10.12 Sierra Ai-je un malware ??

[Aglaglo]

Bonjour,

Suite a l'installation par ma copine d'une version de flash player dont j'ignore (elle aussi) la provenance j'ai paniqué légèrement et lancer une analyse Malwarebyte.

RAS .

Mais je suis aller faire un tour dans le moniteur d'activité et j'ai unutilisateur que je n'avais jamais vu, c'est peut-être rien mais j'ai " _ctkd " le nom de l'opération est également _ctkd .

Ne trouvant rien sur internet je demande vos lumières d'experts.


Merci à vous

 

[Sly54]

Bonjour,

Passe un coup de Malwarebytes, pour voir (https://fr.malwarebytes.org/antimalware/mac/)

 

[Aglaglo]

Hello , justement il ne détecte rien

c'est que ça doit aller ?!

 

[Romuald]

Heu, Sly, tu as lu sa première phrase ? Les quatre dernier mots ?


Sinon ctkd veut dire cryptotokenkit, c'est un framework standard. Par contre _ctkd, la je ne sais pas. Chez moi c'est ctkd qui tourne, et avec le user root (el capitan)

 

[Aglaglo]

Salut!

ah donc normal mais pas trop, tu penses qu'il y a raison de s'inquiéter ?

j'entends par là , est-ce que malwarebyte l'aurait détecté si il était méchant ?

 

[Romuald]

Déjà je désinstallerai flash player, surtout si tu ne sais pas d'où il vient. Si tu en as vraiment besoin va le chercher sur le site d'adobe.
Après, comme je te l'ai dit, chez moi, sous El Capitan, c'est ctkd et non _ctkd qui tourne. Mes connaissances s'arrêtent la. Si tu n'as pas rebooté ton mac depuis l'installation de flash tu peux aussi regarder le numéro de process : un petit numéro (153 chez moi) est signe qu'il a démarré peu après le boot, donc avant l'installation de flash.

 

[Aglaglo]

Merci !

Je l'ai fait immédiatement et est réinstaller une version officiel.

Le numéro est 187 (PID) . J'ai Reboot le mac en septembre .

En tout cas merci pour ces infos

 

[Membre supprimé 1060554]

les amis

_ctkd fait partie des "utilisateurs impersonnels" de l'OS (intitulés avec un undescore _ initial) > dûment répertorié dans la base de données users du Service d'Annuaire (Open Directory).

Pour s'en rendre compte > lancer le Terminal (Applications > Utilitaires > Terminal). Dans la fenêtre ouverte > saisir (copier-coller ; l'une après l'autre) les 2 commandes informatives :

diskutil listUsers /
dscacheutil -q user -a name _ctkd

et ↩︎ (presser la touche "Entrée" du clavier après chaque commande saisie pour l'exécuter)

• la 1ère affiche sans restriction la totalité des "utilisateurs" de l'OS : aussi bien les utilisateurs impersonnels (avec undescore _ ) que les utilisateurs personnels (noms pleins). En scrutant cette longue liste > on peut identifier le _ctkd.

• la 2è affiche un condensé des caractéristiques de son fichier d'utilisateur > ce qui donne -->

name: _ctkd
password: *
uid: 259
gid: 259
dir: /var/empty
shell: /usr/bin/false
gecos: ctkd Account

• en résumé : un obscur "utilisateur impersonnel" qui a une entière légitimité dans l'OS.

​

 

[Aglaglo]

C'est noté !

Comme d'habitude super forum !

Merci a tous

 

[Aglaglo]

Bonsoir a tous !

je reviens vers vous car j'ai remarqué quelque chose d'étrange. Mon mac chauffe pas mal alors que je ne fais rien de particulier . l'air sort brulant et le ventilo ne tourne pas fort comme quand je lance un lourd programme.

réflexe ==> Moniteur d'activité encore . Et la je remarque deux opérations qui prennent environ 150% du cpu chacune et qui disparaissent dès 2 secondes , et paf mon ordi retrouve sa température normal. J'ai vérifié ça tout le weekend et a chaque fois qu'il chauffe anormalement j'ouvre le MA et ça redescend... Et dans le graphique "charge processeur" Il y a un énorme pique qui descend d'un coup.

Etrange.

J'ai réussi a prendre un screen shot quand j'ai aperçu les 2 op . C'est "system-monitor" et "qemu-system-x86_... " . La première fois il y'avait autre chose mais impossible a deviner.

J'ai l'impression que mon ordi travail en back et des que je vais regarder le prog se cache
Voila pour le rapport.

c'est peut être rien , je l'espère. Désolé d'abuser de votre temps mais c'est comme ça qu'on apprend

Merci a vous

 

[Aglaglo]

D'après quelques recherches il s'agirait d'un système de minage de cryptomonnaie ou autres. (source: https://www.quora.com/What-is-Qemu-System-X86_64-It-takes-up-so-much-energy-in-my-Mac).

Il y a un moyen de m'en sortir sans formatage ?

EDIT:
Insomnie oblige, je continu l'enquête et fait un rapport ici. D'après mes recherches j'ai identifié les fichiers dans ; /usr/local/bin/ il y a
_qemu-system-x86_64
_system-monitor

et pleins d'autres. Apparement la date de création est le 13/03/19 . Et la majorité des fichiers présent ici on été crées le 13/03/19 alors que je n'ai aucune trace d'une quelconque installation ce jour là...

Dans /usr/local/Cellar Il y'a également un dossier "qemu" avec a l'intérieur un dossier 3.1.0_1.

Idem dans /usr/local/Share .


J'ai pas envie de supprimer un mauvais fichier. C'est pour ça que je préfère poster ici avant de faire quoi que ce soit.

 

[Moonwalker]

Dans le moniteur d'activité, tu sélectionnes le dit process et tu cliques sur le i en haut à gauche (afficher les informations du processus sélectionné).

Dans la fenêtre qui apparaît tu cliques sur Fichiers et ports ouverts dont les premières lignes d'indiqueront le nom et la localisation du process.

Tu notes le chemin, tu le forces à quitter et tu fais le ménages. Ne pas oublier d'inspecter les répertoires LaunchAgents et LaunchDaemons dans les deux bibliothèques, /Library et ~/Library.

Tu peux t'aider de MalwareBytes.

 

[Aglaglo]

Dans le moniteur d'activité, tu sélectionnes le dit process et tu cliques sur le i en haut à gauche (afficher les informations du processus sélectionné).

Dans la fenêtre qui apparaît tu cliques sur Fichiers et ports ouverts dont les premières lignes d'indiqueront le nom et la localisation du process.

Tu notes le chemin, tu le forces à quitter et tu fais le ménages. Ne pas oublier d'inspecter les répertoires LaunchAgents et LaunchDaemons dans les deux bibliothèques, /Library et ~/Library.

Tu peux t'aider de MalwareBytes.

Le soucis c'est qu'il disparait très rapidement. Il se cache le fourbe, pas le temps de cliquer dessus mais je l'ai chopé. Voir Edit du post précédent.
je sais même pas si c'est le seul élément douteux tellement il y'a de dossier etc.

Je vire le bin/system-monitor ?

 

[Moonwalker]

usr/local/Cellar c’est signe que tu as installé Homebrew

Qemu : https://www.qemu.org

Machine virtuelle de type Virtual Box et autres.

 

[Aglaglo]

usr/local/Cellar c’est signe que tu as installé Homebrew

Qemu : https://www.qemu.org

Machine virtuelle de type Virtual Box et autres.

Ah merci, je ne sais même pas ce que c'est. Je ne prête plus jamais mon mac

pour être sur je met deux petits screens:

 

[Moonwalker]

Heu... t'as prêté ta machine à un pingouin ? Parce qu'il semble qu'il y a tout pour faire tourner un GNU-Linux.

 

[Aglaglo]

Heu... t'as prêté ta machine à un pingouin ? Parce qu'il semble qu'il y a tout pour faire tourner un GNU-Linux.

non juste a ma copine. elle m'a avoué avoir installer des jeux pas très officiels . C'est mon macbook de 'loisir' donc j'étais pas trop méfiant.
J'ai même trouvé un dossier avec panneau interdit dans app support nommé "qemusys" . Poubelle.

Je réalise pas trop mais .. Je dois m'inquiéter de tout ça ?
Parceque j'ai jamais installer de gnu sur cette machine.

 

[Moonwalker]

Chapeau la copine !

Ce n'est pas une usine à gaz, c'est AZF.

Hé bien, si tu veux mon avis, t'es bon pour une chouette Clean Install.

Dans mon répertoire /usr/local il n'y a qu'un répertoire share dans lequel il y a man ; un bin et un lib où j'ai deux petits trucs que j'ai installé. Rien de plus.

Elle t'as foutu un souk pas croyable. En plus, avec des machins pas casher. La clean, y'a plus que ça.

 

[Aglaglo]

Chapeau la copine !

Ce n'est pas une usine à gaz, c'est AZF.

Hé bien, si tu veux mon avis, t'es bon pour une chouette Clean Install.

Dans mon répertoire /usr/local il n'y a qu'un répertoire share dans lequel il y a man ; un bin et un lib où j'ai deux petits trucs que j'ai installé. Rien de plus.

Elle t'as foutu un souk pas croyable. En plus, avec des machins pas casher. La clean, y'a plus que ça.

je te raconte pas le bordel dans 'man'


Bon ben demain j'y passe. J'ai nettoyé ce que je connaissait de "mauvais" mais la .. ça dépasse mes connaissances .

Merci l'ami !

 

[Sly54]

Ah merci, je ne sais même pas ce que c'est. Je ne prête plus jamais mon mac

La session Invités est là pour ça ! Mais à quoi ça sert qu'Apple se décarcasse…
Ou alors, tu crées une session non admin, rien que pour ta copine (vu qu'à chaque fermeture de la session Invités, elle est remise à zéro)