¿Qué lanza un antiguo "Ayudante de actualización" y cómo confirmo que no es un troyano?

10

De vez en cuando, un programa me molesta de la nada para actualizar. Raramente cedo, ya que siempre sospecho de un troyano. Por ejemplo, hoy me sale un persistente:

Google Earth Update Helper quiere hacer cambios.  Escriba su contraseña para permitir esto.

Lanzo Activity Monitory, efectivamente, hay un proceso con ese nombre.

Monitor de actividad

Sin embargo, después de la última actualización (a El Capitan) no me molesté en instalar Google Chrome o Google Earth. Confirmo esto en mi /Applicationscarpeta.

Pero sí veo la carpeta ~/Library/Internet Plug-Ins/Google Earth Web Plug-in.plugin, presumiblemente dejada de una instalación anterior. Estoy desconcertado. Después de mirar mis tareas de inicio de sesión

Tareas de inicio de sesión

Veo que Google Earth no debería ejecutarse al iniciar sesión.

¿Qué lo lanzó y, lo que es más importante, cómo confirmo que tal solicitud de un " Update Helper" no es un troyano?

Actualizar

Las respuestas y comentarios indican que lo que estaba preguntando no está claro. Hay cuatro preguntas / problemas que deben resolverse en este contexto. En orden de dificultad creciente son:

  1. Ya no uso Chrome o Earth. ¿Cómo elimino el Actualizador de software de Google?
  2. ¿Cómo elimino un actualizador de software en particular si ya no uso, ni he instalado desde la última actualización importante de OS X, ese software?
  3. Aparece una ventana aleatoria y me pide que ingrese mi contraseña. Ya es bastante malo si mis archivos de usuario están contaminados, pero es un problema completamente diferente si le doy privilegios de superusuario a un programa sospechoso y tengo la oportunidad de contaminar el sistema. ¿Cómo confirmo qué software aparece en la ventana? (¿Y cómo podría estar ejecutándose algo sin estar presente en las tareas de inicio de sesión? No veo ningún trabajo cron de raíz. ¿Dónde más debería estar buscando?)
  4. Hay un problema con las actualizaciones principales de OS X. Actualizo en el lugar (es decir, sin formatear mi unidad). Tanto ~ / Library como / Library están hinchados ( sudo du -h -s /Libraryinformes 3.5G e sudo du -h -s ~/Libraryinformes 4.7G). ¿Cómo purgo las carpetas innecesarias?

Tenía la intención de preguntar Q3, pero con gusto me conformaré con una respuesta a Q1.

En sus respuestas y comentarios, varias personas han recomendado que esta discusión resuelva la Q1. Si bien ese artículo es realmente muy útil, no tengo el archivo

~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/\
Resources/GoogleSoftwareUpdateAgent.app/Contents/Resources/install.py

El archivo más cercano que tengo es

~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/\
Resources/GoogleSoftwareUpdateAgent.app/Contents/Resources/ksinstall

Estoy tentado a borrar la carpeta

rm -fr ~/Library/Google/GoogleSoftwareUpdate/

Sugerencias?

Calaf
fuente
No instalar Google Earth después de la última actualización realmente no es lo mismo que haberlo desinstalado completamente. Ver applehelpwriter.com/2014/07/13/… ya que hay demasiado para precisar aquí.
Tetsujin
Puede que esta no sea una solución final, pero según el artículo mencionado, la ejecución defaults write com.google.Keystone.Agent checkInterval 0 debería al menos deshabilitar el actualizador hasta que se encuentre una solución para eliminarlo por completo.
I0_ol
Si lees la discusión completamente, encontrarás en la sección de comentarios que una persona escribió que el install.pyarchivo ha sido reemplazado ksinstall.
I0_ol
@ user556068 Tienes toda la razón. He corrido esta línea y 0 parece comportarse de hecho como 'nunca'. Aún así, sería bueno aprovechar esta oportunidad y deshacerse de los archivos sobrantes de Chrome / Earth en ~ / Library.
Calaf
@ user556068 Gracias. Me había saltado los comentarios. Me complace informar que la ejecución ~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/Resources/ksinstall --uninstallelimina el subárbol enraizado ~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/. Luego ejecuta defaults read com.google.Keystone.Agentrespuestas con Domain com.google.Keystone.Agent does not exist. Todo está bien. ¿Te gustaría resumir una respuesta como referencia?
Calaf

Respuestas:

2

Como otros han mencionado, esta discusión tiene algunos buenos consejos para lograr esto.

No he probado ninguna de estas soluciones, ya que todavía uso Google Chrome con frecuencia y no quiero eliminar estos archivos yo mismo.

Si su biblioteca contiene un install.pyarchivo:

python ~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/Resources/install.py --uninstall

o:

python /Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/Resources/install.py --uninstall

Si su biblioteca en su lugar contiene un ksinstallarchivo:

~/Library/Google/GoogleSoftwareUpdate/Google‌​SoftwareUpdate.bundl‌​e/Contents/R‌​esources/GoogleS‌​oftwareUpdateAgent.a‌​pp/Contents/‌​Resources/ksinst‌​all --uninstall

o:

/Library/Google/GoogleSoftwareUpdate/Google‌​SoftwareUpdate.bundl‌​e/Contents/R‌​esources/GoogleS‌​oftwareUpdateAgent.a‌​pp/Contents/‌​Resources/ksinst‌​all --uninstall

Prueba si funcionó ejecutando defaults read com.google.Keystone.Agent. Si funcionó deberías ver Domain com.google.Keystone.Agent does not exist.

Alternativamente, también puede deshabilitar el actualizador sin eliminarlo completamente ejecutando:

defaults write com.google.Keystone.Agent checkInterval 0. El 0dice esencialmente el actualizador de nunca comprobar si hay actualizaciones.

I0_ol
fuente
1

¡Problema resuelto! Mira este enlace. Utiliza Terminal para detener la actualización automática que viene directamente de Google. Hice esto hace aproximadamente una hora y el actualizador nunca volvió. ¡Sin embargo, esto es para Mac!

http://applehelpwriter.com/2014/07/13/how-to-remove-googles-secret-update-software-from-your-mac/

Jerrold
fuente
Bienvenido a Ask Different. Si bien el enlace que proporcionó es un buen recurso, es mejor publicar las partes relevantes como parte de su respuesta, ya que los enlaces a menudo se vuelven obsoletos y hacen que su respuesta sea inutilizable.
Allan
-2

Acabo de tener lo mismo empezar a suceder. Acabo de encontrar esto:

https://arstechnica.com/civis/viewtopic.php?f=19&t=1325327

Puede ayudar a explicar. Parece que es un error de actualización de Google?

J. Scott Coatsworth
fuente
1
¡Bienvenido a Ask Different! Si bien este enlace puede responder la pregunta, es mejor incluir aquí las partes esenciales de la respuesta y proporcionar el enlace como referencia. Las respuestas de solo enlace pueden volverse inválidas si la página vinculada cambia.
Tetsujin