rcmdnk's blog
  1. Top
  2. Computer
  3. Mac

新しいウイルス入門 (ブルーバックス)

ウィルスっぽいソフトがインストールされてたので削除しました。

ウィスルっぽい動作

最近、rar拡張子のファイルをダウンロードしようとすると、 Do you want to use RarGenie to open this file type??という ポップアップが出るようになっていました。

同時に、たまにアクティビティモニターを見るとAppNIBというプロセスが 暴走して一つのコアの100%を使ってる様な状態になってる事がありました。

これら別々の問題だと思っていましたが、 どうも同じくMainorneというアップリのせいだったみたいです。

削除方法

RarGenieで検索してみると

removing rargenie Apple Support Communities

みたいに

~/Library/LaunchAgents/com.genieo.completer.ltvbit.plist

を削除せよ、みたいな事があるのですが、genieoと言う名のファイルはありませんでした。

代わりに~/Library/LaunchAgents

Mainorne.AppRemoval.plist
Mainorne.download.plist
Mainorne.ltvbit.plist
Mainorne.update.plist

というファイルがありました。

このMainorne.download.plist

Mainorne.download.plist 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>Label</key>
        <string>Mainorne.download</string>
        <key>ProgramArguments</key>
        <array>
                <string>/Users/user/Library/Application Support/Mainorne/Mainorne.app/Contents/MacOS/AppNIB</string>
                <string>-trigger</string>
                <string>download</string>
                <string>-isDev</string>
                <string>0</string>
                <string>-installVersion</string>
                <string>19751</string>
                <string>-firstAppId</string>
                <string>680970045</string>
                <string>-identity</string>
                <string>Mainorne</string>
        </array>
        <key>WatchPaths</key>
        <array>
                <string>/Users/user/Downloads</string>
        </array>
        <key>isAllowToSuggest</key>
        <string>false</string>
</dict>
</plist>

こんな感じになっていて、ダウンロードフォルダを監視して 何らかのファイルが加わったらAppNIBプロセスが起動するようになっています。

このAppNIBが上のRarGenieのポップアップを出してるんだと思います。

つまり、何かのダウンロードをしようとした時に AppNIBの暴走が始まって、さらにRarGenieポップアップも出てた、と。

このAppNIBMainorne.appというアプリの中にあるみたいですが、 このアプリは~/Library/Application Support/Mainorne/にあります。

一方、/Applicationsを見てみると、Mainorneというディレクトリがあり、 この中にはUninstall Mainorne.appUninstall_Readme.txtがありました。

Uninstall_Readme.txtの中にはMainorneをアンインストールするには Uninstall Mainorne.appを使いなさい、程度の事が書いてあるだけです。 実際行うのは、サーチエンジンをMainorneから元に戻す、及びMainorneのアプリ とダウンロードマネージャーを削除する、ということ。

怪しげファイルのアンインストーラーを使うのもちょっとあれですが、 取り敢えずアンインストーラーを実行してみると、 上の~/Library/LaunchAgentsに入ってたMainorne.XXX.plist/Library/Application Support/Mainorne/、 及び/Applications/Mainorneが全て消えていました。

その後、ダウンロードをしてもポップアップは出てこなくなり、 AppNIBの暴走も無くなりました。

サーチエンジンに関しては、アンインストール時にSafariの検索エンジンの変更について 聞かれましたが、 使ってませんでしたがどうもSafariのものが勝手に変更されてたみたいです。

ということで、AppNIBRarGenie等で困ったことになってたり、 Applicationsに見知らぬMainorneというディレクトリが出来てたりしたら 注意して調べてみたほうが良い、ということで。

まあ、それ以前に変なものを入れないように。。。

Sponsored Links
Sponsored Links

« Mac版Sophos Anti-Virusの権限問題解決版リリース Firefox 43.0リリース: LastPass等の一部のアドオンが一旦使えなくなる »

}