Tidak dapat menemukan / menghapus pembajak peramban

2

Teman sekamar saya membawakan saya iMac siang ini karena sudah berperilaku sangat buruk sejak dia meningkatkan ke High Sierra. Ternyata pacarnya sudah mendapatkan banyak malware ke dalamnya, dan saya mengalami masalah nyata menyingkirkannya.

Penyebab terbesar adalah satu set pembajak peramban (mereka semua mungkin terkait, atau mereka mungkin malware terpisah, saya tidak yakin), termasuk yang terkenal seperti G-Search.Pro, dan lainnya (feedvertizus, beleelashopper, dll ).

Saya tidak tahu di mana hal-hal ini telah terjebak untuk menyingkirkan mereka. Sejauh ini, saya punya:

  • Menghapus semua aplikasi yang diinstal yang tidak saya kenal.
  • Menginstal dan menjalankan MalwareBytes, yang mengklaim saya tidak memiliki malware.
  • Menginstal dan menjalankan AVG Anti-Virus, yang mengklaim saya bersih.
  • Dihapus sepenuhnya Chrome dan Firefox dari mesin dan diinstal ulang.
  • Memeriksa folder LaunchAgents di / Library, / System / Library, dan / Users / user / Library untuk sesuatu yang aneh.
  • Memeriksa folder LaunchDemons di tempat yang sama.
  • Menghapus apa pun dari folder Dukungan Aplikasi yang tampak mencurigakan.

Semua sia-sia. Pemasangan Chrome yang bersih dan segar segera terinfeksi oleh G-Search.pro dan hal-hal lain ini. Saya pada batas pengetahuan OS X saya jadi saya tidak tahu harus ke mana lagi.

Di mana hal-hal ini disembunyikan, atau ke mana saya pergi (apakah ada log sistem, dll?) Untuk mengetahuinya?

Michael Edenfield
sumber
Saya akan memeriksa folder data Chrome dan Firefox. Saya tidak ingat persis di mana mereka berada, dan saya AFK sekarang (menggunakan telepon saya) tetapi mereka berada di suatu tempat di folder Perpustakaan yang disebutkan di atas.
NoahL
Saya menemukan dan menghapusnya juga. Apakah ada jenis folder "preferensi global" di mana barang-barang mungkin mendaftar sendiri?
Michael Edenfield
Anda mengatakan telah sepenuhnya menghapus dan menginstal ulang Chrome dan Firefox, tetapi bagaimana dengan Safari? Jelas itu diinstal pada sistem, jadi saya akan memeriksanya juga. Luncurkan Safari, buka Safari & gt; Preferensi, pilih tab Ekstensi dan periksa tanda-tanda GSearchPro dll di sana.
Monomeeth
2
Buat akun baru. Jika masalah hilang, itu bukan sistem luas. Mungkin lebih mudah untuk hanya memigrasikan data daripada terus-menerus mencari malware.
Allan

Jawaban:

2

Jika ada orang yang terinfeksi oleh ini, inilah yang akhirnya saya temukan:

Virus telah menginstal proxy web lokal, dan layanan latar belakang yang terus-menerus memonitor pengaturan proxy sistem dan "memulihkan" mereka untuk menunjuk ke dirinya sendiri. Saya menemukan ini ketika saya perhatikan bahwa Safari memberikan peringatan SSL untuk segalanya, dan bahwa YouTube mengembalikan respons kosong dan kesalahan proxy yang mencoba menonton video.

Proksi juga tampaknya mencegah sinkronisasi Chrome agar tidak berfungsi, dan mencegah saya mengaktifkan beberapa program anti-virus yang memerlukan aktivasi online.

Saya dapat menemukannya menggunakan lsof untuk melihat apa yang sedang mendengarkan pada port yang terus mengatur dirinya sebagai proxy lokal. Itu telah menginstal aplikasi mono menggunakan paket NuGet proxy web Titanium, ke / usr / local / srcsrv.

Setelah saya bunuh itu, perilaku browser web kembali normal kecuali untuk halaman "Tab Baru" di Google masih menunjuk ke G-Search.pro. Saya belum mencoba menghapus dan menginstal ulang Chrome untuk kedua kalinya, tetapi saya memang menambahkan beberapa domain ke / etc / hosts untuk mencegah mereka menelepon ke rumah.

Michael Edenfield
sumber