Browser-Hijacker können nicht gefunden / entfernt werden

2

Meine Mitbewohnerin hat mir heute Nachmittag ihren iMac gebracht, weil er sich seit ihrem Upgrade auf High Sierra sehr schlecht verhält. Es stellt sich heraus, dass ihr Freund eine Menge Malware darauf hat, und ich habe echte Probleme, sie loszuwerden.

Der größte Schuldige sind eine Reihe von Browser - Hijackern (die möglicherweise alle miteinander verwandt sind oder bei denen es sich, da bin ich mir nicht sicher, um separate Malware handelt), darunter auch bekannte wie G - Search.Pro und andere (Feedvertizus, Beleelashopper usw.) ).

Ich kann nicht herausfinden, wo sich diese Dinge festgefahren haben, um sie loszuwerden. Bisher habe ich:

  • Löschte alle installierten Anwendungen, die ich nicht erkannte.
  • Installiert und führt MalwareBytes aus, von dem behauptet wird, ich habe keine Malware.
  • AVG Anti-Virus installiert und ausgeführt, das behauptet, ich sei sauber.
  • Chrome und Firefox wurden vollständig vom Computer gelöscht und neu installiert.
  • Überprüfen Sie die LaunchAgents-Ordner in / Library, / System / Library und / Users / user / Library auf ungewöhnliche Objekte.
  • Überprüfte die LaunchDemons-Ordner an den gleichen Stellen.
  • Aus den Anwendungsunterstützungsordnern wurde alles entfernt, was verdächtig aussah.

Alles ohne Erfolg. Eine saubere, frische Installation von Chrome wird sofort mit G-Search.pro und diesen anderen Dingen infiziert. Ich bin an meiner Grenze der OS X-Kenntnisse und habe keine Ahnung, wo ich sonst suchen soll.

Wo könnten sich diese Dinge verstecken, oder wohin kann ich gehen (gibt es Systemprotokolle usw.?), Um dies herauszufinden?

Michael Edenfield
quelle
Ich würde die Chrome- und Firefox-Datenordner überprüfen. Ich erinnere mich nicht genau, wo sie sind, und ich bin jetzt AFK (mit meinem Telefon), aber sie befinden sich irgendwo in den oben genannten Bibliotheksordnern.
NoahL
Diese habe ich ebenfalls gefunden und gelöscht. Gibt es einen Ordner vom Typ "Global Preferences", in dem sich möglicherweise etwas registriert?
Michael Edenfield
Sie erwähnten, Chrome und Firefox vollständig gelöscht und neu installiert zu haben, aber was ist mit Safari? Offensichtlich ist es auf dem System installiert, also würde ich das auch überprüfen. Starten Sie Safari, gehen Sie zu Safari> Einstellungen, wählen Sie die Registerkarte Erweiterungen und suchen Sie dort nach Anzeichen von GSearchPro usw.
Monomeeth
2
Ein neues Konto erstellen. Wenn das Problem behoben ist, ist es nicht systemweit. Es ist wahrscheinlich einfacher, Daten einfach zu migrieren, als immer nach Malware zu suchen.
Allan
Es gibt Artikel "wie man g-search.pro loswird" usw. (Mir ist klar, dass dies nur einer von vielen war und ich keine anderen angesprochen habe). Aus Sicherheitsgründen lautet die Frage: "Wie können Sie wissen, dass Sie alles gefunden haben?" Aus diesem Grund empfehle ich Ihnen, (a) alle wichtigen Daten (Dokumente, Fotos usw.) zu sichern und (b) eine vollständige Löschung und Neuinstallation durchzuführen und dann (c) nur die Daten wiederherzustellen (nicht ' Wiederherstellen 'von Anwendungen ... sicherer, um Anwendungen erneut herunterzuladen und von einer bekanntermaßen guten Quelle zu installieren.)
Tim Campbell

Antworten:

2

Für den Fall, dass jemand anderes davon infiziert wird, habe ich Folgendes herausgefunden:

Der Virus hatte einen lokalen Webproxy und einen Hintergrunddienst installiert, der ständig die Proxyeinstellungen des Systems überwachte und sie "wiederherstellte", um auf sich selbst zu verweisen. Ich entdeckte dies, als ich bemerkte, dass Safari SSL-Warnungen für alles auslöste und YouTube leere Antworten und Proxy-Fehler beim Versuch, Videos anzusehen, zurückgab.

Der Proxy hat anscheinend auch die Synchronisierung von Chrome verhindert und mich daran gehindert, mehrere Antivirenprogramme zu aktivieren, für die eine Online-Aktivierung erforderlich ist.

Ich konnte es mithilfe von lsof finden, um zu sehen, was auf dem Port empfangsbereit war, der sich selbst als lokaler Proxy eingerichtet hat. Es hatte eine Mono-Anwendung unter Verwendung des Titanium-Webproxy-NuGet-Pakets in / usr / local / srcsrv installiert.

Nachdem ich das beendet hatte, kehrte das Verhalten des Webbrowsers zum Normalzustand zurück, mit Ausnahme der Seite "Neuer Tab" in Google, die immer noch auf G-Search.pro verweist. Ich habe noch nicht versucht, Chrome ein zweites Mal zu löschen und neu zu installieren, aber ich habe / etc / hosts mehrere Domains hinzugefügt, um zu verhindern, dass sie nach Hause telefonieren.

Michael Edenfield
quelle
Die obige Antwort hat bei mir funktioniert. Am Ende habe ich fast alles unter / usr / local / srcsrv gelöscht. Ich habe dann den Computer neu gestartet und die Netzwerkverbindung funktionierte nicht. Ich musste zu Netzwerk -> Erweitert -> Proxies gehen, um die von der Malware verwendeten HTTP- und HTTPS-Proxies abzuwählen. Danach funktionierte das Internet und die Proxy-Dienste starteten sich nicht neu.
user1880798