Come trovare e uccidere un programma di installazione che si avvia automaticamente all'avvio

1

Chiedere il nome di un bambino che non ricorda se / quando alcune applicazioni sono state aggiornate e ha richiesto un riavvio per completare l'installazione.

OSX 10.8.5, MacBook Pro. Ecco cosa succede: quando si riavvia, appare una finestra di dialogo con l'icona "pacchetto" e chiede "Continua con l'installazione?" e uno deve selezionare "sì" o "abortire".

Se è selezionato "sì", un processo di proprietà dell'utente viene eseguito per sempre, consumando in modo eccessivo molta RAM. Se è selezionato "sì" o "annulla", la stessa finestra di dialogo verrà visualizzata al prossimo riavvio.

In Activity Monitor, il processo è chiamato semplicemente "Installer".

Le cose che sappiamo non sono state avviate: qualsiasi aggiornamento del sistema.

La mia prole ricorda vagamente di aver iniziato ad aggiornare "qualche app" che è stata successivamente cancellata dalla macchina. Supponendo che questo sia il caso, sembra che questo programma di installazione sia bloccato cercando di ottenere file che non esistono.

Quindi, in ogni caso, c'è qualche file che posso cancellare che impedirà all'avvio di riavviare il programma di installazione? Se c'è qualcosa che posso fare per fornire maggiori informazioni su cosa / dove questa app di installazione è, fammelo sapere e io lo posterò.

    
posta Carl Witthoft 21.01.2015 - 19:54
fonte

3 risposte

1

Oltre agli elementi di login (apri il pannello Utenti e gruppi di Preferenze di Sistema), prova questo.

In Terminale, digita

ls ~/Library/LaunchAgents

Vedrai i tuoi agenti di lancio "personali".

Per vedere tutti gli agenti attualmente caricati, digita questo:

launchctl list

Se puoi identificare quello che non vuoi, usa l'opzione di scaricamento:

launchctl unload ~/Library/LaunchAgents/whateverItIsYouWantToUnload
    
risposta data 21.01.2015 - 20:34
fonte
0

Il mio suggerimento sarebbe di eseguire un'applicazione chiamata Etrecheck e postare i risultati nella tua domanda originale, o in un punto qui e poi aggiorna la domanda con un link al gist. Questa potrebbe essere un'infezione da malware. L'output di Etrecheck potrebbe aiutare a confermare questo. È molto diffidente per me che qualcosa stia affermando di essere un "Installatore" ma non ti sta dicendo che cosa sta installando.

In alternativa puoi utilizzare Activity Monitor per identificare cosa sta avviando il programma di installazione. All'interno di Activity Monitor selezionare il processo di installazione, quindi fare clic sul pulsante Info (o premere i tasti e I ) per visualizzare la finestra di ispezione per quel processo. Se fai clic sulla scheda "Apri file e porte", ti dirà da dove viene eseguito il programma di installazione. La prima voce nell'elenco dovrebbe essere la posizione del file eseguibile effettivo. In questo modo è possibile interrompere il processo, quindi andare in quella posizione ed eliminare o spostare l'applicazione in un'altra posizione. Nota che nello screenshot sotto /Users/alistair/Downloads/EtreCheck.app/Contents/MacOS/EtreCheck è il processo ma /Users/alistair/Downloads/EtreCheck.app è il pacchetto di applicazioni che troverai nel Finder. Se non sei ancora sicuro di cosa sia il programma di installazione, fornirci il percorso completo dell'eseguibile in un commento potrebbe aiutarci a identificarlo se si tratta di qualcosa di dannoso.

    
risposta data 22.01.2015 - 00:59
fonte
0

Non eseguire EtreCheck. È è quasi certamente malware. Cosa si può fare per fermare il malware "EtreCheck"?

Per aggiungere alla risposta dell'altra persona controllare gli Agenti di lancio è una buona idea, ma la loro raccomandazione controllerebbe solo gli agenti di lancio avviati dal nome utente dell'utente attivo e trascurerà quelli elencati sotto l'utente root / dal sistema o qualsiasi altro utente. Digitando sudo ti mostreremo gli agenti di lancio del sistema e, per il resto degli "utenti" casuali che hai, puoi provare a utilizzare "sudo launchctl asusuer 502 elenco launchctl" dove 502 sarebbe l'UID dell'altro utente. "dscl -raw localhost -readall / Local / Default / Users" ti mostrerà tutti gli ID univoci disponibili. Activity Monitor ti mostrerà tutti gli altri nomi utente che attualmente hanno un processo, ma per vedere tutti i plists non caricati di cui hai bisogno per usare launchctl.

Sappi che questa è una storia antica ma volevo menzionare quei 2 oggetti.

    
risposta data 25.02.2018 - 13:34
fonte

Leggi altre domande sui tag