Impossibile trovare / rimuovere i browser hijacker

2

Il mio compagno di stanza mi ha portato il suo iMac questo pomeriggio perché si è comportato molto male da quando si è trasferita a High Sierra. Si scopre che il suo ragazzo ha ottenuto molti di malware su di esso, e sto avendo problemi reali a sbarazzarmene.

Il più grande colpevole è un insieme di browser hijacker (potrebbero essere tutti correlati, o potrebbero essere malware separati, non ne sono sicuro), inclusi quelli noti come G-Search.Pro e altri (feedvertizus, beleelashopper, ecc.)

Non riesco a capire dove queste cose si sono bloccate per sbarazzarsi di loro. Finora, ho:

  • Elimina tutte le applicazioni installate che non ho riconosciuto.
  • Installato ed eseguito MalwareBytes, che afferma che non ho malware.
  • Installato ed eseguito AVG Anti-Virus, che afferma che sono pulito.
  • Completamente cancellato da Chrome e Firefox dalla macchina e reinstallato.
  • Ha controllato le cartelle LaunchAgents in / Library, / System / Library e / Users / user / Library per qualsiasi cosa dispari.
  • Controllate le cartelle LaunchDemons nelle stesse posizioni.
  • Rimosso qualsiasi cosa dalle cartelle del supporto dell'applicazione che sembravano sospette.

Tutto inutilmente. Un'installazione pulita e fresca di Chrome viene immediatamente infettata da G-Search.pro e da altre cose. Sono al limite della conoscenza di OS X quindi non ho idea di dove cercare altro.

Dove potrebbero nascondersi queste cose, o dove posso andare (ci sono registri di sistema, ecc.?) per scoprirlo?

    
posta Michael Edenfield 28.05.2018 - 06:49
fonte

1 risposta

2

Nel caso in cui qualcun altro venga infettato da questo, ecco cosa ho scoperto alla fine:

Il virus aveva installato un proxy Web locale e un servizio in background che monitorava costantemente le impostazioni proxy del sistema e le "ripristinava" per puntare su se stesso. L'ho scoperto quando ho notato che Safari lanciava avvisi SSL per tutto e che YouTube restituiva risposte vuote e errori proxy durante il tentativo di guardare video.

Anche il proxy sembra aver impedito il funzionamento della sincronizzazione di Chrome e impedito l'attivazione di diversi programmi antivirus che richiedono l'attivazione online.

Sono riuscito a trovarlo usando lsof per vedere cosa stava ascoltando sulla porta che continuava a configurarsi come proxy locale. Aveva installato un'applicazione mono utilizzando il pacchetto NuGet del proxy web di Titanium, in / usr / local / srcsrv.

Dopo averlo ucciso, il comportamento del browser Web è tornato alla normalità tranne che per la pagina "Nuova scheda" in Google che punta ancora a G-Search.pro. Non ho ancora provato a cancellare e reinstallare Chrome una seconda volta, ma ho aggiunto diversi domini a / etc / hosts per impedire loro di telefonare a casa.

    
risposta data 29.05.2018 - 02:59
fonte

Leggi altre domande sui tag