Сегодня к нам зашел MacBook Air, казалось бы, с типовой задачей: тормозит, сам открывает страницы в браузере с рекламой, быстро разряжается. Обычно это ярковыраженные симптомы либо установленного MacKeeper, либо иного аналогичного мусора. Начали смотреть.

Действительно, даже без активных приложений машина стабильно получает высокую загрузку на 30-40 процентов. Скриншот соответствующей вкладки в Мониторинге системы ниже…

Алгоритм действий у нас в этом случае уже известный: смотрим что в автозагрузке у пользователя, затем в папке Библиотеки пользователя, потом в Библиотеках системы. Удаляем все лишнее и/или подозрительное, перезагружаем и смотрим на эффект. Сделали, перезагрузили и… нууу, немного полегчало, но не так, чтобы заметно. Смотрим в браузере что с рекламными окнами и сразу же получаем при старте страницу некоего «поиска». Стилизация по Google не помогла, явно что-то не то.

В Chrome та же история. При этом штатными средствами убрать эту привязку к «поисковику» не удается. Возможности выбрать что-то иное просто нет. Иначе и не может быть, ибо мы столкнулись с эталонным зловредом (оно же вредоносное ПО) под названием Weknow.ac.

Что это такое и как оно попадает на Мак?

Weknow.ac — это пседо-поисковый сервис, задача которого подсовывать вам показ рекламных объявлений. Плюс к этому он собирает информацию по поведению пользователя в Сети и передает ее разработчикам. Видимо, чтобы их детище было еще более эффективным. В целом работает топорно, отсюда и нагрузка на процессор.

На Маки Weknow.ac попадает через всякие «мусорные» сайты, когда там вам вдруг предложат, например, для просмотра онлайн-видео установить Flash.

Вы этот установщик скачаете, сами введете пароль пользователя, но получите на выходе совсем другое.

Weknow.ac ставит в систему профили для управления найденными браузерами, в которых прописаны нужные параметры для подсовывания рекламы.

Удаление

  • Сначала надо убрать профили из Системных настроек. Для этого открываем их и переходим во вкладку Profiles.

  • Здесь выбираем все профили AdminPrefs и все удаляем через кнопку «-».

  • Теперь наводим порядок в самих браузерах. Для этого переходим в них и в настройках каждого приложения выбираем поисковую систему, отличную от Weknow.
  • На всякий случай, идем в папку Программы и проверяем ее на предмет «осколков» — подозрительных приложений Weknow.ac, Weknow.ac.app, MPlayerX или NicePlayer. Если нашли — в Корзину и очистить.
  • Опять же, на всякий случай проверяем что стоит в загрузке у пользователя. Для этого переходим в папку /Library/LaunchAgents, где удаляем любые файлики с подобными названиями: installmac.AppRemoval.plist, myppes.download.plist, mykotlerino.ltvbit.plist, kuklorest.update.plist. Some other names you should look for Genieo, Inkeeper, InstallMac, CleanYourMac, MacKeeper, SoftwareUpdater, MplayerX, NicePlayer, installmac.AppRemoval.plist, myppes.download.plist, mykotlerino.ltvbit.plist, kuklorest.update.plist, com.aoudad.net-preferences.plist, com.myppes.net-preferences.plist, com.kuklorest.net-preferences.plist, com.avickUpd.plist.
  • То же самое повторяем в папках: /Library/Application Support и /Library/LaunchDaemons.

Если у вас браузер Chrome, то также в Терминале выполните следующие команды для финальной очистки:

  • defaults write com.google.Chrome HomepageIsNewTabPage -bool false
  • defaults write com.google.Chrome NewTabPageLocation -string “https://www.google.com/”
  • defaults write com.google.Chrome HomepageLocation -string “https://www.google.com/”
  • defaults delete com.google.Chrome DefaultSearchProviderSearchURL
  • defaults delete com.google.Chrome DefaultSearchProviderNewTabURL
  • defaults delete com.google.Chrome DefaultSearchProviderName

После всех процедур перезагружаем Мак и наблюдаем в Мониторинге системе прекрасную картину. Будьте бдительны и не нажимайте на все подряд.