YaraScan Service ...

[TigerPeter]

... sorgt dafür das der Speicher zu 100% ausgelastet wird und der Mac stehen bleibt, nicht mehr reagiert.

 

[TigerPeter]

Guten Morgen,
sorry, bin das WE unterwegs.

Das Problem habe ich erst seit dem letzten Update. Ansonsten habe ich in letzter Zeit nichts neues installiert oder deinstalliert.
Gestern früh habe ich den Mac gestartet und den ganzen Tag im Ruhezustand belassen, abends war der YSS nicht mehr aktiv.
Ich hatte den YSS auch schon einfach beendet, funktioniert auch ohne Probleme.
Ich müsste wohl schauen, wie ich seinen Start erstmal verhindere?

 

[xentric]

Ich würde ja vorschlagen in die Konsole.app zu schauen (Dienstprogramme->Konsole). Aber da mir hier erzählt wurde dass die Konsole seit irgendeinem Release untauglich ist, .. kann ich Dir nur sagen, dass du einfach mal in die Systemlogs schauen musst. Da wird sicher was drin sein wenn die die MRT.app Amok läuft. Der Scan wird sich vermutlich bei irgendeiner Datei aufhängen oder ähnliches.

Sicher, verhindern dass YSS läuft kann man auch, aber das fixt ja das Problem als solches nicht, sondern ist eher ein Workaround.

 

[Olivetti]

Das Problem habe ich erst seit dem letzten Update.

YSS gibt's auch erst seit 10.13.6/10.14.
Läuft das denn bei jedem Start den Speicher zu oder ist jetzt Ruhe. Sollte eigentlich, wie Spotlight, nach einem Komplettscan nicht mehr auftreten.

 

[electricdawn]

Ok, jetzt muss ich doch mal dumm fragen: Was ist YSS und was ist MRT? Ist das ein Malwarescanner? Ich habe dazu nur was auf eForensics Magazine gefunden.

 

[Olivetti]

MRT: Apples MalwareRemovalTool.
YARA: Malware-Beschreibungssprache (zur Identifizierung und Klassifizierung von Schadsoftware).

 

[electricdawn]

Ok, das hilft mir dann doch etwas weiter. Danke Dir.

 

[Olivetti]

Und diesbezüglich sollten #2 und #3 mindestens überarbeitet werden.

 

[electricdawn]

Da hast Du natürlich recht. Aber ich denke, dass war, bis zu deiner Korrektur, den Wenigsten hier bewusst.

 

[xentric]

Ich crossposte mal von hier:

Hier ist noch jemand bei dem der Speicher voll lief mit der MRT.app:
MRT Process using large unbounded amount of memory

Bist auf jeden Fall nicht der einzige. Aber das so ein Ding "viel" Memory braucht ist halt auch einfach so.

Die MRT.app ausschalten kannst du angeblich mittels:

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.MRTd.plist

Edit:
What is "YaraScanService" and why does it hog all my RAM?
Apples Anti-Malware MRT.apps "Yarascan" went rogue and ate ~35GB of ram in about 10 mins
yarascanservice using 100gb of memory..

Ist vielleicht noch n bisschen beta das Teil.

 

[TigerPeter]

Danke für die zahlreichen Infos.
Meine "Lösung", ich habe mir die "Aktivitätsanzeige" angedockt. Nach jedem Neustart des Mac wird der "Yara" sofort per Hand beendet.
Ich hoffe das Apple den Mist erkennt und beim nächsten Update eine Lösung hat.

 

[MacMac512]

Dafür kann man sich auch einfach ein kleines Script mit dem automator basteln.
Damit kannst du das als Anmeldeobjekt automatisch starten lassen.

 

[tocotronaut]

so selten wie ich Neustarte würde ich das auch per Hand rauswerfen.

Andererseits wird vermutlich kein 10.13.7 kommen.
Das spricht eher für den Automator...

 

[Olivetti]

Andererseits wird vermutlich kein 10.13.7 kommen.

der ganze sicherheitskram kommt doch eh' silent.

 

[tocotronaut]

...Spricht wieder für die von Hand-Methode.

Dann bekommt man wenigstens mit, wenn es gefixt ist.

 

[Olivetti]

würde ich auch sagen.