Cómo encontrar y eliminar un instalador que se inicia automáticamente en el momento del arranque

1

Preguntando en nombre de un niño que no recuerda si / cuando alguna aplicación se actualizó y requirió un reinicio para completar la instalación.

OSX 10.8.5, MacBook Pro. Esto es lo que sucede: al reiniciar, aparece una ventana de diálogo con el ícono "paquete" y pregunta "¿Continuar con la instalación?" y uno debe seleccionar 'sí' o 'abortar'.

Si se selecciona 'sí', entonces un proceso que es propiedad del usuario se ejecuta para siempre y, por cierto, consume una gran cantidad de RAM. Si se selecciona 'yes' o 'abort', aparece el mismo cuadro de diálogo en el siguiente reinicio.

En el Monitor de actividad, el proceso se llama "Instalador".

Las cosas que sabemos no se iniciaron: cualquier actualización del sistema.

Mi descendencia recuerda vagamente que comenzó a actualizar "alguna aplicación" que luego se eliminó de la máquina. Suponiendo que ese sea el caso, este instalador parece estar colgado tratando de llegar a archivos que no existen.

Entonces, en cualquier caso, ¿hay algún archivo que pueda eliminar que impida que el instalador se inicie al reiniciar? Si hay algo que pueda hacer para proporcionar más información sobre qué o dónde está esta aplicación de instalación, avíseme y lo publicaré.

    
pregunta Carl Witthoft 21.01.2015 - 19:54

3 respuestas

1

Además de los elementos de inicio de sesión (abra el panel Usuarios y grupos de Preferencias del sistema), prueba esto.

En la Terminal, escriba

ls ~/Library/LaunchAgents

Verá sus agentes de lanzamiento "personales".

Para ver todos los agentes cargados actualmente, escriba esto:

launchctl list

Si puede identificar el que no desea, use la opción de descarga:

launchctl unload ~/Library/LaunchAgents/whateverItIsYouWantToUnload
    
respondido por el Gene De Lisa 21.01.2015 - 20:34
0

Mi sugerencia sería ejecutar una aplicación llamada Etrecheck y publicar los resultados en su pregunta original o en una gist aquí y luego actualice la pregunta con un enlace a la gist. Esto podría ser una infección de malware. La salida de Etrecheck podría ayudar a confirmar esto. Es muy sospechoso para mí que algo afirme ser un "Instalador" pero no te diga lo que está instalando.

Alternativamente, puede usar el Monitor de actividad para identificar lo que está iniciando el instalador. Dentro del Monitor de actividad, seleccione el proceso del instalador, luego haga clic en el botón Información (o presione las teclas y I ) para abrir la ventana del Inspector para ese proceso. Si hace clic en la pestaña "Abrir archivos y puertos", le dirá desde dónde se está ejecutando el instalador. La primera entrada en la lista debe ser la ubicación del archivo ejecutable real. Por lo tanto, podría detener el proceso y luego ir a esa ubicación y eliminar o mover la aplicación a otra ubicación. Tenga en cuenta que en la captura de pantalla debajo de /Users/alistair/Downloads/EtreCheck.app/Contents/MacOS/EtreCheck está el proceso, pero /Users/alistair/Downloads/EtreCheck.app es el paquete de aplicaciones que encontrará en Finder. Si aún no está seguro de qué es el instalador, proporcionarnos la ruta completa del ejecutable en un comentario podría ayudarnos a identificarlo si es algo malicioso.

    
respondido por el Alistair McMillan 22.01.2015 - 00:59
0

No ejecute el EtreCheck. It es casi seguramente un malware. ¿Qué se puede hacer para detener el malware "EtreCheck"?

Para agregar a la respuesta de la otra persona, verificar sus agentes de lanzamiento es una buena idea, pero su recomendación solo buscará los agentes de inicio iniciados por el nombre de usuario del usuario activo y pasará por alto a aquellos que se enumeran bajo el usuario raíz / por el sistema o cualquier otro. otro usuario Si escribe sudo, se mostrarán los agentes de inicio del sistema y, para el resto de "usuarios" aleatorios, puede intentar usar "sudo launchctl asusuer 502 launchctl list", donde 502 sería el UID del otro usuario. "dscl -raw localhost -readall / Local / Default / Users" le mostrará todos los identificadores únicos disponibles. El Monitor de actividad le mostrará todos los demás nombres de usuario que actualmente tienen un proceso, pero para ver todas las listas no cargadas que necesita para usar launchctl.

Sé que esto es historia antigua pero quería mencionar esos 2 elementos.

    
respondido por el David Smith 25.02.2018 - 13:34

Lea otras preguntas en las etiquetas