3 votos

Eliminando randomwhere, malware(leadingsignsearch) de [Seguridad y privacidad] - [Acceso completo al disco]

Sé que debería haber tenido cuidado cuando descargué cosas no deseadas por primera vez, pero las cosas suceden.

Eliminarlos de /Library/LaunchDaemons o configuraciones de cada navegador, cualquier cosa manualmente se hace. Perfil borrado, pero de esta sección en particular:

error

- en la parte inferior de la ventana derecha no funcionará. No responderá al clic del ratón. Como puedes ver, ya he desbloqueado.

Por favor, que alguien me avise. Necesito que sean erradicados.

0 votos

Intenta Malwarebytes para ver si te ayuda.

0 votos

¿Puedes simplemente desmarcar la marca de verificación?

1voto

klanomath Puntos 19587

¡Prueba la herramienta de línea de comandos de Apple tccutil! El uso general es:

tccutil command service bundleIdentifier

Actualmente solo se implementa un comando (reset). El servicio es el elemento protegido (por ejemplo, Micrófono o Fotos). El bundleIdentifier es el identificador de paquete de la aplicación que tiene acceso a servicios protegidos.

  1. Abre Terminal

  2. Obtén el bundleIdentifier de las aplicaciones a eliminar:

    mdls -name kMDItemCFBundleIdentifier -r /Applications/Some.app #Some.app es solo un ejemplo.app

    Ejemplo real:

    host:~ user$ mdls -name kMDItemCFBundleIdentifier -r /Applications/Utilities/Terminal.app
    com.apple.Terminal

    Más métodos para obtener el bundleIdentifier: Obteniendo el identificador de paquete de una aplicación de OS X en un script de shell. La aplicación a eliminar no necesariamente está en /Applications o /Applications/Utilities/.

  3. Elimina todos los permisos para la aplicación:

    tccutil reset All bad.axisofevil.randomwhere #bad.axisofevil.randomwhere es solo un identificador de paquete de ejemplo

El exec de RansomWhere? tiene un (null) bundleIdentifier. Sin embargo, el plist del launch daemon asociado contiene un com.objective-see.ransomwhere, que parece ser un identificador de paquete típico. Probaría con este primero.

PD: RansomWhere? no es un ransomware, sino una herramienta de seguridad disponible aquí: RansomWhere?


Enfoque alternativo:

Descarga tccutil (v1.2.5) desde github. Aunque no está relacionado con la herramienta de línea de comandos de Apple, tiene el mismo nombre. También está disponible a través de brew, pero aparentemente está desactualizado allí (v1.2.2) y no funcionará con Catalina.

  1. Desactiva SIP

  2. Descarga tccutil desde github.com/jacobsalmela/tccutil (enlace directo: tccutil)

  3. Descomprime el tccutil-master.zip descargado

  4. tccutil es un script de Python.

  5. En la línea de comandos ingresa (en el ejemplo a continuación, descargué el zip en Downloads y lo descomprimí allí - aplica la ruta a tu entorno respectivamente):

    -h para obtener un texto de ayuda breve

    sudo python $USER/Downloads/tccutil-master/tccutil.py -h

    -l para listar todos los elementos en la base de datos de accesibilidad

    sudo python $USER/Downloads/tccutil-master/tccutil.py -l

    -r para eliminar una aplicación/entrada

    sudo python $USER/Downloads/tccutil-master/tccutil.py -r /path/to/example.app|bundleIdentifier
  6. Activa SIP

0 votos

Esta puede ser una pregunta tonta, pero ¿se supone que debo escribir el término de malware en lugar de Some? Me sale el error Some.app: could not find Some.app. jaja

0 votos

Tienes que obtener el bundleIdentifier de LeadingSignSearch y RansomWhere?. Some.app es solo un ejemplo de aplicación. Puedo decirte el bundle identifier de este último en unos minutos (después de instalarlo en una máquina virtual). LeadingSignSearch aparentemente no está instalado en ninguna de mis máquinas pero podría obtenerlo (y su bundleIdentifier) pronto - tarda varios minutos hasta algunas horas.

0 votos

Eliminar de todos los LaunchAgents y Daemons en sí resolvió la mayoría del problema, volví a intentar tu sugerencia un poco tarde. Gracias por tu ayuda, fue un poco más complicado que los demás. ¡Espero que no te infectes! @klanomath

1voto

awy Puntos 500
tccutil reset SystemPolicyAllFiles

restablecerá los permisos de todas las aplicaciones de Acceso total a disco. Deberá volver a permitirlas una vez más.

https://c-command.com/spamsieve/help/security-privacy-acce

0 votos

¡Dios mío, ¿dónde encuentran las personas estos recursos? ¿Sabes cómo alternar entre los resultados de la búsqueda web? Un amigo me mostró cómo hacerlo, con flechas (>) que aparecen a la izquierda de cada elemento, pero no lo puedo recrear ni encontrar...

0 votos

Oh, eso es amable:) Solo navego por este sitio. // Tab haría eso. Y para retroceder y avanzar en el historial, CMD y corchetes cuadrados.

0 votos

No, eso no es lo que estoy buscando

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X