3 votos

rwhite35 avatar

Safari 8 en Yosemite Generando el proceso distnoted y aumentando la carga de la CPU

Preguntado el 3 de Noviembre, 2014
Cuando se hizo la pregunta
18201 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Mi Safari 8 fue secuestrado por Open-Search.com después de actualizar el sistema operativo a Yosemite (10.10). El efecto fue doble, mi página de inicio fue secuestrada por Open-Search/MacKeeper y la CPU comenzó a cargar spikes a intervalos regulares.

Después de mucha investigación, eliminé los recursos para Open-Search/MacKeeper poniendo fin al secuestro. Sin embargo, distnoted, SubPubAgent y nsurlstoraged aparecen en el Monitor de Actividad y arrojan la siguiente entrada de registro en el archivo de registro de mensajes.

11/3/14 12:58:35.657 PM nsurlstoraged[233]: DiskCookieStorage cambió la política de 2 a 0, archivo de cookies: ///Users//Library/Cookies/Cookies.binarycookies

11/3/14 12:58:35.658 PM nsurlstoraged[233]: DiskCookieStorage cambió la política de 0 a 2, archivo de cookies: ///Users//Library/Cookies/Cookies.binarycookies

Esta entrada se repite unas 4000 veces (en serio) sobrecargando la CPU más del 300% y activando el ventilador. Una vez que cierro Safari, el proceso termina y todo funciona como se espera.

Seguí esta respuesta publicada en noviembre pasado pero es específica para emacs: http://apple.stackexchange.com/questions/111197/runaway-distnoted-process.

Al agregar el archivo /var/log/do_dnserver_log parece haber MINIMIZADO el problema pero no lo ha solucionado. La CPU sigue sobrecargándose y los procesos mencionados anteriormente se generan intermitentemente.

Cualquier pensamiento sería muy apreciado.

Pensé que podría ser útil publicar la entrada completa del registro después de iniciar Safari.

11/3/14 3:28:46.598 PM nsurlstoraged[232]: DiskCookieStorage cambió la política de 0 a 2, archivo de cookies: file:///Users/username/Library/Cookies/Cookies.binarycookies

11/3/14 3:28:46.613 PM storeaccountd[285]: AccountServiceDelegate: Aceptando nueva conexión  conexión desde pid 538 con interfaz  (PID 538)

11/3/14 3:28:46.728 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) La clave _DirtyJetsamMemoryLimit no está disponible en esta plataforma.

11/3/14 3:28:46.765 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) La clave _DirtyJetsamMemoryLimit no está disponible en esta plataforma.

11/3/14 3:28:46.927 PM locationd[55]: No se pudo encontrar una cadena de requisitos para el cliente de enmascaramiento /System/Library/PrivateFrameworks/Parsec.framework

11/3/14 3:28:46.928 PM locationd[55]: no se pudo obtener una matriz de idiomas de Apple, asumiendo inglés

11/3/14 3:28:46.930 PM com.apple.xpc.launchd[1]: (com.apple.imfoundation.IMRemoteURLConnectionAgent) La clave _DirtyJetsamMemoryLimit no está disponible en esta plataforma.

11/3/14 3:21:19.295 PM com.apple.xpc.launchd[1]: (com.apple.PubSub.Agent[503]) Se ha activado el punto final a través de las API de lanzamiento heredadas. Cambie a XPC o bootstrap_check_in(): com.apple.pubsub.ipc

11/3/14 3:21:19.295 PM com.apple.xpc.launchd[1]: (com.apple.PubSub.Agent[503]) Se ha activado el punto final a través de las API de lanzamiento heredadas. Cambie a XPC o bootstrap_check_in(): com.apple.pubsub.notification

11/3/14 3:21:56.010 PM CoreServicesUIAgent[240]: mensaje inesperado  { count = 1, contents = "XPCErrorDescription" =>  { length = 18, contents = "Conexión no válida" }}>

11/3/14 3:22:29.019 PM nsurlstoraged[232]: DiskCookieStorage cambió la política de 0 a 2, archivo de cookies: file:///Users/username/Library/Cookies/Cookies.binarycookies

11/3/14 3:22:29.020 PM nsurlstoraged[232]: DiskCookieStorage cambió la política de 2 a 0, archivo de cookies: file:///Users/username/Library/Cookies/Cookies.binarycookies

La última entrada se repite 4000 veces

espero que eso ayude.

ejecuté ps auxw > pbefore.txt luego nuevamente en el pico ps auxw > pspike.txt luego ejecuté diff pbefore.txt pspike.txt las siguientes fueron las diferencias:

 > root   31   0.0  0.0  2518116   7808   ??  SNs   2:01PM   0:00.16 /usr/libexec/warmd
 > username   721   0.0  0.4  3797960  60316   ??  Ss    5:06PM   0:02.11 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent
 > username  720   0.0  0.2  3613208  26316   ??  Ss    5:06PM   0:00.10 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent
 > username   717   0.0  0.1  3590548  15744   ??  Ss    5:06PM   0:00.20 /System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.Networking.xpc/Contents/MacOS/com.apple.WebKit.Networking
 > username   710   0.0  0.0  2514028   6748   ??  S     5:05PM   0:00.09 /usr/libexec/webinspectord
 > username   709   0.0  0.0  2521108   7636   ??  S     5:05PM   0:00.05 /System/Library/PrivateFrameworks/AOSKit.framework/Versions/A/XPCServices/com.apple.iCloudHelper.xpc/Contents/MacOS/com.apple.iCloudHelper
 > username   708   0.0  0.1  2537796  15316   ??  S     5:05PM   0:00.22 /System/Library/PrivateFrameworks/SyncedDefaults.framework/Support/syncdefaultsd
Preguntado el 3 de Noviembre, 2014 por rwhite35

0 votos

Avatar de Chris

¿Has probado rm -f ~/Library/Cookies/Cookies.binarycookies, así como limpiar/restablecer los datos de cookies de Safari (desde la GUI)?

Comentado el 3 de Noviembre, 2014 por Chris

0 votos

Avatar de rwhite35

Hola Chris, lo intenté, pero volví a intentarlo de nuevo. Sin éxito. Todavía subiendo. Pero gracias por la idea.

Comentado el 3 de Noviembre, 2014 por rwhite35

0 votos

Avatar de Chris

Está bien. Para seguir avanzando en la línea de diagnóstico, ¿te importaría comprobar: 1) la lista de extensiones de Safari (Safari -> Safari Extensions). 2) en Terminal.app, si puedes ejecutar ps auxw antes de abrir Safari, luego después (durante el estado en el que tu CPU está aumentando), y diff eso, eso podría darte algunas pistas.

Comentado el 3 de Noviembre, 2014 por Chris
Mostrar 6 comentarios más

Respuestas

¿Demasiados anuncios?

1voto

rwhite35 avatar
rwhite35 Puntos 126

Pude limpiar el malware después de seguir un par de publicaciones, etc. Antes de comenzar, descargue Find Any File desde la tienda de aplicaciones. Esta es una utilidad gratuita que le permite buscar los archivos del sistema (entre otros) a través de una interfaz gráfica de usuario. También le permite eliminar fácilmente los archivos.

Nota: es posible que su malware tenga nombres de archivo diferentes, sin embargo, las ubicaciones de los recursos deberían ser las mismas.

Luego intente lo siguiente (crédito a Linc Davis perfil de Linc Davis):

Paso 1: Desde la barra de menú de Safari, selecciona Safari ▹ Preferencias... ▹ Extensiones Desinstala todas las extensiones que no sepas que necesitas, incluyendo aquellas que tengan las palabras "Spigot," "Trovi," o "Conduit" en la descripción. Si tienes dudas, desinstala todas las extensiones. Haz lo mismo para los navegadores Firefox y Chrome, si utilizas alguno de esos.

Restablece la página de inicio y el motor de búsqueda predeterminado en todos los navegadores, si fue cambiado.

Paso 2 (o usa la barra de búsqueda de Find Any File): Haz clic tres veces rápidamente en cualquier lugar de la línea a continuación en esta página para seleccionarla: /Library/LaunchAgents/com.vsearch.agent.plist

Haz clic derecho o control-clic en la línea y selecciona Servicios ▹ Mostrar en Finder (o simplemente Mostrar) en el menú contextual.* Debería abrirse una carpeta con un elemento llamado "com.vsearch.agent.plist" seleccionado.

Arrastra el elemento seleccionado a la Papelera. Es posible que se te solicite la contraseña de inicio de sesión de administrador. Repite con cada una de estas líneas:

/Library/LaunchDaemons/com.vsearch.daemon.plist /Library/LaunchDaemons/com.vsearch.helper.plist

Paso 3: Reinicia la computadora y vacía la Papelera. Luego elimina los siguientes elementos de la misma manera:

/Library/Application Support/VSearch /System/Library/Frameworks/VSearch.framework ~/Library/Internet Plug-Ins/ConduitNPAPIPlugin.plugin

Algunos de estos elementos pueden estar ausentes, en cuyo caso recibirás un mensaje de que el archivo no se puede encontrar. Salta ese elemento y continúa con el siguiente.

Me tocó hacer lo siguiente además de lo mencionado por Linc D. arriba. Es posible que su situación tenga un nombre diferente, pero es probable que el proceso y la ubicación de los archivos de malware sean los mismos.

Paso 1:
sudo rm -f ~/Library/Cookies/Cookies.binarycookies ingresa la contraseña

Paso 2: Selecciona Borrar historial y datos del sitio web desde el menú Safari; haz clic en el botón Borrar historial en el cuadro de diálogo. Esto restablece Safari

Paso 3: Luego forza a salir Safari desde el menú contextual haciendo clic en el ícono de Cnt + en el dock.

Paso 4: Finalmente, apaga completamente la máquina (Apagar, no Reiniciar) y luego reiniciela.

Respondido el 29 de Diciembre, 2014 por rwhite35 (126 Puntos )

0voto

MRC avatar
MRC Puntos 171

Utilice esta aplicación del desarrollador de confianza Thomas Reed http://www.adwaremedic.com/index.php siga las instrucciones y es simple y fácil de usar y hará todo el trabajo por usted sin esfuerzo

Respondido el 3 de Marzo, 2015 por MRC (171 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X