วิธีการปิดการใช้งานหรือลบ YaraScanService (MRT.app)


2

เมื่อเร็ว ๆ นี้ใน MacOS 10.13.6 ฉันสังเกตเห็นการใช้งาน CPU สูงและระบุกระบวนการYaraScanServiceว่าใกล้เคียงกับ CPU 90%

การตรวจสอบกิจกรรมแสดงไว้ภายใต้:

/System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

MRT.appเป็นส่วนหนึ่งของ

ตามด้ายนี้และอีกอันหนึ่งดูเหมือนว่าเป็นแอนติไวรัสในตัวที่กำลังทำการสแกน แต่ดูเหมือนว่าจะไม่มีวิธีการปิดการใช้งานหรือลบมันออกจากการฆ่ามันจาก Activity Monitor หรือด้วย pkill .

ตัวชี้ใด ๆ เกี่ยวกับวิธีควบคุมหรือหยุด / ปิดการใช้งาน

MRT.appถูก timestamped เมื่อวันที่ 10 ส.ค. 2018 พร้อมกับพวงของโฟลเดอร์อื่น ๆ (เห็นได้ชัดเมื่อวันที่ฉันได้รับการยอมรับการอัปเดตแอปเปิ้ล) ก ไฟล์ส่วนใหญ่ในโฟลเดอร์จะถูกประทับเวลา 4-Jul-2018 และ 8-Jul-2018 ตามที่คาดการณ์ไว้เมื่อ Apple เปิดตัวแอพ

คำตอบ:


4

ตามที่กล่าวไว้ในบทความนี้ YaraScanService เป็นส่วนหนึ่งของ MRT.app (เครื่องมือกำจัดมัลแวร์) หากคุณแน่ใจว่าระบบของคุณไม่ติดมัลแวร์และคุณไม่ต้องการให้ Apple ทำการป้องกันมัลแวร์โดยอัตโนมัติโดยไม่ต้องขอความยินยอมจากคุณคุณสามารถปิดใช้งานและ / หรือลบบริการ MRT โดยใช้คำสั่งเหล่านี้:

sudo launchctl stop com.apple.mrt
sudo launchctl remove com.apple.mrt

.plistไฟล์ที่เกี่ยวข้องจะอยู่ที่:

/System/Library/LaunchDaemons/com.apple.MRTd.plist
/System/Library/LaunchAgents/com.apple.MRTa.plist

หากวิธีการข้างต้นไม่ได้ผลสำหรับคุณ (เห็นได้ชัดว่า daemon สามารถเปิดใช้งานตัวเองได้) วิธีการที่รุนแรงกว่านั้นคือการปิดใช้งาน SIPด้วยcsrutil disableจากโหมดการกู้คืนและลบสิทธิ์การใช้งานบนไฟล์ MRT และ YaraScanService ด้วย:

chmod -R -x+X /System/Library/CoreServices/MRT.app

เมื่อคุณเปลี่ยนการอนุญาตแนะนำให้เปิดใช้งาน SIP อีกครั้งด้วยcsrutil enable(จากโหมดการกู้คืน )


สำหรับฉันมันเริ่มกิน CPU มากฉันไม่สามารถใช้ Mac ได้สามวันแล้ว ฉันควรทำอย่างไร หยุดและลบฟังก์ชั่นที่ไม่ได้ทำอะไรเลย ...
Gediminas

2
ผมคิดว่าถ้าวิธีการอื่น ๆ ทั้งหมดล้มเหลวแล้ววิธีการบังคับเดรัจฉานจะปิดการใช้งาน SIP ( support.accountek.com/support/solutions/articles/... ) และเอาสิทธิ์ปฏิบัติการบนรถไฟฟ้าใต้ดิน MRT และ YaraScanService chmod -R -x+X /System/Library/CoreServices/MRT.appไฟล์เช่น หลังจากนั้นควรเปิดใช้งาน SIP อีกครั้ง
ccpizza

3

คำตอบที่โพสต์โดยผู้ใช้1901982ใน Super User - "YaraScanService" คืออะไรที่ปรากฏใน macOS Mojave Beta (10.14) และ macOS High Sierra (10.13.6)
คัดลอกมาที่นี่เพื่อความสะดวกเช่นชุมชน wiki

MRT / YaraScan เป็นเครื่องมือลิขสิทธิ์แอนตี้ไวรัสลิขสิทธิ์ของ MacOS เหตุผลของการใช้งานหน่วยความจำลามกอนาจารนั้นเป็นเหตุให้ OSX ไม่มี 'แอนตี้ไวรัส' อย่างเป็นทางการ

ง่ายขึ้น YaraScan เป็นส่วนหนึ่งของ 'volatility suite' ที่นี่; https://www.volatilityfoundation.org/about

โปรดทราบว่าไวรัสและวัสดุที่ละเมิดลิขสิทธิ์อย่างผิดกฎหมายทั้งคู่ถูกตรวจพบโดยชุดโค้ดพา ธ 'ลายเซ็น' เท่านั้นและทั้งคู่มักพึ่งพาข้อผิดพลาดการหาประโยชน์และการแพตช์ที่อ่อนดังนั้นจึงคาดหวังว่าไวรัสที่ทันสมัยที่สุด เครื่องมือตรวจจับการละเมิด

YaraScan รันหนึ่งครั้งหลังจากอัพเดท Mojave แล้วลบตัวเองออก เหตุผลที่ใช้หน่วยความจำมากเป็นเพราะนอกจากจะตั้งโปรแกรมไว้ (เช่นในการเลือกไม่ใช้) กระบวนการที่ต้องสแกนเนื้อหาของไฟล์จำนวนมหาศาลอย่างไม่น่าเชื่อสำหรับไฟล์ขนาดที่ไม่รู้จักซึ่งอาจถูกเข้ารหัสลงในไฟล์ที่ค้นหาว่าจะใช้ หน่วยความจำที่ไม่ได้ใช้งานจำนวนมากเพื่อจัดเก็บไฟล์สแกนทั้งหมดในระยะเวลาที่ จำกัด ในกรณีที่จำเป็นต้องใช้อีกครั้ง ทำไม? เนื่องจากแรมว่างเปล่าเป็นแรมที่สูญเปล่าฉันหมายความว่าคุณยังคงต้องให้วัตต์ดังนั้นทำไมลบสิ่งที่อยู่ในนั้นเมื่อมีอย่างอื่นไม่ต้องการอยู่ที่นั่น ใช้เวลานานกว่า 100 เท่าในการเรียกคืน

ที่สำคัญกว่านั้นคือถ้าคุณ Filevault หรือ APFS ข้อมูลบางส่วนนั้นจะถูกเข้ารหัสและจะต้องถอดรหัสเพื่อให้สามารถอ่านได้ แอพจำนวนมากต้องการการเปิดใช้งานจากนั้นทำการสแกนเมื่อมีการโหลดไฟล์จำนวนมากเข้าด้วยกันเพื่อก่อให้เกิดภัยคุกคามในพื้นที่หน่วยความจำในรูปแบบ 'ไฟล์พร้อมกัน' ไฟล์เดียว โปรแกรมป้องกันไวรัสมาตรฐานไม่สามารถตรวจพบสิ่งนี้ได้จนกว่าแอปพลิเคชันจะทำงานอยู่และในขั้นตอนนั้นอาจทำให้ระบบของคุณเสียหายแล้ว

จำนวนเวลาจะถูกตัดสินใจอย่างแข็งขันโดย Grand Central Dispatch ใน mac ของคุณและทันทีที่คุณพยายามใช้โปรแกรมที่ต้องการ RAM มันจะทำการล้างออก


เช่นเคย Apple ให้ผู้ใช้ไม่มีทางเลือกอื่นนอกจากเอามันหรือปล่อยให้มัน ในฐานะผู้ใช้ฉันไม่มีอำนาจตัดสินใจในสิ่งที่ทำงานบนเครื่องของฉันและเพราะเหตุใด ฉันเคยคิดว่า MacOS ของ Apple ไม่ใช่สวนแบบมีกำแพงเพราะเป็นกรณีของ iOS
ccpizza

คุณสามารถเรียกใช้ Windows แทนได้ตลอดเวลาโดยมีการอัปเดตที่บังคับทุกสัปดาห์หรือหนึ่งในไฮนิกซ์ที่หลากหลาย 57 ของ nix พร้อมกับวิธีการ 'ดูว่ามันทำงานในชุดค่าผสมนี้ได้หรือไม่' ทุกวันนี้ผู้ใช้ส่วนใหญ่ไม่มีเงื่อนงำที่เบาที่สุดเท่าที่คอมพิวเตอร์ทำงานได้ตราบใดที่พวกเขาสามารถขัดจังหวะการทำงานร่วมกันของพวกเขา ... ผู้ผลิตระบบปฏิบัติการต้องทำตามขั้นตอนเพื่อป้องกันพวกเขาจากการที่ไม่สามารถเก็บเครื่องได้ ปลอดภัย คุณสามารถยกเลิกได้หากคุณต้องการ แต่ไม่สามารถเปลี่ยนเป็นระบบปฏิบัติการที่เป็นมิตรกับมือใหม่ได้
Tetsujin

1
จากสิ่งที่ดีทั้งหมดที่คุณได้พูดเกี่ยวกับ YaraScanService ไม่มีสิ่งใดในกรณีของฉัน มันบูทตัวเองหลังจากผ่านไปหนึ่งชั่วโมง ตามที่รายงานโดย ActivityMonitor มีการใช้ RAM ~ 80GB ฉันรอให้เสร็จ แต่ไม่ลบตัวเองหลังจากสแกน ตอนนี้ฉันไม่สามารถทำงานได้โดยปราศจากการแทรกแซงของเส็งเคร็งเครื่องนี้ทุกครั้งที่ฉันใช้ Mac หากคอมพิวเตอร์เริ่มล้าหลังฉันรู้ว่า YaraScanService กำลังทำอึพื้นหลังและเวลาเพื่อบังคับให้ฆ่า ฉันหวังว่ามันเป็นเรื่องง่ายที่จะลบมัน
mr5
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.