Jei jūsų „Mac“ kompiuteryje nuolat pasirodo pranešimas „Malware Blocked“ – tai ženklas, kad jūsų sistema dirba savo darbą, bet turite kenkėją. Bet kodėl perspėjimas neišnyksta, net kai virusas jau užblokuotas?
Jei jūsų „Mac“ kompiuteryje pasirodo pasikartojantys „Malware Blocked“ pranešimai, tai greičiausiai reiškia, kad „macOS“ užkirto kelią kenkėjiškos programos veikimui. Tačiau pats perspėjimas išlieka, kol tam tikri failai vis dar bando paleisti užblokuotą programą.
Šiame straipsnyje paaiškinsiu, ką šie įspėjimai reiškia ir kaip saugiai pašalinti šiuos pranešimus bei suprasti, kas juos sukelia.
Kas yra „Malware Blocked“ perspėjimai?
Šie įspėjimai reiškia būtent tai, ką sako – jūsų „Mac“ aptiko kenkėjišką programą ir ją sustabdė. Tai reiškia, kad jūs esate saugus, jokia žala sistemai nepadaryta, o „macOS“ atliko savo darbą.
Tačiau, kad įspėjimai liautųsi, reikia pašalinti failus, kurie vis dar bando paleisti tą užblokuotą programą.
Kaip pašalinti „Malware Blocked“ perspėjimus
„macOS“ turi sistemą, kuri leidžia tam tikriems failams automatiškai paleisti programas – tai yra launch agents ir launch daemons. Jie naudojami teisėtai, pavyzdžiui, kad programa startuotų prisijungus. Bet kenkėjiškos programos tuo piktnaudžiauja.
Net jei pati kenkėjiška programa jau užblokuota, šie agentai vis tiek bando ją paleisti. Būtent tada pasirodo nuolat erzinantys pranešimai.
Kur ieškoti pavojingų agentų ar daemonų?
Jie visada saugomi vienoje iš trijų vietų:
/Library/LaunchDaemons
/Library/LaunchAgents
~/Library/LaunchAgents (čia ~ reiškia jūsų naudotojo namų katalogą).
Atidarykite šiuos aplankus per „Finder“ ir ieškokite įtartinų .plist failų.
Kaip atskirti teisėtus ir įtartinus failus?
Teisėti „launch“ failai paprastai atrodo taip: prefiksas.kūrėjas.aplikacija.plist
Pvz.: com.logi.optionsplus.updater.plist, org.mozilla.firefox.plist ar com.dropbox.DropboxMacUpdate.agent.plist ir panašiai.
- Prefixas: dažniausiai tai būna com, tačiau gali būti ir kitokių. Pavyzdžiui, org, at, fr, us ir panašūs.
- Kūrėjas: tai yra aplikacijos kūrėjo pavadinimas. Pavyzdžiui, viduriniame aplanke matomi launch agent failai, priklausantys „Logitech“ aplikacijai „Options+“ – su naudojamu kūrėjo pavadinimu „logi“.
- Aplikacija (aplikacijos pavadinimas): nebūtinai bus visiškai toks pats, kaip atidaromos aplikacijos pavadinimas. Aukščiau pateiktame pavyzdyje yra „Dropbox“ agentas „DropboxMacUpdate“, skirtas „Droopbox“ aplikacijos atnaujinimams.
- plist: tai trumpinys nuo “properties list”, t.y. savybių sąrašas – dažnas konfigūracijos failo formatas „macOS“ sistemose.
Kai kurie kenkėjų .plist failai būna labai akivaizdūs, kitiems „pagauti“ reikia kiek atidžiau į juos pažiūrėti: com.apple.Yahoo.plist ar com.apple.Google.plist. Trečius atskirti „nepasikausčiusiam“ gali būti sudėtingiau. Pavyzdžiui tokie .plist failai kaip: com.apple.update.plist, com.apple.iCloud.sync.daemon.plist ar com.apple.system.plist" gali atrodyti labai panašūs į gerus. Toks pavadinimas skatina manyti, kad tai yra oficialus „Apple“ failas, bet „Apple“ nėra sukūrusi tokio plist. Kenkėjai specialiai naudoja tokio tipo pavadinimus, kad: išvengtų vartotojų dėmesio, išvengtų antivirusinių programų aptikimo, atrodytų kaip teisėtas sistemos failas.
Kenkėjiški failai:
- dažnai naudoja atsitiktinius pavadinimus,
- gali atrodyti kaip „LauncherAgent“, „com.123abc.plist“, arba tiesiog nesuprantami raidžių/skaičių deriniai.
Jei pavadinimas nėra aiškiai susijęs su žinoma aplikacija, verta į jį atkreipti dėmesį. Tiesa, neskubėkite jo trinti, o prieš tai išsiaiškinkite kuriai aplikacijai jis priklauso. Nedažnai, bet būna, kad kai kurių aplikacijų kūrėjai nutaria paleidimo .plist failus pavadinti paprastai, pavyzdžiui „OpenRGB.plist“
Kenkėjiškų failų pašalinimas
- Paleiskite „Mac“ saugiuoju režimu (laikykite nuspaustą Shift ⇧, kai įsijungia kompiuteris).
- Atidarykite visus tris aplankus paminėtus aukščiau.
- Ištrinkite įtartinus .plist failus (perkelkite į šiukšlinę).
- Perkraukite „Mac“ įprastai.
- Stebėkite, ar perspėjimai vis dar pasirodo.
- Jei viskas gerai – ištuštinkite šiukšlinę. Jei ne – patikrinkite, ar neliko kitų failų.
Šis veiksmas nesunaikins pačios kenkėjiškos programos, bet ji niekada nebebus paleista (bent jau automatiškai).
Ar reikia šalinti pačią kenkėjišką programą?
Kadangi „macOS“ automatiškai izoliuoja pavojingą programą, nereikia jos pašalinti rankiniu būdu – tai gali būti netgi rizikinga.
Tačiau verta prisiminti: jei jau buvote užkrėstas, gali būti likusių arba naujų kenkėjiškų programų. Todėl primygtinai rekomenduojama atlikti visos sistemos tikrinimą su patikimu saugumo įrankiu, pvz. „Malwarebytes“.
Apibendrinimas
- „Malware Blocked“ = „macOS“ jus saugo.
- Įspėjimai atsiranda, kai sistemoje likę failai vis dar bando paleisti pavojingą programą.
- Juos pašalinti galima saugiai, pašalinus „launch“ failus.
- Geriausia – užbaigti viską atlikus sisteminį antivirusinį skenavimą.