Wie man versteckte LaunchDaemons und LaunchAgents auf Mac fängt und entfernt

LaunchDaemons und LaunchAgents, die Software automatisch bei der Anmeldung starten, können eine dunkle Seite haben. So können Sie sie überwachen und sich selbst schützen.

LaunchDaemons und LaunchAgents, die Software automatisch bei der Anmeldung starten, können eine dunkle Seite haben. So können Sie sie überwachen und sich selbst schützen.
Werbung

Hast du diese Frustrationen jemals auf deinem Mac erlebt?

  • Eine App wird in der Menüleiste angezeigt, nicht jedoch in Ihren Anmeldeelementen.
  • Safari leitet auf Adware-Websites um oder ändert seine Homepage ohne Ihre Erlaubnis.
  • Unbekannte Prozesse verbrauchen CPU im Hintergrund.

Bei diesen unerwarteten Ereignissen reicht das Entfernen der App aus den Anmeldeelementen leider nicht aus, um das Problem zu lösen. Es gibt viele verborgene Komponenten, und Apple stellt sie nicht in der typischen macOS-Schnittstelle zur Verfügung.

Wir zeigen Ihnen, wie Sie diese versteckten Login-Elemente überwachen und Maßnahmen ergreifen können, um Mac-Probleme zu beheben.

Verständnis der MacOS Startup Routine

Wenn Sie den Netzschalter drücken, startet Ihr Mac mit einer Reihe bekannter Ereignisse:

  • Sie hören einen hörbaren Startton (neuere Macs tun dies nicht).
  • Das Apple-Logo wird zusammen mit der Fortschrittsanzeige angezeigt.
  • Nach Abschluss des Vorgangs wird der Anmeldebildschirm angezeigt (oder der Desktop, wenn die automatische Anmeldung aktiviert ist).

Hinter den Kulissen startet macOS den Launchd- Prozess. Dies ist verantwortlich für das Starten, Stoppen und Verwalten aller anderen Prozesse, einschließlich des Systems und einzelner Benutzerkonten. Der Prozess ist hoch optimiert und dauert nur wenige Augenblicke.

Um dies selbst zu prüfen, öffnen Sie die Activity Monitor App und wählen Sie Ansicht> Alle Prozesse . Oben sehen Sie zwei Hauptprozesse: kernel_task und launchd mit ihren Prozess-IDs (PID) als 0 und 1 .

Dies zeigt, dass launchd der primäre übergeordnete Prozess ist, wenn das System gestartet wird. Es ist auch der letzte Prozess, der beendet wird, wenn das System heruntergefahren wird.

Startprozess im Aktivitätsmonitor

Die Hauptaufgabe von launchd besteht darin, andere Prozesse oder Jobs nach Plan oder auf Abruf zu starten. Diese gibt es in zwei Arten: LaunchDaemons und LaunchAgents .

Was sind LaunchDaemons und LaunchAgents?

LaunchDaemons werden normalerweise als Root ausgeführt, unabhängig davon, ob ein Benutzer angemeldet ist oder nicht. Sie können Informationen über die grafische Benutzeroberfläche nicht anzeigen und wirken sich nicht auf das gesamte System aus.

Zum Beispiel erkennt der locationd- Prozess den geografischen Standort des Mac, während der Bluetoothd- Prozess Bluetooth verwaltet. Die Liste der Dämonen lebt an folgenden Orten:

  • /System/Library/LaunchDaemons für native MacOS-Prozesse
  • /Library/LaunchDaemons für installierte Apps von Drittanbietern

LaunchDaemons-Ordner Mac

LaunchAgents starten, wenn sich ein Benutzer anmeldet. Im Gegensatz zu Daemons können sie auf die Benutzeroberfläche zugreifen und Informationen anzeigen. Beispielsweise kann eine Kalenderanwendung das Kalenderkonto des Benutzers auf Ereignisse überwachen und Sie benachrichtigen, wenn das Ereignis eintritt. Die Liste der Agenten befindet sich an folgenden Standorten:

  • /Library/LaunchAgents für alle Benutzerkonten
  • ~/Library/LaunchAgents für ein bestimmtes Benutzerkonto
  • /System/Library/LaunchAgents für macOS

LaunchAgents-Ordner Mac

Bevor Sie sich anmelden, führt launchd die Dienste und andere Komponenten, die in den PLIST-Dateien angegeben sind, aus dem LaunchDaemons-Ordner aus. Nach der Anmeldung führt launchd die in den PLIST-Dateien definierten Dienste und Komponenten aus den LaunchAgents-Ordnern aus. Die in / System / Library sind alle Teil von macOS und durch den Systemintegritätsschutz geschützt. Wie man den Systemintegritätsschutz deaktiviert (und warum nicht) Wie man den Systemintegritätsschutz deaktiviert (und warum nicht) Es gibt noch mehr Gründe dafür Lassen Sie den Systemintegritätsschutz von macOS eingeschaltet, aber deaktivieren Sie ihn einfach. Weiterlesen .

Die Präferenzdateien folgen dem Standard-Reverse-Domain-Benennungssystem. Es beginnt mit dem Firmennamen, gefolgt von einer Anwendungskennung und endet mit der Dateierweiterung für die Eigenschaftenliste (.PLIST). Zum Beispiel ist at.obdev.LittleSnitchHelper.plist die Hilfsdatei für die LittleSnitch App.

System LaunchAgents-Ordner Mac

Wie man LaunchDaemons und LaunchAgents fängt

Im Gegensatz zu denen im Ordner System sind die öffentlichen Ordner LaunchDaemon und LaunchAgent sowohl für legitime als auch für illegitime Apps geöffnet. Sie können diese Ordner automatisch mit Ordneraktionen überwachen.

Öffnen Sie die AppleScript Editor App, indem Sie in Spotlight danach suchen. Klicken Sie auf Einstellungen und wählen Sie in der Menüleiste Allgemein> Skript anzeigen .

Aktivieren Sie das Skriptmenü in der Menüleiste Mac

Klicken Sie auf das Symbol Skriptmenü und wählen Sie Ordneraktionen> Ordneraktionen aktivieren . Wählen Sie dann im selben Menü Skript an Ordner anhängen.

Hängen Sie das Skript an den Ordner in den Mac-Setup-Aktionen des Ordners an

Ein Dialogfeld wird angezeigt. Wählen Sie von hier aus die Option zum Hinzufügen eines neuen Artikels aus .

Wählen Sie die Option für neue Elementwarnungen Mac

Klicken Sie auf OK, um ein Finder-Fenster zu öffnen. Wählen Sie nun den Benutzer LaunchDaemon-Ordner (oben aufgeführt) und klicken Sie auf Auswählen.

Wählen Sie den Launchdaemon-Ordner für die Ordneraktion Mac

Wiederholen Sie den obigen Vorgang für jeden LaunchAgents-Ordner.

Wenn Sie fertig sind, öffnen Sie den Finder und klicken Sie auf Gehe zu> Gehe zu Ordner oder drücken Sie Umschalt + Cmd + G, um das Navigationsdialogfeld zu öffnen. Geben Sie ~ / Library / LaunchAgents ein und klicken Sie auf Go .

Finder Gehe zu Ordner LaunchAgents

Klicken Sie mit der rechten Maustaste auf den Ordner " LaunchAgents ", und wählen Sie " Dienste"> " Ordneraktionen einrichten", um das Skript für neue Elementalarme an jeden Ordner zu binden.

Wählen Sie den Ordner Aktionen Setup, um den Skript-Mac zu binden

In dem angezeigten Dialogfeld sehen Sie die Liste der Ordner in der linken Spalte und das Skript in der rechten Spalte. Wenn Sie keine Skripts sehen, klicken Sie auf die Schaltfläche " Plus" und fügen Sie den neuen Eintrag "alert.scpt" hinzu .
Ordner Aktionen Setup aus dem Dialogfenster Mac

Erwägen Sie, diese Ordner mit Apps zu überwachen

Wenn Sie weitere Optionen für Warnungen zu diesen Ordnern wünschen, können Sie einige Tools von Drittanbietern ausprobieren.

EtreCheck ist ein macOS-Diagnosewerkzeug, das unter anderem den Ladezustand von LaunchDaemons und LaunchAgents von Drittanbietern anzeigt. Wenn Sie EtreCheck ausführen, sammelt es eine Vielzahl von Informationen über Ihren Mac. 9 Wichtige Informationen, die Sie über Ihren Mac wissen müssen 9 Wichtige Details, die Sie über Ihren Mac wissen müssen Als Mac-Benutzer müssen Sie bestimmte Details über Ihren Computer wissen Fehlerbehebung. Hier sind einige wichtige Mac-Details, die Sie jetzt überprüfen sollten. Lesen Sie mehr und präsentieren Sie es in einem leicht lesbaren Bericht. Es hat auch zusätzliche Hilfefunktionen im Umgang mit Adware, verdächtigen Dämonen und Agenten, nicht signierten Dateien und mehr.

Öffnen Sie EtreCheck und klicken Sie auf Scannen. Dies kann einige Minuten dauern. Sobald Sie fertig sind, sehen Sie eine vollständige Zusammenfassung Ihres Computers. Dies umfasst Haupt- und Nebenprobleme, Hardwarespezifikationen, Softwarekompatibilitätsprobleme, den Status von LaunchDaemons und LaunchAgents und vieles mehr.

Die App ist kostenlos für die ersten fünf Berichte und erfordert einen In-App-Kauf in Höhe von 10 US-Dollar für die fortgesetzte Nutzung.

etrecheck Generierungsbericht Mac

Lingon X ist ein weiteres Tool, mit dem Sie eine App, ein Skript oder einen Befehl automatisch nach einem Zeitplan starten können. Es kann auch alle LaunchDaemons und LauchAgents Ordner im Hintergrund überwachen und eine Benachrichtigung anzeigen, wenn sich etwas ändert. Sie können alle Elemente grafisch anzeigen und nach Bedarf anpassen.

Dieses Tool kann kostenlos getestet werden und kostet 15 US-Dollar für eine Volllizenz.

Lingon X-Schnittstelle Mac

So entfernen Sie LaunchDaemons und LaunchAgents

Die Ordner public / Library / LaunchAgents und / Library / LaunchDaemons sind sowohl für legitime als auch für illegitime Apps anfällig. Eine legitime App kann sie für das Marketing verwenden, während illegale Apps sie dazu verwenden können, Daten zu stehlen und das System zu infizieren.

Damit Adware und Malware erfolgreich sind, müssen sie in jeder Benutzersitzung bestehen bleiben. Um dies zu tun, erstellen Malware- und Adware-Autoren bösartigen Code und legen ihn im LaunchAgent- oder LaunchDaemon-Ordner ab. Jedes Mal, wenn Ihr Mac startet, stellt launchd sicher, dass der bösartige Code automatisch ausgeführt wird. Glücklicherweise können Sicherheits-Apps dagegen schützen.

Verwenden Sie Mac-Sicherheits-Apps

Der kostenlose KnockKnock arbeitet nach dem Prinzip der Persistenz. Es listet permanent installierte Apps und deren Komponenten in einer übersichtlichen Oberfläche auf. Klicken Sie auf die Schaltfläche Scannen, und KnockKnock scannt alle bekannten Orte, an denen sich Malware befinden könnte.

Der linke Bereich enthält die Kategorien persistenter Apps mit Namen und einer kurzen Beschreibung. Klicken Sie auf eine beliebige Gruppe, um die Elemente im rechten Fensterbereich anzuzeigen. Klicken Sie beispielsweise im linken Bereich auf Elemente starten, um alle LaunchAgents und LaunchDaemons anzuzeigen.

Knockknock-Benutzeroberfläche Mac

Jede Zeile enthält detaillierte Informationen zur App. Dazu gehörten der signierte oder nicht signierte Status, der Pfad zur Datei und die Antivirus-Scan-Ergebnisse von VirusTotal.

Eine weitere kostenlose Sicherheits-App von Objective-See, BlockBlock überwacht ständig Persistenz-Standorte. Die App läuft im Hintergrund und zeigt Ihnen eine Warnung, wenn Malware eine dauerhafte Komponente zu macOS hinzufügt.

Blockblock-App-Warnung

Nicht jede PLIST-Datei von Drittanbietern ist jedoch bösartig. Sie könnten von überall her kommen, einschließlich:

  • Komponenten von installierten Apps
  • Reste von alten Apps, die du nicht mehr benutzt
  • Reste von früheren macOS-Upgrades
  • Migrationsassistent-Reste
  • PUPs (potenziell unerwünschte Programme), Adware und Malware.

Sie möchten keine Komponenten installierter Apps löschen. Es ist jedoch vollkommen sicher, die Reste von alten Apps und Resten von früheren macOS-Upgrades zu entfernen (es sei denn, Sie möchten diese Apps weiterhin verwenden).

Es gibt keinen eindeutigen Deinstallationsvorgang dafür - einfach die PLIST-Datei löschen und neu starten. Oder Sie können es ausschneiden und auf Ihren Desktop kopieren, um eine Kopie zu erhalten und auf der sicheren Seite zu sein. Löschen Sie keine Elemente aus den Ordnern " System LaunchAgents" oder " LaunchDaemons", da sie für einen reibungslosen Betrieb von macOS erforderlich sind.

Adware und PUPs sind notorisch herausfordernd. Führen Sie bei Zweifelsfällen die kostenlose Version von Malwarebytes aus und erwägen Sie, auf Malwarebytes Premium zu aktualisieren, wenn Sie zusätzlichen Schutz benötigen.

Malwarebytes kostenloser Mac

Bleiben Sie vorsichtig bei Launch-Bedrohungen auf dem Mac

Wenn Sie diese Schritte befolgen, werden Sie rechtzeitig über neue Bedrohungen informiert und können Probleme lösen. Adware und PUPs werden immer beliebter und es kommen ständig neue Varianten von Malware auf den Markt.

Zum Glück hat macOS viele Möglichkeiten, dich zu schützen.

Der Trick besteht darin, diese Ordner zu überwachen und häufige Diagnoseprüfungen durchzuführen. Wenn Sie Zweifel haben, Google immer die potenziell bösartigen Prozessnamen. Aber wenn Sie die Fehler vermeiden, die Ihren Mac mit Malware infizieren 5 Einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren 5 Sie können meinen Mac mit Malware infizieren, aber es gibt immer Ausnahmen. Hier sind fünf Möglichkeiten, wie Sie Ihren Computer schmutzig machen können. Lesen Sie mehr, Sie sollten sich keine Sorgen machen.

In this article