Como remover adwares, anúncios indesejados, Scams e MacKeeper no Mac OS X

Dezembro 2016

Ao pesquisar em seu navegador, Safari ou o outro qualquer, você obter um afluxo de links de publicidade escritos em verde, ou que você está com um novo motor de busca, completamente desconhecido, que suas páginas estão sendo redirecionadas para sites indesejados, você se encontrar meio a uma infinidade de janelas pop-up ou publicitárias é por que você, provável e involuntariamente, aceitou a instalação de adwares de um site malicioso. Não se trata exatamente de um vírus, mas de adwares. Está na hora de limpar o seu Mac.


A desinfecção com ferramentas gratuitas

Se o Mac rodar em uma versão OS X superior ao Mac OS X 10.6, é melhor priorizar a limpeza com um utilitário dedicado. Isto será muito mais rápido, eficaz e simples. A desinfecção manual só será necessária se o Mac rodar em uma versão anterior ao Mac OS X 10.7 ou se esses utilitário não funcionarem. Em geral, a utilização de uma destas ferramentas é suficiente. Para remover os adwares no Mac, a partir do Mac OS X 10.7, as ferramentas confiáveis são o Malwarebytes Anti-Malware e o Bidefender

Se você precisar de ajuda para usar o Malwarebytes ou, AdwareMedic.html, este último foi assimilado pelo Malwarebytes, clique aqui. Este software não contém necessariamente uma base de dados completa no momento de sua instalação, é por isso que a cada vez que você executá-lo ele proporá uma atualização que você deverá aceitar, para que ele se execute. Assim a conexão com a Internet será obrigatória.

Desinfecção manual

Quando eu escrevi essa ajuda, não havia nenhuma ajuda da Apple para este tipo de infecção. Desde então, a Apple publicou uma ajuda para resolver este tipo de poluição, que pode ser consultada no Suporte da Apple.

Para limpar manualmente o Mac, é preciso verificar vários locais do disco rígido, incluindo suas diversas bibliotecas. Há pelo menos 3 bibliotecas no sistema Mac OS X: a principal, que se encontra na raiz do disco rígido e seu caminho é:
/Library
, a segunda, que fica na pasta do Sistema e seu caminho é
/System/Library
e, a terceira, que é uma biblioteca para cada usuário, ela fica na raiz do diretório de cada usuário, e o seu caminho para o usuário em serviço é
/Library
.

Nas versões mais recentes do OS X, a biblioteca do usuário fica escondida. Consequentemente, como no Mac OS 10.7 a sua biblioteca pessoal não está mais visível por padrão, para acessá-la, você pode abrir o menu de contexto Ir do Finder, mantendo pressionada a tecla Alt. Assim, você verá aparecer a linha Biblioteca e, se você clicar nesta linha, você será dirigido para a sua biblioteca pessoal. Porém, para ir diretamente a lugares específicos do disco rígido, utilize o menu Go (Ir) > Go To Folder (Ir para a Pasta) do Finder e cole o caminho de destino na área de entrada:


Para simplificar as coisas, vamos usar o símbolo ~ para designar o diretório do usuário. Por exemplo, para ir para a pasta Suporte de Aplicativos da minha biblioteca pessoal, ao invés de digitar
/Users/NomeDoUsuário/Library/Application Support
, colaremos apenas a seguinte linha no campo de entrada do menu Ir > Ir para a pasta:
~/Library/Application Support
:


Por este caminho, nós iremos diretamente para a subpasta do Serviço suporte de aplicativos da biblioteca do usuário, ou
~/Library/LaunchAgents
para ir diretamente para a subpasta LaunchAgents da biblioteca do usuário. Enquanto que, para ir para a subpasta Suporte de aplicativos da Biblioteca principal, basta seguir este comando:
/Library/Application Support
:


Informações práticas:

O símbolo ~ é obt ido através da pressão simultânea das teclas Alt e N e, o atalho do menu de acesso rápido para a caixa de entrada Ir > Ir para a pasta pode ser obtido pressionando simultaneamente os botões Cmd + Shift + G.

Limpeza manual

Para começar, vamos limpar o navegador Safari; pra isso, vá no menu Safari> Preferências > Extensões e elimine todas as extensões que você não instalou intencionalmente. Tlbsearch, Vsearch, iMesh, Searchme, Aberto Ad, Nav-Link, NavLink, Ad Ocultar, etc são alguns dos exemplos de extensões que podem conter adwares. Para limpar o Safari depois de ter removido extensões não desejadas, vá em Safari > Preferências > Confidencialidade e remova todos os cookies e outros dados.

Em versões mais antigas do Safari, vá no menu do Safari > Reset Safari ..., marque todas as caixas e confirme. Em versões mais recentes, vá no menu do Safari > Limpar Histórico e, para limpar o cache, vá em Safari > Preferências > Avançado e marque a caixa Mostrar a barra do Menu > Limpar caches. E feche o Safari.

Se o Safari não iniciar mais

Se as extensões instaladas no Safari impedirem o seu funcionamento, é possível removê-las manualmente. Depois de fechar o Safari, abra o menu Finder e selecione Ir > Ir para a Pasta e cole o seguinte caminho na caixa de entrada:
~/Library/Safari
. Agora que você está na pasta do Safari, coloque tudo na lixeira, incluindo a pasta Extensões, exceto o arquivo dos Favoritos, ou seja, o arquivo “Bookmarks.plist”, se quiser manter os marcadores. Esvazie a lixeira em modo de segurança e vá em
~/Library/Preferences
. Nesta pasta de Preferências, localize os arquivos cujo nome contenha Safari, como por exemplo, com.apple.Safari.Extensions.plist ou com.apple.Safari.plist. Elimine esses arquivos e esvazie a lixeira em modo de segurança novamente.

Observação: recomenda-se fazer a mesma no Firefox ou qualquer outro navegador existente no Mac, sabendo que a pasta Firefox não fica diretamente na Biblioteca do Usuário, mas em:
∼/Library/Application Support
. Entre na página de ajuda de cada um deles para saber como proceder: Excluir o histórico de pesquisa dos diversos navegadores.

Para continuar a limpeza de adwares tais como o Tlbsearch, Vsearch, iMesh, searchme, Hide Ad, Open Ad, Nav-Link, navlink, etc, vá na Biblioteca principal do Mac, assim como em sua biblioteca de usuário pessoal e, mais especificamente, em suas subpastas Application Support, ou seja:
/Library/Application Support
, aqui:
~/Library/Application Support
e, também nesta pasta:
~/Library/Input Methods
(se ela estiver no seu sistema). Em cada um desses lugares, verifique a presença de pastas ou arquivos chamados VSearch ou spigot.

Verifique também a presença de qualquer arquivo cujo nome contenha os termos indicados acima. Exclua todos os arquivos e pastas citados e esvazie a lixeira e m modo de segurança. Em seguida, ainda para os adwares Tlbsearch, Vsearch, iMesh, searchme, Hide Ad, Open Ad, Nav-Link, navlink, etc, vá nessas diversas pastas, sempre colando o caminho indicado no menu Ir > Ir para a pasta do Finder e verifique o conteúdo de cada uma dessas pastas:
/Library/PrivilegedHelperTools
/Library/Application Support
/Library/LaunchDaemons
/Library/LaunchAgents
/Library/StartupItems
/System/Library/LaunchDaemons
/System/Library/LaunchAgents
/System/Library/StartupItems
/System/Library/Frameworks
~/Library/Application Support
~/Library/LaunchAgents

A partir desses locais, remova os arquivos ou pastas seguintes, além de qualquer outro arquivo suspeito ou pasta, especialmente aqueles cujos nomes incluem as palavras citadas acima, na lista de extensões nocivas:
cinemas-+-plus
com.vsearch.agent.plist
com.vsearch.daemon.plist
com.vsearch.helper.plist
Jack.plist
Jack
VSearch.framework

Excluir Genieo, aliás InstallMac

Acesse a pasta Aplicativos e exclua esses itens, se for o caso:
Genieo
InstallMac
InKeepr
InKeepr/
Uninstall Genieo
Uninstall IM Completer.app
Texiday
Listchack

Feito isso, vá em
 ~/Library/Application Support
e remova esses arquivos ou pastas, se eles estiverem presentes:
com.genieoinnovation.Installer/
Genieo/
IM.Installer/
Texiday/
Listchack/
InKeepr/

Em seguida, vá em
/Library/LaunchAgents
e elimine esses arquivos:
com.genieoinnovation.macextension.plist, com.genieoinnovation.macextension.client.plist, com.genieo.engine.plist, com.genieo.completer.update.plist.

Depois, vá em
/Library/LaunchDaemons
e jogue fora os arquivos:
com.genieoinnovation.macextension.client.plist e
/Library/PrivilegedHelperTools, removendo o arquivo com.genieoinnovation.macextension.client.

Continuando, vá em
/Private/etc
e exclua o arquivo “launchd.conf” e vá para a Biblioteca do Usuário. Nesta pasta Biblioteca, remova esses arquivo se eles estiverem presentes:
libgenkit.dylib
libgenkitsa.dylib
libimckit.dylib
libimckitsa.dylib

Mas, cuidado, exclua apenas se você tiver encontrado e eliminado o arquivo launchd.conf (citado acima), esvaziando a lixeira em modo de segurança, reiniciando o Mac. Vá em
/Library/Frameworks
e ponha na lixeira o arquivo “GenieoExtra.framework”, se ele estiver presente. Não esqueça de esvaziar a lixeira em modo de segurança e redefinir a sua página Inicial no Safari.

Saiba mais

Thesafemac Identificação do Thesafemac

Excluir Conduit - Community Tool Bar

Sempre a partir do menu Ir > Ir para a pasta... no Finder, vá em
/Library/InputManagers
e remova o “CTLoader”. Em seguida, vá em
/Library/LaunchAgents
e elimine o “com.conduit.loader.agent.plist”. Em seguida, vá em
/Library/LaunchDaemons
e elimine o “com.perion.searchprotectd.plist”. Depois, vá em
/Library/Application Support/SIMBL/Plugins
e remova “CT2285220.bundle” e, em
/Library/Application Support
elimine o “conduit”. Em seguida, vá em
/Applications
e Exclua “SearchProtect”. Vá em
~/Library/Application Support
e elimine o “Conduit” e, no caminho
~/Library/Internet Plug-Ins
elimine “ConduitNPAPIPlugin.plugin TroviNPAPIPlugin.plugin”. No diretório
~/
elimine o “Conduit” e o “Trovi”.

Se o Firefox estiver instalado, vá em
~/Library/Application Support/Firefox/Profiles
e na pasta “xxxxxx.default” ou “xxxxx” tiver uma série de caracteres "bizarros", exclua esses elementos:
abstraction.js
takeOverNewTab.txt
searchplugins
searchplugins

e qualquer arquivo que contenha um desses termos:
MyBrand.xml
conduit.xml

Se isso não resolver o problema, desinstale o Firefox completamente com o AppCleaner, e instale-o novamente.

Observação: se você encontrar o plugin SIMBL CT2285220.bundle, você deve remover o SIMBL também, a menos que a instalação satisfaz uma necessidade particular.

Para remover SIMBL, remova os seguintes arquivos:
Em
/Library/Application Support
remova SIMBL
Em
//Library/LaunchAgents
remova net.culater.SIMBL.Agent.plist
Em
Library/ScriptingAdditions
remova SIMBL.osax

Esvazie a lixeira em modo de segurança e reinicie o Mac.

Saiba mais

http://www.thesafemac.com/arg-conduit/

Excluir Bundlore - Flashmall

Verifique o conteúdo da pasta Aplicativos e exclua estes elementos, se for o caso: “WebTools” e “WebShopper”. Se eles estiverem presentes, bote-os na lixeira e esvazie-a em modo de segurança. Vá em seu diretório, ou seja ~ e verifique se existe uma pasta de aplicativos contendo a mesma coisa. Se for o caso, aplique o mesmo tratamento.

Observação: de qualquer maneira, não deve ter pasta de Aplicativos no seu diretório. Vá em
 ~/Library/LaunchAgents
, verifique o conteúdo desta pasta, e jogue fora os arquivos com estes nomes:
com.crossrider.wss *
com.webtools.update.agent.plist
flashmall_updater.plist
flashmall_updater.sh
WebSocketServerApp.

Observação: o sinal * representa uma série de números ou caracteres variáveis. Certos arquivos não estarão presentes, jogue fora os que estão e esvazie a lixeira em modo de segurança.

Feche a janela do Finder e reinicie o Mac. Depois de reiniciá-lo, os traços residuais devem ser removidos. Vá em
~/Library/Application Support
e verifique a presença de um arquivo chamado “webHelperApp”. Se for o caso, elimine-o e esvazie a lixeira em modo de segurança. Para terminar, vá em
~/Library
e verifique se há uma pasta chamada “WebTools” e, se for o caso, jogue-a fora, esvazie a lixeira em modo de segurança e reinicie o Mac. Consulte Bundlore para saber mais.

Excluir o Advanced Mac Cleaner

Para remover o Advanced Mac Cleaner, semelhante ao adware MacKeeper, vá em
~/Library
e jogue no lixo a pasta “AdvancedMacCleaner”. Em seguida, vá em
~/Library/Services
. Aqui, exclua qualquer arquivo vinculado ao Advanced Mac Cleaner. Em seguida, vá em
~/Library/LaunchAgents/
e jogue no lixo o arquivo “com.pcv.hlpramc.plist”. Em seguida, vá em
/Library/Application Support
e exclua o arquivo “AMC”, esvazie a lixeira em modo de segurança e reinicie o Mac

Excluir o MacKeeper

Para remover oMacKeeper, que não é exatamente um vírus, mas um software que causa mais danos do que outra coisa, baixe o AppCleaner, na sua versão compatível com a versão do Mac OS X, em seu site original. Depois de instalar o AppCleaner na pasta dos Aplicativos, abra-o e arraste o MacKeeper para a sua janela. O AppCleaner trará todos os arquivos relacionados ao MacKeeper e exibi-los em sua janela. Confirme a eliminação e feche o AppCleaner. Em princípio, o MacKeeper foi excluído... Mas, na verdade, nem todos os arquivos foram removidos, pois alguns restos de arquivos continuam escondidos, por toda parte. Então, para terminar de eliminar todos esses arquivos, vamos lançar o Terminal localizado nos Aplicativos/Utilitários. Na janela do terminal, cole o comando
sudo find / -iname *mackeeper* -exec rm -rf {} \;
e confirme com a tecla Enter do Mac. O Terminal vai pedir a senha de administrador (para aceitar o comando sudo). Entre a senha e aguarde alguns instantes para que o Terminal faça o seu trabalho de busca e remoção. Este foi o comando para excluir todos os arquivos contendo o termo MacKeeper. Agora, para verificar se não resta mais nada, cole esse comando no Terminal:
sudo find / -iname *mackeeper*
e deixe o Terminal buscar. Ele deverá responder:
No such file or directory
(Nenhum arquivo ou diretório encontrado). Saia do Terminal. Pronto! Este procedimento é um resumo desta página.

Limpar os caches

Em todos os casos, esvazie o cache do Safari ou de qualquer outro navegador. No Safari, isso pode ser feito a partir do menu Desenvolvimento do Safari, se ele estiver ativado a partir das Preferências do Safari, mas também, indo diretamente na pasta dos caches de sua biblioteca. Melhor ainda, remova todos os caches dos Usuários com um utilitário como o “Onyx” ou “Maintenance”.

Verificação

Em seguida, para verificar se existem traços suspeitos, faça o download do EasyFind que fará uma análise completa em todos os lugares do disco rígido do Mac. Este programa é gratuito e pode ser baixado na App Store ou aqui. Depois de iniciado, ele fará uma busca em seu disco rígido procurando termos relacionados com os adwares mencionados acima, validando a busca de arquivos invisíveis e ignorando a fonte. Se ele encontrar itens relacionados com estes adwares, clique com o botão direito (na linha em questão) para solicitar o Mostrar no Finder. Com o item visível, na janela do Finder, jogue-os fora e esvazie a lixeira em modo de segurança.

Observação: existe uma ferramenta gratuita, muito eficaz, para identificar o que está sendo executado como daemons ou extensões no Mac. Trata-se do freeware EtreCheck, que pode ser encontrado aqui

Outros procedimentos: MacScan

Reinicie o Mac, e baixe a versão teste do MacScan, aqui. Embora o MacScan não seja um antivírus, ele vai detectar trojans e outras infecções. Faça uma análise completa.

Dicas

Para evitar futuros problemas com sites duvidosos, é aconselhável instalar WOT ou o Ghostery no seu navegador: aqui e aqui. Um bom bloqueador de anúncios para o Safari é o Adblock, que pode ser baixado aqui.

Antivírus para Mac

Contrariamente ao que se possa pensar, um antivírus para Mac não é totalmente supérfluo. Existem antivírus gratuitos e pagos.

Gratuitos

Sophos e ClamXav

Pagos

BitDefender
ESET
Kaspersky
VirusBarrier

Também existem softwares para detectar a presença de spywares, Keyloggers, Cracking cookies, como o MacScan

Saiba mais

Soluções de proteção para o Mac

Veja também :
Este documento, intitulado « Como remover adwares, anúncios indesejados, Scams e MacKeeper no Mac OS X »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.