Proceso de lanzamiento oculto

Navega tus respuestas
2

Tengo un proceso en mi computadora que mantiene el registro en el sistema. 

May  2 19:50:06 laptop com.apple.xpc.launchd[1] (com.coconut-flavour.coconutBattery-Helper[23430]): Could not find and/or execute program specified by service: 155: Refusing to execute/trust quarantined program/file: com.coconut-flavour.coconutBattery-Helper

No puedo averiguar dónde se encuentra el proceso.

Lo que he intentado: 

sudo launchctl list | grep com.coc

sudo find / -iname com.coconut-flavour.coconutBattery-Helper

También he intentado muestrear y encontrar el proceso en el servicio launchd en el monitor de actividad.

No parece existir. ¿Alguien sabe qué podría estar pasando?

    
pregunta Dobler 03.05.2017 - 04:53

2 respuestas

4

Perdona mi ausencia y mi pronta respuesta. Está bien, vamos a llevar esto al siguiente nivel.

Intentemos ubicar a CoconutBattery o Sparkle, un dependiente, al parecer. ¿Encuentra un 'coconutBattery.app' en / Aplicaciones, o alguna aplicación similar? 

sudo find /Applications -iname "*coconut*" -print    
sudo find /Applications -iname "*sparkle*" -print

¿Hay un recibo de paquete relevante en la utilidad del paquete? 

sudo pkgutil --pkgs | grep -i coconut
sudo pkgutil --pkgs | grep -i sparkle

Un método brutal para encontrar listas, archivos de preferencias: 

sudo grep -l -i "coconut" -r /System/Library/
sudo grep -l -i "sparkle" -r /System/Library/
sudo grep -l -i "coconut" -r /Library/
sudo grep -l -i "sparkle" -r /Library/

sudo grep -l -i "sparkle" -r /private/var/
sudo grep -l -i "sparkle" -r /private/etc/
sudo grep -l -i "coconut" -r /private/var/
sudo grep -l -i "coconut" -r /private/etc/

= - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = = = - = - = - = - = - = - = - = - = - = - =

Situación interesante.

Primero, determinemos en qué contexto de usuario se está ejecutando el servicio: inicio de sesión usuario o raíz. Sospecho que el servicio podría estar ejecutándose en el contexto de usuario de inicio de sesión, lo que explicaría por qué no lo encontrará ejecutando ' launchctl list ' como root (a través de sudo ). Una comprobación rápida: 

launchctl list | grep -i "com.coco"

Evite añadir 'sudo' al comando launchctl.

Además, el identificador del proceso se informa en los mensajes de registro del sistema, que se encuentran dentro de los corchetes [].

  

com.coconut-flavour.coconutBattery-Helper[23430TERED-/em>

El PID es 23430, en ese ejemplo. Sugiero usar un ps como este: 

ps -wwwAxo pid,ppid,state,%mem,%cpu,command | grep -i coco

O grep el PID que descubres en el syslog de esta manera: 

ps -wwwAxo pid,ppid,state,%mem,%cpu,command | grep 23430

Si mi corazonada es correcta, y es en el contexto de su usuario de inicio de sesión que se ejecuta el servicio, busque la lista ofensiva en algo como: 

/Users/[your login user's short name]/Library/LaunchAgents

Un método rápido y sucio: 

grep -r -i "coco" ~/Library/LaunchAgents/

Esto debería identificar el ataque ofensivo. Si no, hágamelo saber y luego llevaremos la búsqueda al siguiente nivel.

    
respondido por el Francis from ResponseBase 03.05.2017 - 12:52
2

Es posible que desee probar la utilidad LaunchControl. Es gratis y mostrará todos los launchdaemons / agents, lo que hacen, y le permite deshabilitar / habilitar. Muy práctico.

enlace

    
respondido por el Hefewe1zen 03.05.2017 - 15:57

Lea otras preguntas en las etiquetas

Is ~ / Applications new con Lion? Gestión de ventanas - Mover ventana