quarta-feira, 12 de dezembro de 2018

Desativar YaraScanService - MRT no Mac / OSX





Fiz uma nova instalação no meu macbook e tive um problema de alto consumo de CPU e memória pelo novo serviço do YaraScanService ou MRT da Apple. Descobri que é um ferramenta de remoção de malware do OSX.

É uma opção usar ou não o aplicativo da Apple, mas deixar o computador lento e alto uso de processamento, aumentando a temperatura e diminuindo a duração da bateria, para mim, não valem a pena.

Para remover a ferramenta ou impedir que ela seja iniciada automaticamente podem ser feitos algumas medidas.


Para remover recomendo primeiro matar os processos do YaraScan Service e do MRT no monitor de atividades.

depois abra o terminal e digite os seguintes comandos.

sudo launchctl stop com.apple.mrt
sudo launchctl remove com.apple.mrt

o primeiro para parar o serviço caso não tenha sido finalizado no monitor e o segundo para remover da inicialização automática.


Os arquivos .plist que eles utilizam são os seguintes. Recomendo removê-los utilizando o terminal também. Caso um dia queira reativar o serviço, ao invés de apagar, mova-os para uma pasta de backup, e quando precisar, mova novamente para os mesmos diretórios listados abaixo.

/System/Library/LaunchDaemons/com.apple.MRTd.plist
/System/Library/LaunchAgents/com.apple.MRTa.plist
/System/Library/LaunchDaemons/com.apple.mrt.plist
/System/Library/LaunchAgents/com.apple.mrt.uiagent.plist
/System/Library/CoreServices/MRTAgent.app
/usr/libexec/MRT


Caso algum dia queira reativar, pode executar os comandos, e copiar os arquivos acima da backup realizado para os diretórios originais.

sudo launchctl start com.apple.mrt
sudo launchctl install com.apple.mrt

Algumas vezes, somente esses passos não são suficientes para remover, devido à proteção que as novas versões do OSX possuem, o SIP.

Inicialmente deve-se desativar o SIP e para tanto é preciso reiniciar em  modo de restauração do SO, pressionamento Command + R na inicialização, abrir o prompt de comando e digitar csrutil disable, depois posto um artigo mais detalhado para ativar e desativar o SIP .


Para desativar o Yara digite o comando chmod -R -x+X /System/Library/CoreServices/MRT.app

Para reativar o SIP siga os mesmos passos acima, e execute o comando csrutil enable.

Reinicie o computador normalmente.

Um dos dois passos acima deve resolver o problema do YaraScanService.





















Postado por às
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)