Mein Safari 8 wurde von Open-Search.com entführt, nachdem ich das Betriebssystem auf Yosemite (10.10) aktualisiert hatte. Der Effekt war zweifach, meine Homepage wurde von Open-Search/MacKeeper gekapert und die CPU begann, in regelmäßigen Abständen Spitzen zu laden.
Nach langem Suchen habe ich die Ressourcen für Open-Search/MacKeeper entfernt, um die Entführung zu beenden. Wie auch immer distnotiert, SubPubAgent und nsurlstoraged werden im Aktivitätsmonitor angezeigt und geben den folgenden Protokolleintrag in der Nachrichtenprotokolldatei aus.
11/3/14 12:58:35.657 PM nsurlstoraged[233]: DiskCookieStorage changing policy from 2 to 0, cookie file: ///Users/<username>/Library/Cookies/Cookies.binarycookies
11/3/14 12:58:35.658 PM nsurlstoraged[233]: DiskCookieStorage changing policy from 0 to 2, cookie file: ///Users/<username>/Library/Cookies/Cookies.binarycookies
Dieser Eintrag wiederholt sich ungefähr 4000 Mal (ernsthaft), wobei die CPU über 300 % gespiket und der Lüfter aktiviert wird. Sobald ich Safari beendet habe, endet der Prozess und alles läuft wie erwartet.
Ich bin dieser Antwort gefolgt, die letzten November gepostet wurde, aber sie ist spezifisch für Emacs: http://apple.stackexchange.com/questions/111197/runaway-distnoted-process
.
Durch das Hinzufügen der Datei /var/log/do_dnserver_log
scheint das Problem minimiert, aber nicht behoben worden zu sein. Die CPU wird immer noch ausgelastet und die oben genannten Prozesse werden zeitweise gestartet.
Alle mögliche Gedanken würden viel geschätzt.
Ich dachte, es könnte hilfreich sein, den vollständigen Protokolleintrag nach dem Start von Safari zu posten.
11/3/14 3:28:46.598 PM nsurlstoraged[232]: DiskCookieStorage changing policy from 0 to 2, cookie file: file:///Users/username/Library/Cookies/Cookies.binarycookies
11/3/14 3:28:46.613 PM storeaccountd[285]: AccountServiceDelegate: Accepting new connection <NSXPCConnection: 0x7fb9bd818dd0> connection from pid 538 with interface <AccountServiceInterface: 0x7fb9bd81fbe0> (PID 538)
11/3/14 3:28:46.728 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) The _DirtyJetsamMemoryLimit key is not available on this platform.
11/3/14 3:28:46.765 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) The _DirtyJetsamMemoryLimit key is not available on this platform.
11/3/14 3:28:46.927 PM locationd[55]: Couldn't find a requirement string for masquerading client /System/Library/PrivateFrameworks/Parsec.framework
11/3/14 3:28:46.928 PM locationd[55]: could not get apple languages array, assuming english
11/3/14 3:28:46.930 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) The _DirtyJetsamMemoryLimit key is not available on this platform.
11/3/14 3:21:19.295 PM com.apple.xpc.launchd[1]: (com.apple.PubSub.Agent[503]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.pubsub.ipc
11/3/14 3:21:19.295 PM com.apple.xpc.launchd[1]: (com.apple.PubSub.Agent[503]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.pubsub.notification
11/3/14 3:21:56.010 PM CoreServicesUIAgent[240]: unexpected message <OS_xpc_error: <error: 0x7fff7bd13c60> { count = 1, contents = "XPCErrorDescription" => <string: 0x7fff7bd13f70> { length = 18, contents = "Connection invalid" }}>
11/3/14 3:22:29.019 PM nsurlstoraged[232]: DiskCookieStorage changing policy from 0 to 2, cookie file: file:///Users/username/Library/Cookies/Cookies.binarycookies
11/3/14 3:22:29.020 PM nsurlstoraged[232]: DiskCookieStorage changing policy from 2 to 0, cookie file: file:///Users/username/Library/Cookies/Cookies.binarycookies
Der letzte Eintrag wird 4000 Mal wiederholt
Ich hoffe, das hilft.
lief ps auxw > pbefore.txt
dann wieder an der spitze ps auxw > pspike.txt
dann lief diff pbefore.txt pspike.txt
folgendes waren die unterschiede:
> root 31 0.0 0.0 2518116 7808 ?? SNs 2:01PM 0:00.16 /usr/libexec/warmd
> username 721 0.0 0.4 3797960 60316 ?? Ss 5:06PM 0:02.11 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent
> username 720 0.0 0.2 3613208 26316 ?? Ss 5:06PM 0:00.10 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent
> username 717 0.0 0.1 3590548 15744 ?? Ss 5:06PM 0:00.20 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.Networking.xpc/Contents/MacOS/com.apple.WebKit.Networking
> username 710 0.0 0.0 2514028 6748 ?? S 5:05PM 0:00.09 /usr/libexec/webinspectord
> username 709 0.0 0.0 2521108 7636 ?? S 5:05PM 0:00.05 /System/Library/PrivateFrameworks/AOSKit.framework/Versions/A/XPCServices/com.apple.iCloudHelper.xpc/Contents/MacOS/com.apple.iCloudHelper
> username 708 0.0 0.1 2537796 15316 ?? S 5:05PM 0:00.22 /System/Library/PrivateFrameworks/SyncedDefaults.framework/Support/syncdefaultsd
Konnte die Malware nach ein paar Posts usw. entfernen. Bevor Sie beginnen, laden Sie Find Any File aus dem App Store herunter. Dies ist ein kostenloses Dienstprogramm, mit dem Sie die Systemdateien (unter anderem) über eine GUI-Schnittstelle durchsuchen können. Außerdem können Sie die Dateien auch einfach löschen.
Hinweis: Ihre Malware kann unterschiedliche Dateinamen haben, die Ressourcenspeicherorte sollten jedoch dieselben sein.
Versuchen Sie dann Folgendes (Dank an Linc Davis linc davis profile ):
Schritt 1: Wählen Sie in der Safari-Menüleiste Safari ▹ Einstellungen... ▹ Erweiterungen Deinstallieren Sie alle Erweiterungen, von denen Sie nicht wissen, dass Sie sie benötigen, einschließlich derer, die das Wort „Spigot“, „Trovi“ oder „Conduit“ in der Beschreibung enthalten . Deinstallieren Sie im Zweifelsfall alle Erweiterungen. Machen Sie das Äquivalent für die Browser Firefox und Chrome, wenn Sie einen von beiden verwenden.
Setzen Sie die Startseite und die Standardsuchmaschine in allen Browsern zurück, wenn sie geändert wurden.
Schritt 2 (oder verwenden Sie die Suchleiste Find Any File): Klicken Sie dreimal auf eine beliebige Stelle in der Zeile unten auf dieser Seite, um sie auszuwählen: /Library/LaunchAgents/com.vsearch.agent.plist
Klicken Sie mit der rechten Maustaste oder bei gedrückter Strg-Taste auf die Zeile und wählen Sie Dienste ▹ Im Finder anzeigen (oder einfach nur anzeigen)
aus dem Kontextmenü.* Ein Ordner sollte mit einem ausgewählten Element namens "com.vsearch.agent.plist" geöffnet werden.
Ziehen Sie das ausgewählte Element in den Papierkorb. Möglicherweise werden Sie zur Eingabe Ihres Administrator-Anmeldekennworts aufgefordert. Wiederholen Sie dies mit jeder dieser Zeilen:
/Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist
Schritt 3: Starten Sie den Computer neu und leeren Sie den Papierkorb. Löschen Sie dann die folgenden Elemente auf die gleiche Weise:
/Library/Application Support/VSearch /System/Library/Frameworks/VSearch.framework ~/Library/Internet Plug-Ins/ConduitNPAPIPlugin.plugin
Einige dieser Elemente fehlen möglicherweise. In diesem Fall erhalten Sie eine Meldung, dass die Datei nicht gefunden werden kann. Überspringen Sie diesen Punkt und fahren Sie mit dem nächsten fort.
Ich musste zusätzlich zu Linc D. oben Folgendes tun. Ihre Situation hat möglicherweise einen anderen Namen, aber der Prozess und der Speicherort der Malware-Dateien sind wahrscheinlich identisch.
Schritt 1:
sudo rm -f ~/Library/Cookies/Cookies.binarycookies Passwort eingeben
Schritt 2: Wählen Sie im Safari-Menü Verlauf und Website-Daten löschen; Klicken Sie im Dialogfeld auf die Schaltfläche Verlauf löschen. Dies setzt Safari zurück
Schritt 3: Erzwingen Sie dann das Beenden von Safari aus dem Kontextmenü, indem Sie im Dock auf das Cnt + -Symbol klicken.
Schritt 4: Schalten Sie die Maschine schließlich vollständig aus (Herunterfahren, nicht neu starten) und starten Sie sie dann neu.
Verwenden Sie diese App des vertrauenswürdigen Entwicklers Thomas Reed http://www.adwaremedic.com/index.php , folgen Sie den Anweisungen und sie ist einfach und leicht zu bedienen und erledigt die ganze Arbeit für Sie ohne Anstrengung
Chris
rm -f ~/Library/Cookies/Cookies.binarycookies
, sowie die Cookie-Daten von Safari (über die GUI) zu löschen/zurückzusetzen?rweiß
Chris
Safari -> Safari Extensions
). 2) in Terminal.app, wenn Sie können,ps auxw
bevor Sie Safari starten, dann danach (während des Zustands, in dem Ihre CPU Spitzenwerte aufweist), unddiff
das könnte Ihnen einige Hinweise geben.rweiß
Chris
ps
ob es keine offensichtlichen Schuldigen gibt. Ich werde weiter nachforschen – ich werde mich mit einem Kommentar bei Ihnen melden, sobald ich weitere Ideen habe.Chris
(i)
(Info – obere linke Ecke) klicken und notieren, was der „Elternprozess“ für sie ist, bitte?rweiß
Andreas Wolfe
rweiß