Safari 8 auf Yosemite Spawning distnotierter Prozess und hohe CPU-Last

Question

Safari 8 auf Yosemite Spawning distnotierter Prozess und hohe CPU-Last

Mac OS
Safari
Software
Aktivitätsmonitor

rweiß

Mein Safari 8 wurde von Open-Search.com entführt, nachdem ich das Betriebssystem auf Yosemite (10.10) aktualisiert hatte. Der Effekt war zweifach, meine Homepage wurde von Open-Search/MacKeeper gekapert und die CPU begann, in regelmäßigen Abständen Spitzen zu laden.

Nach langem Suchen habe ich die Ressourcen für Open-Search/MacKeeper entfernt, um die Entführung zu beenden. Wie auch immer distnotiert, SubPubAgent und nsurlstoraged werden im Aktivitätsmonitor angezeigt und geben den folgenden Protokolleintrag in der Nachrichtenprotokolldatei aus.

11/3/14 12:58:35.657 PM nsurlstoraged[233]: DiskCookieStorage changing policy from 2 to 0, cookie file: ///Users/<username>/Library/Cookies/Cookies.binarycookies

11/3/14 12:58:35.658 PM nsurlstoraged[233]: DiskCookieStorage changing policy from 0 to 2, cookie file: ///Users/<username>/Library/Cookies/Cookies.binarycookies

Dieser Eintrag wiederholt sich ungefähr 4000 Mal (ernsthaft), wobei die CPU über 300 % gespiket und der Lüfter aktiviert wird. Sobald ich Safari beendet habe, endet der Prozess und alles läuft wie erwartet.

Ich bin dieser Antwort gefolgt, die letzten November gepostet wurde, aber sie ist spezifisch für Emacs: http://apple.stackexchange.com/questions/111197/runaway-distnoted-process.

Durch das Hinzufügen der Datei /var/log/do_dnserver_logscheint das Problem minimiert, aber nicht behoben worden zu sein. Die CPU wird immer noch ausgelastet und die oben genannten Prozesse werden zeitweise gestartet.

Alle mögliche Gedanken würden viel geschätzt.

Ich dachte, es könnte hilfreich sein, den vollständigen Protokolleintrag nach dem Start von Safari zu posten.

  11/3/14 3:28:46.598 PM nsurlstoraged[232]: DiskCookieStorage changing policy from 0 to 2, cookie file: file:///Users/username/Library/Cookies/Cookies.binarycookies

  11/3/14 3:28:46.613 PM storeaccountd[285]: AccountServiceDelegate: Accepting new connection <NSXPCConnection: 0x7fb9bd818dd0> connection from pid 538 with interface <AccountServiceInterface: 0x7fb9bd81fbe0> (PID 538)

  11/3/14 3:28:46.728 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) The _DirtyJetsamMemoryLimit key is not available on this platform.

  11/3/14 3:28:46.765 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) The _DirtyJetsamMemoryLimit key is not available on this platform.

  11/3/14 3:28:46.927 PM locationd[55]: Couldn't find a requirement string for masquerading client /System/Library/PrivateFrameworks/Parsec.framework

  11/3/14 3:28:46.928 PM locationd[55]: could not get apple languages array, assuming english

  11/3/14 3:28:46.930 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) The _DirtyJetsamMemoryLimit key is not available on this platform.

  11/3/14 3:21:19.295 PM com.apple.xpc.launchd[1]: (com.apple.PubSub.Agent[503]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.pubsub.ipc

  11/3/14 3:21:19.295 PM com.apple.xpc.launchd[1]: (com.apple.PubSub.Agent[503]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.pubsub.notification

  11/3/14 3:21:56.010 PM CoreServicesUIAgent[240]: unexpected message <OS_xpc_error: <error: 0x7fff7bd13c60> { count = 1, contents = "XPCErrorDescription" => <string: 0x7fff7bd13f70> { length = 18, contents = "Connection invalid" }}>

  11/3/14 3:22:29.019 PM nsurlstoraged[232]: DiskCookieStorage changing policy from 0 to 2, cookie file: file:///Users/username/Library/Cookies/Cookies.binarycookies

  11/3/14 3:22:29.020 PM nsurlstoraged[232]: DiskCookieStorage changing policy from 2 to 0, cookie file: file:///Users/username/Library/Cookies/Cookies.binarycookies

Der letzte Eintrag wird 4000 Mal wiederholt

Ich hoffe, das hilft.

lief ps auxw > pbefore.txtdann wieder an der spitze ps auxw > pspike.txtdann lief diff pbefore.txt pspike.txtfolgendes waren die unterschiede:

 > root   31   0.0  0.0  2518116   7808   ??  SNs   2:01PM   0:00.16 /usr/libexec/warmd
 > username   721   0.0  0.4  3797960  60316   ??  Ss    5:06PM   0:02.11 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent
 > username  720   0.0  0.2  3613208  26316   ??  Ss    5:06PM   0:00.10 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent
 > username   717   0.0  0.1  3590548  15744   ??  Ss    5:06PM   0:00.20 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.Networking.xpc/Contents/MacOS/com.apple.WebKit.Networking
 > username   710   0.0  0.0  2514028   6748   ??  S     5:05PM   0:00.09 /usr/libexec/webinspectord
 > username   709   0.0  0.0  2521108   7636   ??  S     5:05PM   0:00.05 /System/Library/PrivateFrameworks/AOSKit.framework/Versions/A/XPCServices/com.apple.iCloudHelper.xpc/Contents/MacOS/com.apple.iCloudHelper
 > username   708   0.0  0.1  2537796  15316   ??  S     5:05PM   0:00.22 /System/Library/PrivateFrameworks/SyncedDefaults.framework/Support/syncdefaultsd

Chris

Haben Sie versucht rm -f ~/Library/Cookies/Cookies.binarycookies, sowie die Cookie-Daten von Safari (über die GUI) zu löschen/zurückzusetzen?

rweiß

Hallo Chris, das habe ich, ging aber zurück und versuchte es erneut. Kein Erfolg. Spike immer noch. Aber danke für den Gedanken.

Chris

Okay. Um in der Diagnosezeile weiter nach unten zu gehen, könnten Sie Folgendes überprüfen: 1) die Liste der Safari-Erweiterungen ( Safari -> Safari Extensions). 2) in Terminal.app, wenn Sie können, ps auxwbevor Sie Safari starten, dann danach (während des Zustands, in dem Ihre CPU Spitzenwerte aufweist), und diffdas könnte Ihnen einige Hinweise geben.

rweiß

Ja, ich glaube, die Entführung stammt von der Duckduckgo-Erweiterung. Alle Erweiterungen wurden entfernt.

Chris

Okay, es sieht so aus, als psob es keine offensichtlichen Schuldigen gibt. Ich werde weiter nachforschen – ich werde mich mit einem Kommentar bei Ihnen melden, sobald ich weitere Ideen habe.

Chris

In Ordnung, können Sie also in den Aktivitätsmonitor gehen, die problematischen Prozesse lokalisieren, auf (i)(Info – obere linke Ecke) klicken und notieren, was der „Elternprozess“ für sie ist, bitte?

rweiß

Okay, das ist seltsam. Bekomme den CPU-Spike jetzt nicht. Und das einzige, was anders war, war das Entfernen der Cookies.binarycookies-Datei, dann habe ich (irgendwann) vollständig heruntergefahren und neu gestartet. Wenn Sie darauf antworten, akzeptiere ich! Danke für alles, was du hilfst, Chris.

Andreas Wolfe

Das Ding hatte das Konto meines Sohnes auf einem Computer und als ich mich als ich selbst anmeldete, hatte ich dasselbe. Startseite auf search-only.com festgelegt. Sieht aus wie eine Safari-Launch-Schwachstelle.

rweiß

Andrew, ich schreibe meine Antwort in den Antwortbereich. Ich konnte die Malware säubern, es dauerte etwa eine Stunde.

Antworten (2)

Safari 8 auf Yosemite Spawning distnotierter Prozess und hohe CPU-Last

Haben Sie versucht rm -f ~/Library/Cookies/Cookies.binarycookies, sowie die Cookie-Daten von Safari (über die GUI) zu löschen/zurückzusetzen?
Hallo Chris, das habe ich, ging aber zurück und versuchte es erneut. Kein Erfolg. Spike immer noch. Aber danke für den Gedanken.
Okay. Um in der Diagnosezeile weiter nach unten zu gehen, könnten Sie Folgendes überprüfen: 1) die Liste der Safari-Erweiterungen ( Safari -> Safari Extensions). 2) in Terminal.app, wenn Sie können, ps auxwbevor Sie Safari starten, dann danach (während des Zustands, in dem Ihre CPU Spitzenwerte aufweist), und diffdas könnte Ihnen einige Hinweise geben.
Ja, ich glaube, die Entführung stammt von der Duckduckgo-Erweiterung. Alle Erweiterungen wurden entfernt.
Okay, es sieht so aus, als psob es keine offensichtlichen Schuldigen gibt. Ich werde weiter nachforschen – ich werde mich mit einem Kommentar bei Ihnen melden, sobald ich weitere Ideen habe.
In Ordnung, können Sie also in den Aktivitätsmonitor gehen, die problematischen Prozesse lokalisieren, auf (i)(Info – obere linke Ecke) klicken und notieren, was der „Elternprozess“ für sie ist, bitte?
Okay, das ist seltsam. Bekomme den CPU-Spike jetzt nicht. Und das einzige, was anders war, war das Entfernen der Cookies.binarycookies-Datei, dann habe ich (irgendwann) vollständig heruntergefahren und neu gestartet. Wenn Sie darauf antworten, akzeptiere ich! Danke für alles, was du hilfst, Chris.
Das Ding hatte das Konto meines Sohnes auf einem Computer und als ich mich als ich selbst anmeldete, hatte ich dasselbe. Startseite auf search-only.com festgelegt. Sieht aus wie eine Safari-Launch-Schwachstelle.
Andrew, ich schreibe meine Antwort in den Antwortbereich. Ich konnte die Malware säubern, es dauerte etwa eine Stunde.

rweiß · Answer 1

Konnte die Malware nach ein paar Posts usw. entfernen. Bevor Sie beginnen, laden Sie Find Any File aus dem App Store herunter. Dies ist ein kostenloses Dienstprogramm, mit dem Sie die Systemdateien (unter anderem) über eine GUI-Schnittstelle durchsuchen können. Außerdem können Sie die Dateien auch einfach löschen.

Hinweis: Ihre Malware kann unterschiedliche Dateinamen haben, die Ressourcenspeicherorte sollten jedoch dieselben sein.

Versuchen Sie dann Folgendes (Dank an Linc Davis linc davis profile ):

Schritt 1: Wählen Sie in der Safari-Menüleiste Safari ▹ Einstellungen... ▹ Erweiterungen Deinstallieren Sie alle Erweiterungen, von denen Sie nicht wissen, dass Sie sie benötigen, einschließlich derer, die das Wort „Spigot“, „Trovi“ oder „Conduit“ in der Beschreibung enthalten . Deinstallieren Sie im Zweifelsfall alle Erweiterungen. Machen Sie das Äquivalent für die Browser Firefox und Chrome, wenn Sie einen von beiden verwenden.

Setzen Sie die Startseite und die Standardsuchmaschine in allen Browsern zurück, wenn sie geändert wurden.

Schritt 2 (oder verwenden Sie die Suchleiste Find Any File): Klicken Sie dreimal auf eine beliebige Stelle in der Zeile unten auf dieser Seite, um sie auszuwählen: /Library/LaunchAgents/com.vsearch.agent.plist

Klicken Sie mit der rechten Maustaste oder bei gedrückter Strg-Taste auf die Zeile und wählen Sie Dienste ▹ Im Finder anzeigen (oder einfach nur anzeigen)

aus dem Kontextmenü.* Ein Ordner sollte mit einem ausgewählten Element namens "com.vsearch.agent.plist" geöffnet werden.

Ziehen Sie das ausgewählte Element in den Papierkorb. Möglicherweise werden Sie zur Eingabe Ihres Administrator-Anmeldekennworts aufgefordert. Wiederholen Sie dies mit jeder dieser Zeilen:

/Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist

Schritt 3: Starten Sie den Computer neu und leeren Sie den Papierkorb. Löschen Sie dann die folgenden Elemente auf die gleiche Weise:

/Library/Application Support/VSearch /System/Library/Frameworks/VSearch.framework ~/Library/Internet Plug-Ins/ConduitNPAPIPlugin.plugin

Einige dieser Elemente fehlen möglicherweise. In diesem Fall erhalten Sie eine Meldung, dass die Datei nicht gefunden werden kann. Überspringen Sie diesen Punkt und fahren Sie mit dem nächsten fort.

Ich musste zusätzlich zu Linc D. oben Folgendes tun. Ihre Situation hat möglicherweise einen anderen Namen, aber der Prozess und der Speicherort der Malware-Dateien sind wahrscheinlich identisch.

Schritt 1:
sudo rm -f ~/Library/Cookies/Cookies.binarycookies Passwort eingeben

Schritt 2: Wählen Sie im Safari-Menü Verlauf und Website-Daten löschen; Klicken Sie im Dialogfeld auf die Schaltfläche Verlauf löschen. Dies setzt Safari zurück

Schritt 3: Erzwingen Sie dann das Beenden von Safari aus dem Kontextmenü, indem Sie im Dock auf das Cnt + -Symbol klicken.

Schritt 4: Schalten Sie die Maschine schließlich vollständig aus (Herunterfahren, nicht neu starten) und starten Sie sie dann neu.

Patrick · Answer 2

Verwenden Sie diese App des vertrauenswürdigen Entwicklers Thomas Reed http://www.adwaremedic.com/index.php , folgen Sie den Anweisungen und sie ist einfach und leicht zu bedienen und erledigt die ganze Arbeit für Sie ohne Anstrengung

Safari 8 auf Yosemite Spawning distnotierter Prozess und hohe CPU-Last

rweiß

Chris

rweiß

Chris

rweiß

Chris

Chris

rweiß

Andreas Wolfe

rweiß

Antworten (2)

rweiß

Patrick

Was bedeutet es, wenn ein Prozentsatz der CPU (Anzahl der Kerne) x 100 % überschreitet?

Prozesse automatisch beenden, die über x % CPU kommen

Safari 6 wird aktualisiert, wenn ich zurückgehe

Wie finde ich heraus, welcher Safari-Tab viel Speicher verwendet?

Wie debuggt man die Safari-CPU-Auslastung und den sich drehenden Strandball?

Warum meldet Apple Activity Monitor, dass mein Mac mit einer Dual-Core Intel i5 Ivy Bridge CPU 4 Kerne hat?

Gibt es eine Safari-Erweiterung, die ein Dropdown-Menü mit allen Registerkarten bereitstellt oder alle Registerkarten in der Registerkartenleiste anzeigt?

Hoher CPU- und Energieverbrauch in Safari

So erhalten Sie Elemente der Leseliste als Links

So verhindern Sie, dass Safari unter macOS https verwendet, wenn ich http möchte, wenn es nicht in der HSTS-Liste enthalten ist