No se pueden encontrar/eliminar secuestradores de navegador

Mi compañera de cuarto me trajo su iMac esta tarde porque se ha estado comportando muy mal desde que se actualizó a High Sierra. Resulta que su novio ha metido mucho malware en él, y estoy teniendo problemas reales para deshacerme de él.

El mayor culpable es un conjunto de secuestradores de navegador (pueden estar todos relacionados o pueden ser malware separado, no estoy seguro), incluidos los conocidos como G-Search.Pro y otros (feedvertizus, beleelashopper, etc. ).

No puedo averiguar dónde se han pegado estas cosas para deshacerme de ellas. Hasta ahora, tengo:

  • Eliminé cualquier aplicación instalada que no reconocí.
  • Instalé y ejecuté MalwareBytes, que afirma que no tengo malware.
  • Instalé y ejecuté AVG Anti-Virus, que afirma que estoy limpio.
  • Chrome y Firefox completamente eliminados de la máquina y reinstalados.
  • Revisé las carpetas de LaunchAgents en /Library, /System/Library y /Users/user/Library en busca de algo extraño.
  • Revisé las carpetas de LaunchDemons en los mismos lugares.
  • Se eliminó cualquier cosa de las carpetas de soporte de aplicaciones que pareciera sospechosa.

Todo fue en vano. Una instalación limpia y nueva de Chrome se infecta inmediatamente con G-Search.pro y estas otras cosas. Estoy en mi límite de conocimiento de OS X, así que no tengo idea de dónde más buscar.

¿Dónde podrían estar escondidas estas cosas o adónde puedo ir (¿hay registros del sistema, etc.?) para averiguarlo?

Revisaría las carpetas de datos de Chrome y Firefox. No recuerdo exactamente dónde están, y ahora estoy AFK (usando mi teléfono), pero están en algún lugar de las carpetas de la Biblioteca mencionadas anteriormente.
Los encontré y los borré también. ¿Hay algún tipo de carpeta de tipo "preferencias globales" donde las cosas puedan registrarse?
Mencionaste haber eliminado y reinstalado por completo Chrome y Firefox, pero ¿qué pasa con Safari? Obviamente, está instalado en el sistema, así que también lo revisaría. Inicie Safari, vaya a Safari > Preferencias, seleccione la pestaña Extensiones y busque señales de GSearchPro, etc. allí.
Crea una cuenta nueva. Si el problema desaparece, no es para todo el sistema. Probablemente sea más fácil simplemente migrar datos que emprender una búsqueda interminable de malware.
Hay artículos "cómo deshacerse de g-search.pro", etc. (Me doy cuenta de que este fue solo uno entre muchos y no abordé ningún otro). Desde un aspecto de seguridad, la pregunta se convierte en "¿cómo puedes saber que encontraste todo?" Por esta razón, tiendo a recomendarle (a) hacer una copia de seguridad de todos sus datos importantes (documentos, fotos, etc.) y (b) hacer una limpieza completa y reinstalar, luego (c) restaurar solo los datos (no ' restaurar aplicaciones... es más seguro volver a descargar aplicaciones e instalarlas desde una fuente conocida).

Respuestas (1)

En caso de que alguien más se infecte con esto, esto es lo que finalmente descubrí:

El virus había instalado un proxy web local y un servicio en segundo plano que supervisaba constantemente la configuración del proxy del sistema y los "restauraba" para que apuntaran a sí mismo. Descubrí esto cuando noté que Safari lanzaba advertencias de SSL para todo, y que YouTube devolvía respuestas vacías y errores de proxy al intentar ver videos.

El proxy también parece haber impedido que funcione la sincronización de Chrome y me impide activar varios programas antivirus que requieren activación en línea.

Pude encontrarlo usando lsof para ver qué estaba escuchando en el puerto que seguía configurándose como el proxy local. Había instalado una aplicación mono usando el paquete NuGet del proxy web Titanium, en /usr/local/srcsrv.

Una vez que eliminé eso, el comportamiento del navegador web volvió a la normalidad, excepto por la página "Nueva pestaña" en Google que aún apuntaba a G-Search.pro. Todavía no he intentado eliminar y reinstalar Chrome por segunda vez, pero agregué varios dominios a /etc/hosts para evitar que llamen a casa.

La respuesta anterior funcionó para mí. Terminé eliminando casi todo en /usr/local/srcsrv. Luego reinicié la computadora y la conexión de red no funcionó. Tuve que ir a Red -> Avanzado -> Proxies para anular la selección de los proxies HTTP y HTTPS que estaba usando el malware. Después de eso, Internet funcionó y los servicios de proxy no se reiniciaron.
No se pueden encontrar/eliminar secuestradores de navegador
RespuestasAquíPolítica de privacidad1y, 0v