Recientemente actualicé mi MBP de 2017 a Ventura. Desde entonces, mi sistema ha estado funcionando muy mal.
He notado que el 90% del tiempo, cuando se comporta mal, hay un proceso XProtectRemediatorSnowBeagle que está ocupando 2.01 GB de RAM consistentemente. No desaparece, y forzar la salida solo funciona tal vez la mitad del tiempo. Intentar matarlo desde la terminal a menudo falla también, con alguna variante de "Operación no permitida".
Por lo general, es un proceso propiedad de root. Al menos una vez, ha habido una segunda copia de él, ocupando otros 2.01 GB de RAM, propiedad de la cuenta de usuario activa.
Otros remediadores, como XProtectRemediatorAdload, parecen funcionar normalmente: llegan a algo así como 1.5 GB de RAM, y luego terminan lo que están haciendo y se cierran. Este no. Simplemente se queda en la RAM.
Al muestrearlo en Monitor de Actividad, muestra un gráfico de llamadas atascado en un _dispatch_group_wait_slow -> _dlock_wait -> __ulock_wait. No puedo encontrar ningún archivo sospechoso abierto con lsof.
Aún no he intentado una instalación limpia. Espero evitarlo, ya que siempre es una pesadilla volver a configurar todo como quiero. Realmente preferiría diagnosticar lo que está causando que se cuelgue, y deshacerme de eso... o reinstalar XProtect, si eso es posible... o simplemente deshabilitarlo por completo, para ser honesto, ya que tengo mucha confianza en mi capacidad de evitar malware por mi cuenta, pero no puedo descifrar cómo hacer nada de eso.
¿Alguna idea? He probado un reinicio del SMC, un reinicio del NVRAM / PRAM, deshabilitar csrutil... sin éxito. Registros en bruto a continuación
dtruss:
SYSCALL(args) = return
bsdthread_ctl(0x100, 0x800004FF, 0xFFFFFFFF) = 0 0
bsdthread_ctl(0x100, 0x0, 0x310B) = 0 0
kevent_id(0x7FCF9BF68EF0, 0x700000F3F338, 0x1) = 0 0
kevent_qos(0xFFFFFFFFFFFFFFFF, 0x700000F3F5B0, 0x1) = 0 0
thread_selfid(0x0, 0x0, 0x0) = 233467 0
bsdthread_ctl(0x100, 0x0, 0x310B) = 0 0
workq_kernreturn(0x100, 0x700000DB6B80, 0x1) = 0 Err#-2
bsdthread_ctl(0x100, 0x800004FF, 0xFFFFFFFF) = 0 0
bsdthread_ctl(0x100, 0x0, 0x310F) = 0 0
workq_kernreturn(0x20, 0x0, 0x1) = 0 0
workq_kernreturn(0x40, 0x700000F3FB80, 0x0) = 0 Err#-2
kevent_qos(0xFFFFFFFFFFFFFFFF, 0x700000DB66A0, 0x1) = 0 0
bsdthread_ctl(0x100, 0x0, 0x310F) = 0 0
kevent_id(0x7FCF9BF66FC0, 0x700000F3F918, 0x1) = 0 0
workq_kernreturn(0x40, 0x700000DB6B80, 0x0) = 0 Err#-2
bsdthread_ctl(0x100, 0x0, 0x310F) = 0 0
madvise(0x7FD056009000, 0x1000, 0x7) = 0 0
psynch_cvbroad(0x7FD055008F68, 0xC0000000D00, 0xC0000000100) = 257 0
psynch_cvwait(0x7FD055008F68, 0xC0100000D00, 0xC00) = 0 0
ulock_wake(0x1000002, 0x102867E00, 0x0) = 0 0
ulock_wait(0x1050002, 0x102867E00, 0x3312) = 0 0
workq_kernreturn(0x100, 0x700000DB6B80, 0x1) = 0 Err#-2
__disable_threadsignal(0x1, 0x0, 0x0) = 0 0
madvise(0x7FD05600B000, 0x1000, 0x7) = 0 0
workq_kernreturn(0x4, 0x0, 0x0) = 0 Err#-2Muestra de Monitor de Actividad:
Análisis del muestreo de XProtectRemediatorSnowBeagle (pid 4878) cada 1 milisegundo
Proceso: XProtectRemediatorSnowBeagle [4878]
Ruta: /Library/Apple/*/XProtect.app/Contents/MacOS/XProtectRemediatorSnowBeagle
Dirección de carga: 0x10271a000
Identificador: XProtectRemediatorSnowBeagle
Versión: 126
Tipo de código: X86-64
Plataforma: macOS
Proceso padre: XProtectPluginService [395]
Fecha/Hora: 2024-02-21 18:35:09.954 -0500
Hora de inicio: 2024-02-21 18:11:30.241 -0500
Versión del SO: macOS 13.6.4 (22G513)
Versión del informe: 7
Herramienta de análisis: /usr/bin/sample
Huella física: 2.0G
Huella física (máximo): 2.4G
Salida inactiva: sin seguimiento
----
Gráfico de llamadas:
2519 Thread_204892 DispatchQueue_1: com.apple.main-thread (serial)
+ 2519 start (en dyld) + 1903 [0x7ff8186fd41f]
+ 2519 ??? (en XProtectRemediatorSnowBeagle) dirección de carga 0x10271a000 + 0x2fda [0x10271cfda]
+ 2519 ??? (en XProtectRemediatorSnowBeagle) dirección de carga 0x10271a000 + 0x68fdc [0x102782fdc]
+ 2519 ??? (en XProtectRemediatorSnowBeagle) dirección de carga 0x10271a000 + 0x68c00 [0x102782c00]
+ 2519 ??? (en XProtectRemediatorSnowBeagle) dirección de carga 0x10271a000 + 0x7d531 [0x102797531]
+ 2519 ??? (en XProtectRemediatorSnowBeagle) dirección de carga 0x10271a000 + 0x53783 [0x10276d783]
+ 2519 _dispatch_group_wait_slow (en libdispatch.dylib) + 43 [0x7ff8188b6aef]
+ 2519 _dlock_wait (en libdispatch.dylib) + 45 [0x7ff8188b6849]
+ 2519 __ulock_wait (en libsystem_kernel.dylib) + 10 [0x7ff818a19cce]
2519 Thread_205926
2519 start_wqthread (en libsystem_pthread.dylib) + 15 [0x7ff818a52bbf]
2519 _pthread_wqthread (en libsystem_pthread.dylib) + 427 [0x7ff818a53cb9]
2519 __workq_kernreturn (en libsystem_kernel.dylib) + 10 [0x7ff818a19c3e]
Número total en la pila (contado recursivamente múltiple, cuando >=5):
Ordenar por la parte superior de la pila, colapsar lo mismo (cuando >= 5):
__ulock_wait (en libsystem_kernel.dylib) 2519
__workq_kernreturn (en libsystem_kernel.dylib) 2519Más de la muestra aquí
