemy z jego usunięciem.
Największym winowajcą jest zestaw porywaczy przeglądarki (wszystkie mogą być powiązane lub mogą być oddzielnym złośliwym oprogramowaniem, nie jestem pewien), w tym dobrze znane, takie jak G-Search.Pro i inne (feedvertizus, beleelashopper itp. ).
Nie mogę zrozumieć, gdzie te rzeczy utknęły, aby się ich pozbyć. Do tej pory mam:
- Usunąłem wszystkie zainstalowane aplikacje, których nie rozpoznałem.
- Zainstalowałem i uruchom MalwareBytes, który twierdzi, że nie mam złośliwego oprogramowania.
- Zainstalowałem i uruchomiłem AVG Anti-Virus, który twierdzi, że jestem czysty.
- Całkowicie usunąłem Chrome i Firefox z komputera i ponownie zainstalowałem.
- Sprawdziłem foldery LaunchAgents w / Library, / System / Library i / Users / user / Library pod kątem jakichkolwiek dziwnych danych.
- Sprawdziłem foldery LaunchDemons w tych samych miejscach.
- Usunięto wszystko z folderów obsługi aplikacji, które wyglądały podejrzanie.
Wszystko bez skutku. Czysta, świeża instalacja Chrome natychmiast zostaje zainfekowana G-Search.pro i tymi innymi rzeczami. Mam ograniczoną wiedzę na temat systemu OS X, więc nie mam pojęcia, gdzie szukać.
Gdzie mogą się ukrywać te rzeczy lub gdzie mogę się udać (czy są dzienniki systemowe itp.), Aby się dowiedzieć?
źródło
Odpowiedzi:
W przypadku zarażenia kogoś innego to oto, co ostatecznie odkryłem:
Wirus zainstalował lokalny serwer proxy sieci Web oraz usługę działającą w tle, która stale monitorowała ustawienia serwera proxy systemu i „przywracała” je, aby wskazywały na siebie. Odkryłem to, gdy zauważyłem, że Safari rzuca ostrzeżenia SSL na wszystko i że YouTube zwraca puste odpowiedzi i błędy serwera proxy podczas próby oglądania filmów.
Wydaje się również, że serwer proxy uniemożliwia synchronizację Chrome i uniemożliwia mi aktywację kilku programów antywirusowych wymagających aktywacji online.
Udało mi się go znaleźć za pomocą lsof, aby zobaczyć, co nasłuchuje na porcie, który ustawiał się jako lokalny serwer proxy. Zainstalował aplikację mono przy użyciu pakietu NuGet proxy sieci web Titanium do / usr / local / srcsrv.
Po zabiciu tego zachowanie przeglądarki wróciło do normy, z wyjątkiem strony „Nowa karta” w Google, która nadal wskazuje G-Search.pro. Nie próbowałem jeszcze usunąć i ponownie zainstalować Chrome po raz drugi, ale dodałem kilka domen do / etc / hosts, aby uniemożliwić im dzwonienie do domu.
źródło