Wie entferne ich scheinbar bösartiges zwischengespeichertes Javascript?

Ich habe kürzlich den iMac eines anderen verwendet und bin auf ein ziemlich seltsames Verhalten gestoßen. Suchanfragen (zumindest von Google und Yahoo, andere Suchmaschinen habe ich nicht getestet) wurden umgeleitet. Nach der Suche führte das Klicken auf einen Link in der Suche dazu, dass ein neues Fenster mit einem umgeleiteten Link darin geöffnet wurde (die Umleitung durchlief einige Variationen, bevor sie sich für den endgültigen Link entschied). Zurück zum ursprünglichen Fenster zu gehen und ein zweites Mal auf den Link zu klicken, führte zur richtigen Seite. Dies geschah sowohl mit Safari als auch mit Firefox (andere Browser habe ich nicht getestet).

Die Suche im Internet deutete darauf hin, dass es sich um einen bösartigen Code handelt, aber ich konnte ihn nicht in den Prozesslisten finden. Die wichtigsten Symptome waren:

  1. Das Deaktivieren von Javascript hat das Problem behoben.
  2. Das Erstellen eines völlig neuen Kontos hat das Problem behoben (für das neue Konto).
  3. Booten im abgesicherten Modus hat das Problem nicht behoben.
  4. Es gab keinen offensichtlichen Prozess, bei dem das ursprüngliche Konto (mit dem Problem) ausgeführt wurde, das nicht vom neuen Konto (ohne das Problem) ausgeführt wurde.

Da ich vermutete, dass irgendein bösartiges Javascript irgendwie auf dem Computer zwischengespeichert war, versuchte ich, alles zu löschen, was nach Cache-ähnlich aussah (insbesondere in - ~/Library/Cachewenn ich mich recht erinnere). Das schien es zu beheben, aber der Besitzer sagte mir, dass es am nächsten Tag wieder da war. Ich konnte keinen Befehl "Alle temporären Dateien entfernen, nein, ich meine wirklich alle temporären Dateien" finden.

Meine eigentliche Frage ist: Kann jemand das Problem identifizieren und mir sagen, welche Schritte der Besitzer der Maschine unternehmen muss, um es loszuwerden?

(Beachten Sie, dass ich leider nicht mehr vor dieser Maschine stehe, daher werden weitere Diagnosetests schwierig sein; fügen Sie der Mischung die Tatsache hinzu, dass der Besitzer kein Computer ist ... Nerd.)

Vielleicht ist eine beantwortbarere Frage (wenn das Obige nicht beantwortbar ist): Welche Schritte sind erforderlich, um temporäre Dateien aus dem Bereich eines Benutzers auf einem Apfel zu bereinigen? Ich würde konkrete Schritte bevorzugen, anstatt "iKillTempFiles herunterzuladen (und dafür zu bezahlen).

Schließlich kenne ich die Versionen der beteiligten Software nicht, aber ich vermute, dass sie alle ziemlich alt waren.

Bitte entsprechend neu taggen - ich kenne die lokalen Tags nicht und in den Vorschlägen ist nichts Besonderes aufgetaucht.

Antworten (5)

Klingt nach einer Art DNS-Wechsler. Könnten Sie vielleicht versuchen, einen Scan mit clamXav durchzuführen, wenn Sie nicht genau wissen, welche Dateien legitim und welche bösartig sind.

wo ich die zwielichtige DNSchanger-Datei und install.pkg gefunden habe ~/Library/Internet Plug-Ins /Library/Receipts

Nur das Löschen der zwischengespeicherten Dateien wird Malware nicht los. Es könnte nur die halbe Arbeit machen.

Hier sind einige Links, fühlen Sie sich frei, sie zu verwenden ... oder nicht. :)

http://www.howtogeek.com/howto/38793/how-to-switch-mac-os-x-to-use-opendns-or-google-dns/ - Bei der Fehlersuche ist mir aufgefallen, dass das auto Die DNS-Einstellungen in den Systemeinstellungen unterschieden sich von der DNS-Adresse unseres Routers.

Offene DNS-Adresse: 208.67.222.222 & 208.67.220.220 Google DNS-Adresse: 8.8.8.8 & 8.8.4.4

http://www.macupdate.com/app/mac/15850/clamxav/ - lesen Sie einige Benutzer-Feedbacks, bevor Sie es versuchen.

  • Fazit ist - seien Sie sich bewusst, was Sie akzeptieren und auf Ihrem Computer installieren.

Eine Sache zu versuchen. Verwenden Sie das leere Cache-Menüelement, beenden Sie den Browser und starten Sie ihn neu.

Meinst du "Cache leeren" aus dem Browsermenü ? Wenn ja, habe ich das versucht und es hat nicht funktioniert. Außerdem passt das nicht dazu, dass es auf zwei verschiedenen Browsern passiert.

Einige kostenlose Websites verwenden Javascript-Weiterleitung, damit Sie ihre Anzeigen lesen können. Ohne das übersprangen die Leute die Anzeigen einfach, was bedeutet, dass diese Seiten kein Einkommen generierten!

Stimmt, aber ich sehe keine Relevanz für diesen Fall. Das Javascript war auf der Suchwebseite vorhanden, nicht auf dem endgültigen Ziel.

Haben Sie überprüft, ob der Benutzer eine Website erneut besucht, die den Computer erneut infiziert, nachdem Sie den Cache geleert haben? Ich schlage vor, dass, wie Sie sagten, das Löschen des Caches es vorübergehend behoben hat.

Einige Dinge, die ich versuchen würde, um das Problem zu lösen:

  1. Bereinigen Sie temporäre Dateien mit einer App wie CCleaner (kostenlos) oder CleanMyMac .
  2. Führen Sie ein Mac-Antivirenprogramm aus. Lifehacker hat hier eine nette Zusammenfassung von ihnen .
  3. Wenn die vorherigen Schritte fehlschlagen, gehen Sie auf Nummer sicher, sichern Sie Ihre Daten, formatieren Sie Ihr Laufwerk und installieren Sie OS X von Grund auf neu ( Lion Guide von Apple , Snow Leopard Guide von Apple ).

Einige andere Anmerkungen:

  • Ich stimme den anderen Antworten zu, klingt nach einer DNS-Änderung. Probieren Sie die von Miro vorgeschlagenen DNS-Einstellungen aus.
  • Safari und Firefox verwenden unterschiedliche Cache-Dateien, daher ist es unwahrscheinlich, dass dies das Problem ist.
Wie entferne ich scheinbar bösartiges zwischengespeichertes Javascript?
AntwortenHierDatenschutz-Bestimmungen1y, 0v