Teman sekamar saya membawakan saya iMac siang ini karena sudah berperilaku sangat buruk sejak dia meningkatkan ke High Sierra. Ternyata pacarnya sudah mendapatkan banyak malware ke dalamnya, dan saya mengalami masalah nyata menyingkirkannya.
Penyebab terbesar adalah satu set pembajak peramban (mereka semua mungkin terkait, atau mereka mungkin malware terpisah, saya tidak yakin), termasuk yang terkenal seperti G-Search.Pro, dan lainnya (feedvertizus, beleelashopper, dll ).
Saya tidak tahu di mana hal-hal ini telah terjebak untuk menyingkirkan mereka. Sejauh ini, saya punya:
- Menghapus semua aplikasi yang diinstal yang tidak saya kenal.
- Menginstal dan menjalankan MalwareBytes, yang mengklaim saya tidak memiliki malware.
- Menginstal dan menjalankan AVG Anti-Virus, yang mengklaim saya bersih.
- Dihapus sepenuhnya Chrome dan Firefox dari mesin dan diinstal ulang.
- Memeriksa folder LaunchAgents di / Library, / System / Library, dan / Users / user / Library untuk sesuatu yang aneh.
- Memeriksa folder LaunchDemons di tempat yang sama.
- Menghapus apa pun dari folder Dukungan Aplikasi yang tampak mencurigakan.
Semua sia-sia. Pemasangan Chrome yang bersih dan segar segera terinfeksi oleh G-Search.pro dan hal-hal lain ini. Saya pada batas pengetahuan OS X saya jadi saya tidak tahu harus ke mana lagi.
Di mana hal-hal ini disembunyikan, atau ke mana saya pergi (apakah ada log sistem, dll?) Untuk mengetahuinya?
sumber
Jawaban:
Jika ada orang yang terinfeksi oleh ini, inilah yang akhirnya saya temukan:
Virus telah menginstal proxy web lokal, dan layanan latar belakang yang terus-menerus memonitor pengaturan proxy sistem dan "memulihkan" mereka untuk menunjuk ke dirinya sendiri. Saya menemukan ini ketika saya perhatikan bahwa Safari memberikan peringatan SSL untuk segalanya, dan bahwa YouTube mengembalikan respons kosong dan kesalahan proxy yang mencoba menonton video.
Proksi juga tampaknya mencegah sinkronisasi Chrome agar tidak berfungsi, dan mencegah saya mengaktifkan beberapa program anti-virus yang memerlukan aktivasi online.
Saya dapat menemukannya menggunakan lsof untuk melihat apa yang sedang mendengarkan pada port yang terus mengatur dirinya sebagai proxy lokal. Itu telah menginstal aplikasi mono menggunakan paket NuGet proxy web Titanium, ke / usr / local / srcsrv.
Setelah saya bunuh itu, perilaku browser web kembali normal kecuali untuk halaman "Tab Baru" di Google masih menunjuk ke G-Search.pro. Saya belum mencoba menghapus dan menginstal ulang Chrome untuk kedua kalinya, tetapi saya memang menambahkan beberapa domain ke / etc / hosts untuk mencegah mereka menelepon ke rumah.
sumber