Pagina 3 di 3
Re: SystemExtr
Inviato: sab, 02 feb 2019 21:48
da faxus
Esegui questo comando con Terminale:
Codice: Seleziona tutto
sudo launchctl unload ~/Library/LaunchAgents/com.SystemExtr.plist
Di nuovo:
Codice: Seleziona tutto
sudo rm -rf ~/Library/SystemExtr ~/Library/LaunchAgents/com.SystemExtr.plist ~/Library/Caches/SystemExtr.SystemExtr
Riavvia subito
Re: SystemExtr
Inviato: dom, 03 feb 2019 00:08
da Liù
Ok, fatto. Dopo il riavvio il risultato di launchctl è questo (ho tolto anche SSDFanControl nel frattempo...):
Codice: Seleziona tutto
com.ciscosystems.ciscoconnectupgrade.daemon
com.adobe.versioncueCS4
com.paragon-software.ntfsd
com.paragon-software.ntfs.loader
com.ciscosystems.ciscoconnect.daemon
Adobe_Genuine_Software_Integrity_Service
com.github.IngmarStein.Monolingual.Helper
com.oracle.java.Helper-Tool
com.paragon-software.installer
com.wacom.displayhelper
com.intel.haxm
com.adobe.fpsaud
com.adobe.acc.installer.v2
org.macosforge.xquartz.privileged_startx
com.epson.esua.launcher
com.paragon-software.ntfs.notification-agent
com.openssh.ssh-agent
org.macosforge.xquartz.startx
com.paragon-software.facebook.agent
com.coppertino.VOXCloud
com.epson.epw.agent
com.oracle.java.Java-Updater
com.operasoftware.Opera.3192
DetectX non lo rileva più. Dovrebbe essersi risolto.
Re: SystemExtr
Inviato: dom, 03 feb 2019 12:34
da Liù
Come non detto, è tornato il messaggio di errore...
Re: SystemExtr
Inviato: dom, 03 feb 2019 13:51
da faxus
Posta l'intero contenuto di Profile.
Magari dividilo in due, ma se puoi non postare il lunghissimo pezzo finale.
Non ci interessa nel nostro caso (lascia solo fino a System Launch Agents e Daemons).
Posta anche il crash report di SystenExtr.
Come hai visto all'inizio di questo topic.
Per favore, segui scrupolosamente queste istruzioni.
Per non postare migliaia di righe inutili, ma solo le poche decine necessarie, con descrizione e thread crasciato:
Come si posta un resoconto di un Crash.Log
viewtopic.php?f=33&t=37701
Dobbiamo riuscire a capire qual'è il processo padre che lo rigenera.
Se lo troviamo possiamo risalire all'applicazione che...
Mi viene in mente...
Non è che hai collegati al Mac altri dischi sincronizzati, anche di backup o altri componenti?
Re: SystemExtr
Inviato: lun, 04 feb 2019 21:35
da Liù
Da Profile (parte 1)
Codice: Seleziona tutto
Timestamp (32): Mon Feb 04 21:05:44 2019
DetectX Swift v1.082
macOS: Version 10.14.2 (Build 18C54)
File System: apfs
Temp: The thermal state is within normal limits.
Boot time: Mon Feb 4 21:03:52 2019
Uptime: 2 mins, 1 user
Spotlight status for /:
Indexing enabled.
System Integrity Protection status: enabled.
Gatekeeper status: enabled for App Store and identified developers.
FileVault is Off.
Internet: Reachable
Hardware Overview:
Model Name: iMac
Model Identifier: iMac16,2
Processor Name: Intel Core i5
Processor Speed: 3,1 GHz
Number of Processors: 1
Total Number of Cores: 4
L2 Cache (per Core): 256 KB
L3 Cache: 4 MB
Memory: 8 GB
Boot ROM Version: 223.0.0.0.0
SMC Version (system): 2.32f20
Sharing Preferences:
File Sharing: On
Screen Sharing: Off
Remote Management: Off
Back To My Mac: Off
Remote Login: Off
Remote Apple Events: Off
3rd Party Kexts (loaded):
com.corel.painter.PainterAudioDriver
com.Perfect.Driver.SystemAudioRecorder
com.paragon-software.filesystems.ntfs
com.intel.kext.intelhaxm
$PATH:
PATH=/usr/bin:/bin:/usr/sbin:/sbin
/etc/paths:
/usr/local/bin
/usr/bin
/bin
/usr/sbin
/sbin
/etc/paths.d/:
/opt/X11/bin
/opt/ImageMagick/bin
~/.bash_profile:
$PATH
~/.nexustools
~/.bashrc:
~/.bash_login:
~/.profile:
~/.bash_logout:
User Launchd processes:
PID Status Label
- 0 com.epson.esua.launcher
477 0 com.sqwarq.DetectX-Swift.3240
414 0 com.paragon-software.ntfs.notification-agent
- 0 com.openssh.ssh-agent
- 78 /Users/lf/Library/UpdateMac/MacPerformance/MacPerformance
- 0 org.macosforge.xquartz.startx
- 0 com.paragon-software.facebook.agent
- 0 com.coppertino.VOXCloud
399 0 com.epson.epw.agent
- 0 com.oracle.java.Java-Updater
- 0 SystemExtr
System Launchd processes:
0 - com.adobe.acc.installer.v2
431 - com.paragon-software.installer
239 - com.vix.cron
0 - org.macosforge.xquartz.privileged_startx
0 - com.ciscosystems.ciscoconnect.daemon
0 - org.postfix.master
0 - com.adobe.versioncueCS4
430 - com.paragon-software.ntfsd
0 - com.ciscosystems.ciscoconnectupgrade.daemon
(dp) 0 com.intel.haxm
93 - Adobe_Genuine_Software_Integrity_Service
0 - org.cups.cupsd
0 - com.adobe.fpsaud
0 - com.wacom.displayhelper
0 - com.github.IngmarStein.Monolingual.Helper
0 - com.oracle.java.Helper-Tool
(dp) 0 com.paragon-software.ntfs.loader
User Login Items:
Agente base AirPort.app
ExpressVPN.app
Non dovrei avere ExpressVPN nei Login Items, l'ho disinstallato da secoli... Ma soprattuto MacPerformance non so da dove salti fuori...
Re: SystemExtr
Inviato: lun, 04 feb 2019 21:38
da Liù
Da Profile (parte 2)
Codice: Seleziona tutto
/Library/LaunchDaemons:
com.github.IngmarStein.Monolingual.Helper.plist
-> Program: /Library/PrivilegedHelperTools/com.github.IngmarStein.Monolingual.Helper
--> Program Arguments: /Library/PrivilegedHelperTools/com.github.IngmarStein.Monolingual.Helper
com.paragon-software.ntfs.loader.plist
--> Program Arguments: /sbin/kextload
--> Program Arguments: /Library/Extensions/ufsd_NTFS.kext
com.apple.aelwriter.plist
--> Program Arguments: /usr/sbin/AELWriter
com.adobe.agsservice.plist
--> Program Arguments: /Library/Application Support/Adobe/AdobeGCClient/AGSService
com.ciscosystems.ciscoconnect.daemon.plist
--> Program Arguments: /Library/PrivilegedHelperTools/com.ciscosystems.ciscoconnect.daemon
org.macosforge.xquartz.privileged_startx.plist
--> Program Arguments: /opt/X11/lib/X11/xinit/privileged_startx
--> Program Arguments: -d
--> Program Arguments: /opt/X11/lib/X11/xinit/privileged_startx.d
org.opensc.pcscd.autostart
com.ciscosystems.ciscoconnectupgrade.daemon.plist
--> Program Arguments: /Library/PrivilegedHelperTools/com.ciscosystems.ciscoconnectupgrade.daemon
com.wacom.displayhelper.plist
--> Program Arguments: /sbin/kextunload
--> Program Arguments: /System/Library/Extensions/AppleUSBFTDI.kext
com.adobe.acc.installer.v2.plist
-> Program: /Library/PrivilegedHelperTools/com.adobe.acc.installer.v2
--> Program Arguments: /Library/PrivilegedHelperTools/com.adobe.acc.installer.v2
com.paragon-software.installer.plist
-> Program: /Library/PrivilegedHelperTools/com.paragon-software.installer
com.adobe.fpsaud.plist
--> Program Arguments: /Library/Application Support/Adobe/Flash Player Install Manager/fpsaud
com.oracle.java.Helper-Tool.plist
--> Program Arguments: /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/Helper-Tool
com.paragon-software.ntfsd.plist
--> Program Arguments: /Library/Application Support/Paragon Software/com.paragon-software.ntfsd
com.adobe.versioncueCS4.plist
--> Program Arguments: /Library/Application Support/Adobe/Adobe Version Cue CS4/Server/bin/VersionCueCS4d
com.intel.haxm.plist
--> Program Arguments: /Library/Extensions/intelhaxm.kext/Contents/Resources/haxm_start.sh
/Library/LaunchAgents:
com.adobe.AdobeCreativeCloud.plist
-> Program: /Applications/Utilities/Adobe Creative Cloud/ACC/Creative Cloud.app/Contents/MacOS/Creative Cloud
--> Program Arguments: /Applications/Utilities/Adobe Creative Cloud/ACC/Creative Cloud.app/Contents/MacOS/Creative Cloud
--> Program Arguments: --showwindow=false
--> Program Arguments: --onOSstartup=true
com.paragon.updater.plist
--> Program Arguments: /Library/Application Support/Paragon Updater/Paragon Updater.app/Contents/MacOS/Paragon Updater
--> Program Arguments: --check
--> Program Arguments: --delay=30
com.adobe.CS4ServiceManager.plist
--> Program Arguments: /Library/Application Support/Adobe/CS4ServiceManager/CS4ServiceManager.app/Contents/MacOS/CS4ServiceManager
--> Program Arguments: -launchedbylogin
com.paragon-software.ntfs.notification-agent.plist
--> Program Arguments: /Library/Application Support/Paragon Software/com.paragon-software.ntfs.notification-agent.app/Contents/MacOS/NotificationAgent
com.epson.epw.agent.plist
--> Program Arguments: /Library/Printers/EPSON/InkjetPrinter/EPW/IJEPWAgent.app/Contents/MacOS/IJEPWAgent
com.adobe.GC.AGM.plist
-> Program: /Library/Application Support/Adobe/AdobeGCClient/AGMService
--> Program Arguments: /Library/Application Support/Adobe/AdobeGCClient/AGMService
--> Program Arguments: -mode=logon
com.paragon-software.facebook.agent.plist
-> Program: /Library/Application Support/Paragon Software/Paragon Software Facebook Agent.app/Contents/MacOS/Paragon Software Facebook Agent
org.macosforge.xquartz.startx.plist
--> Program Arguments: /opt/X11/lib/X11/xinit/launchd_startx
--> Program Arguments: /opt/X11/bin/startx
--> Program Arguments: --
--> Program Arguments: /opt/X11/bin/Xquartz
com.oracle.java.Java-Updater.plist
--> Program Arguments: /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/Java Updater.app/Contents/MacOS/Java Updater
--> Program Arguments: -bgcheck
com.adobe.AAM.Updater-1.0.plist
-> Program: /Library/Application Support/Adobe/OOBE/PDApp/UWA/UpdaterStartupUtility
--> Program Arguments: /Library/Application Support/Adobe/OOBE/PDApp/UWA/UpdaterStartupUtility
--> Program Arguments: -mode=logon
com.adobe.GC.Invoker-1.0.plist
-> Program: /Library/Application Support/Adobe/AdobeGCClient/agcinvokerutility
--> Program Arguments: /Library/Application Support/Adobe/AdobeGCClient/agcinvokerutility
--> Program Arguments: -mode=logon
com.epson.esua.launcher.plist
--> Program Arguments: /Applications/Epson Software/EPSON Software Updater.app/Contents/EPSON Software Updater Agent.app/Contents/MacOS/EPSON Software Updater Agent
~/Library/LaunchAgents:
com.MacPerformance.plist
-> Program: /Users/lf/Library/UpdateMac/MacPerformance/MacPerformance
com.SystemExtr.plist
-> Program: /Users/lf/Library/SystemExtr/SystemExtr.app/Contents/MacOS/SystemExtr
com.partitioning.ay.plist
-> Program: /Users/lf/Library/partitioning.ay/partitioning.ay.app/Contents/MacOS/partitioning.ay
com.adobe.GC.Invoker-1.0.plist
-> Program: /Library/Application Support/Adobe/AdobeGCClient/agcinvokerutility
--> Program Arguments: /Library/Application Support/Adobe/AdobeGCClient/agcinvokerutility
--> Program Arguments: -mode=scheduled
Re: SystemExtr
Inviato: lun, 04 feb 2019 21:42
da Liù
Crash log
Codice: Seleziona tutto
Process: SystemExtr [3338]
Path: /Users/USER/Library/SystemExtr/SystemExtr.app/Contents/MacOS/SystemExtr
Identifier: SystemExtr.SystemExtr
Version: 1.0 (1)
Code Type: X86-64 (Native)
Parent Process: ??? [1]
Responsible: SystemExtr [3338]
User ID: 501
Date/Time: 2019-02-04 20:57:24.038 +0100
OS Version: Mac OS X 10.14.2 (18C54)
Report Version: 12
Anonymous UUID: 898954EA-E6DD-39DD-EC58-0BF9A6081154
Time Awake Since Boot: 110000 seconds
System Integrity Protection: enabled
Crashed Thread: 0 Dispatch queue: com.apple.main-thread
Exception Type: EXC_BAD_INSTRUCTION (SIGILL)
Exception Codes: 0x0000000000000001, 0x0000000000000000
Exception Note: EXC_CORPSE_NOTIFY
Termination Signal: Illegal instruction: 4
Termination Reason: Namespace SIGNAL, Code 0x4
Terminating Process: exc handler [3338]
Application Specific Information:
Fatal error: 'try!' expression unexpectedly raised an error: CryptoSwift.AES.Error.invalidData: file /BuildRoot/Library/Caches/com.apple.xbs/Sources/swiftlang_Fall2018/swiftlang_Fall2018-1000.11.42/src/swift/stdlib/public/core/ErrorType.swift, line 184
Thread 0 Crashed:: Dispatch queue: com.apple.main-thread
0 libswiftCore.dylib 0x000000010b9002c0 specialized _assertionFailure(_:_:file:line:flags:) + 144
1 libswiftCore.dylib 0x000000010b9627a3 swift_unexpectedError + 307
2 SystemExtr.SystemExtr 0x000000010b63889d 0x10b627000 + 71837
3 SystemExtr.SystemExtr 0x000000010b62f09c 0x10b627000 + 32924
4 SystemExtr.SystemExtr 0x000000010b62e246 0x10b627000 + 29254
5 SystemExtr.SystemExtr 0x000000010b62e499 0x10b627000 + 29849
6 com.apple.CoreFoundation 0x00007fff37847712 __CFNOTIFICATIONCENTER_IS_CALLING_OUT_TO_AN_OBSERVER__ + 12
7 com.apple.CoreFoundation 0x00007fff3784768c ___CFXRegistrationPost_block_invoke + 63
8 com.apple.CoreFoundation 0x00007fff378475ad _CFXRegistrationPost + 398
9 com.apple.CoreFoundation 0x00007fff3784fa09 ___CFXNotificationPost_block_invoke + 87
10 com.apple.CoreFoundation 0x00007fff377b71aa -[_CFXNotificationRegistrar find:object:observer:enumerator:] + 1633
11 com.apple.CoreFoundation 0x00007fff377b656d _CFXNotificationPost + 742
12 com.apple.Foundation 0x00007fff39b3ea7b -[NSNotificationCenter postNotificationName:object:userInfo:] + 66
13 com.apple.AppKit 0x00007fff34d3b64a -[NSApplication _postDidFinishNotification] + 313
14 com.apple.AppKit 0x00007fff34d3af6e -[NSApplication _sendFinishLaunchingNotification] + 209
15 com.apple.AppKit 0x00007fff34d388c8 -[NSApplication(NSAppleEventHandling) _handleAEOpenEvent:] + 552
16 com.apple.AppKit 0x00007fff34d38517 -[NSApplication(NSAppleEventHandling) _handleCoreEvent:withReplyEvent:] + 690
17 com.apple.Foundation 0x00007fff39b89144 -[NSAppleEventManager dispatchRawAppleEvent:withRawReply:handlerRefCon:] + 287
18 com.apple.Foundation 0x00007fff39b88fc0 _NSAppleEventManagerGenericHandler + 102
19 com.apple.AE 0x00007fff38a6eb93 aeDispatchAppleEvent(AEDesc const*, AEDesc*, unsigned int, unsigned char*) + 1855
20 com.apple.AE 0x00007fff38a6e3fd dispatchEventAndSendReply(AEDesc const*, AEDesc*) + 41
21 com.apple.AE 0x00007fff38a6e2d5 aeProcessAppleEvent + 439
22 com.apple.HIToolbox 0x00007fff36a8310e AEProcessAppleEvent + 55
23 com.apple.AppKit 0x00007fff34d34644 _DPSNextEvent + 1734
24 com.apple.AppKit 0x00007fff34d33102 -[NSApplication(NSEvent) _nextEventMatchingEventMask:untilDate:inMode:dequeue:] + 1362
25 com.apple.AppKit 0x00007fff34d2d165 -[NSApplication run] + 699
26 com.apple.AppKit 0x00007fff34d1c8a3 NSApplicationMain + 780
27 SystemExtr.SystemExtr 0x000000010b62cb89 0x10b627000 + 23433
28 libdyld.dylib 0x00007fff64a24ed9 start + 1
Re: SystemExtr
Inviato: mar, 05 feb 2019 10:59
da faxus
La mia opinione è che hai installato, da vedere in che modo se fosse possibile ricostruirlo, un ramsonware.
Ovviamente non può funzionare su macOS, come ho spiegato più volte.
Qualche adware con aspetti da malware ha cercato, e cerca, di iniziare una criptazione dei contenuti del tuo utente.
La struttura di sistema non permette di eseguire la routine.
Interviene un "errore fatale" e crolla il processo.
Posso ipotizzare almeno due o tre motivi per cui si verifica (al momento li possiamo tralasciare).
Dato che non esiste una casistica sto cercando un po' di documentazione.
Magari mettendo su un comando globale per risolvere.
Ti confermo che intanto non corri pericoli, solo fastidi.
Pazienta un attimo ed eventualmente rispondi ad altre domande
Re: SystemExtr
Inviato: mar, 05 feb 2019 21:01
da Liù
No problem, aspetto con fiducia che so essere ben riposta.
Grazie per l'impegno e l'interessamento.
Re: SystemExtr
Inviato: sab, 16 mar 2019 12:53
da faxus
Liù ha scritto: ↑mar, 05 feb 2019 21:01
No problem, aspetto con fiducia...
Come la situazione?.
Come vedi sto esplorando questa specie di malware
https://www.imaccanici.org/forum/viewto ... 27#p497027
Fammi sapere se hai ancora problemi così affiniamo la tecnica di disinstallazione
Re: SystemExtr
Inviato: lun, 25 mar 2019 09:53
da faxus
Brutte notizie per te...
Si chiama Shlayer
viewtopic.php?f=9&t=45219
Re: SystemExtr
Inviato: lun, 15 apr 2019 17:00
da Liù
D'oh!
In realtà non ho memoria di aver visitato certi siti in quel periodo (intendo a inizio dicembre, da quanto ho iniziato a riscontrare l'errore), ricordo invece di aver installato un flash player che non era un flash player... Non ci si può distrarre un attimo...
Beh io aspetto ancora un po' prima di reinstallare da zero, sono fiduciosa
Re: SystemExtr
Inviato: lun, 15 apr 2019 18:51
da faxus
Liù ha scritto: ↑lun, 15 apr 2019 17:00
... sono fiduciosa...
Va bene...
Però pensa che la mia scoperta di Shlayer è partita dall'analisi della tua situazione.
Con gli elementi che ho visto del tuo sistema sono giunto alle notizie e a capire di che si tratta.
Comunque fammi sapere come va.
Sarebbe una buona notizia per tutti sapere che il "paziente zero" di Slayer di questo Forum è "guarito" senza fare nulla...