Infection par Magnipic.info

[Moonwalker]

Je penses que tu as trouvé le troublions.

The Safe Mac » Malicious Genieo installers persist

The Safe Mac » Adware Removal Guide : Genieo

Et je vais le redire ici :


Ne téléchargez Flashplayer que sur le site d'Adobe.


Voilà le bon lien : Adobe - Installer Adobe Flash Player

Mettez-le dans vos signez et quand on vous demande de télécharger Flash n'utilisez que celui-là.

 

[prisca22]

Je penses que tu as trouvé le troublions.

The Safe Mac » Malicious Genieo installers persist

The Safe Mac » Adware Removal Guide : Genieo

Et je vais le redire ici :


Ne téléchargez Flashplayer que sur le site d'Adobe.


Voilà le bon lien : Adobe - Installer Adobe Flash Player

Mettez-le dans vos signez et quand on vous demande de télécharger Flash n'utilisez que celui-là.

Je pense n'avoir jamais installé FlashPlayer autrement qu'à partir du site d'Adobe... En tout cas, j'ai désinstallé le FlashPlayer présent et réinstallé la chose à partir du site d'Adobe.

Mais le bêtes sont toujours là.

 

[Moonwalker]

Je pense n'avoir jamais installé FlashPlayer autrement qu'à partir du site d'Adobe... En tout cas, j'ai désinstallé le FlashPlayer présent et réinstallé la chose à partir du site d'Adobe.

Mais le bêtes sont toujours là.

Les "bêtes" ne s'installent pas toutes seules. Mais bon, c'est ta machine, c'est ton problème.

Sur les liens que j'ai donné, t'as les instructions et surtout le chemin vers les fichiers à supprimer.

Pour accéder aux répertoires /Private et /usr passer par le menu Aller > Aller au dossier… du Finder.

 

[Membre supprimé 1060554]

[SCRIBE]

♢​

J'avais commencé de suivre avant Noël les échanges suscités par le message de prisca (que je salue - Honneur à la Priscilla Donna!), puis, sous l'effet de dissipation propre aux atmosphères festives, j'ai perdu le fil - c'est bien le cas de le dire .

Je viens de reprendre cette lecture pour m'apercevoir que ce fil avait hébergé une étonnante inter-activité impliquant pas moins de six chevaliers servants rivalisant d'ingéniosité en vue de sauver une demoiselle en détresse (boninmi, Pascal, Locke, Moonwalker, Polo & Antik - à qui je souhaite collectivement une Bonne Année). Moi que ma non-participation aux débats dote d'un 'regard neuf' et d'un 'cœur pur' (quand bien même l'imbécillité - forcément heureuse - est la sœur jumelle de l'innocence ), c'est avec une sorte d'émerveillement que je viens de suivre les marches et contre-marches de nos preux, lesquels, confrontés au perfide enchanteur «Genieo», si habile à dissimuler sa véritable nature sous des apparences trompeuses, ont eu fort à faire pour aller au-delà de l'apparence des Moulins_à_Vent qui arrêtèrent si fort le malheureux Don Quichotte dans sa quête au service de Dulcinée...

Car il semble que notre enchanteur ne réside pas dans les aîtres où sa malice s'exerce (le territoire de «Firefox») ; quant à lui couper le 'téléphone' avec l'extérieur (comme ingénieusement proposé par Polo), on peut se demander si la manœuvre obligerait l'enchanteur à se tenir tranquille dans son coin sans jouer les trublions à domicile.

J'ai l'impression (sans aucun mérite de ma part, mais grâce à cette faculté de survol rétrospectif des épigones) que les derniers liens donnés par Moonwalker (dont je tiens à saluer au passage la bonne fortune qui lui échut dans l'espace de ce fil d'accéder à la Vénérable Sagesse - d'où s'ensuivit un port de blason) donnent les adresses permettant de débusquer l'enchanteur dans ses repaires (sachant que comme l'Hydre il se répartit en de multiples têtes de pont).

♤​

Si je me borne donc, ici, à un rôle de scribe copieur du manuscrit d'autrui [ce qui pourrait d'avérer un raccourci ultérieurement commode à d'autres victimes de l'enchanteur «Geneio»] - voici la cartographie indiquant les chemins à suivre pour décapiter le monstre :

1. /Applications/Genieo
   
   
2. /Applications/Uninstall Genieo
   
   
3. /Library/LaunchAgents/com.genieoinnovation.macextension.plist
   
   
4. /Library/LaunchAgents/com.genieoinnovation.macextension.client.plist
   
   
5. /Library/LaunchAgents/com.genieo.engine.plist
   
   
6. /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client
   
   
7. /private/etc/launchd.conf
   
   
8. /usr/lib/libgenkit.dylib
   
   
9. /usr/lib/libimckit.dylib
   
   
10. /usr/lib/libimckitsa.dylib
    
    
11. /Library/Frameworks/GenieoExtra.framework

♧​

☞ comme indiqué par Moonwalker, pour aller au répertoire /usr qui est invisible, utiliser la combinaison de touches : ⇧⌘G dans le Finder (correspondant à son menu : Aller/Aller au dossier...) et taper dans le champ de saisie : /usr pour se rendre dans l'espace de ce répertoire où on trouve le sous-dossier /lib requis. De même pour le répertoire /private, dans l'espace duquel on trouve le sous-dossier /etc requis.


☞ l'auteur de cette cartographie d'éradication de l'enchanteur «Genieo» (sur le site : thesafemac.com) préconise d'opérer en 2 temps :

• Déplacer à la corbeille les items 1-10 exclusivement (sans chercher à la vider, dans la mesure où les processus dont ils sont la base sont actuellement actifs depuis le lancement de la session) ;
  
  
• Re-démarrer le Mac (de manière à ré-ouvrir une session sans que les processus relevant de «Genieo» aient pu être réactivés) ;
  
  
• Aller seulement à l'adresse de l'item n° 11 (le dernier) et le mettre à son tour à la corbeille.
  
  
• Vider la corbeille et re-démarrer.

☞ Un mot-de-passe admin sera demandé ça et là pour pouvoir déplacer tel ou tel item à la corbeille.

♡​

[/SCRIBE]

 

[lamainfroide]

Tout ceci en termes charmants est fort bien dit.

Qui plus est, la manière d'éradiquer le fâcheux trublion est fort claire.
J'en suis à être déçu de ne pas l'avoir en mon royaume pour pouvoir le fendre par le milieu (le non désiré parasite).

 

[Moonwalker]

Je pense n'avoir jamais installé FlashPlayer autrement qu'à partir du site d'Adobe... En tout cas, j'ai désinstallé le FlashPlayer présent et réinstallé la chose à partir du site d'Adobe.

Effectivement, à la lueur d'un autre post, je pense savoir comment tu t'es faite vérolée.
[Sorti du contexte, c'est affreux ce que je viens d'écrire ]

http://forums.macg.co/internet-reseau/safari-5-1-crash-install-winrar-1238264.html

 

[prisca22]

[SCRIBE]

♢​

J'avais commencé de suivre avant Noël les échanges suscités par le message de prisca (que je salue - Honneur à la Priscilla Donna!), puis, sous l'effet de dissipation propre aux atmosphères festives, j'ai perdu le fil - c'est bien le cas de le dire .

Je viens de reprendre cette lecture pour m'apercevoir que ce fil avait hébergé une étonnante inter-activité impliquant pas moins de six chevaliers servants rivalisant d'ingéniosité en vue de sauver une demoiselle en détresse (boninmi, Pascal, Locke, Moonwalker, Polo & Antik - à qui je souhaite collectivement une Bonne Année). Moi que ma non-participation aux débats dote d'un 'regard neuf' et d'un 'cœur pur' (quand bien même l'imbécillité - forcément heureuse - est la sœur jumelle de l'innocence ), c'est avec une sorte d'émerveillement que je viens de suivre les marches et contre-marches de nos preux, lesquels, confrontés au perfide enchanteur «Genieo», si habile à dissimuler sa véritable nature sous des apparences trompeuses, ont eu fort à faire pour aller au-delà de l'apparence des Moulins_à_Vent qui arrêtèrent si fort le malheureux Don Quichotte dans sa quête au service de Dulcinée...

Car il semble que notre enchanteur ne réside pas dans les aîtres où sa malice s'exerce (le territoire de «Firefox») ; quant à lui couper le 'téléphone' avec l'extérieur (comme ingénieusement proposé par Polo), on peut se demander si la manœuvre obligerait l'enchanteur à se tenir tranquille dans son coin sans jouer les trublions à domicile.

J'ai l'impression (sans aucun mérite de ma part, mais grâce à cette faculté de survol rétrospectif des épigones) que les derniers liens donnés par Moonwalker (dont je tiens à saluer au passage la bonne fortune qui lui échut dans l'espace de ce fil d'accéder à la Vénérable Sagesse - d'où s'ensuivit un port de blason) donnent les adresses permettant de débusquer l'enchanteur dans ses repaires (sachant que comme l'Hydre il se répartit en de multiples têtes de pont).

♤​

Si je me borne donc, ici, à un rôle de scribe copieur du manuscrit d'autrui [ce qui pourrait d'avérer un raccourci ultérieurement commode à d'autres victimes de l'enchanteur «Geneio»] - voici la cartographie indiquant les chemins à suivre pour décapiter le monstre :

1. /Applications/Genieo
2. /Applications/Uninstall Genieo
3. /Library/LaunchAgents/com.genieoinnovation.macextension.plist
4. /Library/LaunchAgents/com.genieoinnovation.macextension.client.plist
5. /Library/LaunchAgents/com.genieo.engine.plist
6. /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client
7. /private/etc/launchd.conf
8. /usr/lib/libgenkit.dylib
9. /usr/lib/libimckit.dylib
10. /usr/lib/libimckitsa.dylib
11. /Library/Frameworks/GenieoExtra.framework

♧​

☞ comme indiqué par Moonwalker, pour aller au répertoire /usr qui est invisible, utiliser la combinaison de touches : ⇧⌘G dans le Finder (correspondant à son menu : Aller/Aller au dossier...) et taper dans le champ de saisie : /usr pour se rendre dans l'espace de ce répertoire où on trouve le sous-dossier /lib requis. De même pour le répertoire /private, dans l'espace duquel on trouve le sous-dossier /etc requis.


☞ l'auteur de cette cartographie d'éradication de l'enchanteur «Genieo» (sur le site : thesafemac.com) préconise d'opérer en 2 temps :

• Déplacer à la corbeille les items 1-10 exclusivement (sans chercher à la vider, dans la mesure où les processus dont ils sont la base sont actuellement actifs depuis le lancement de la session) ;
• Re-démarrer le Mac (de manière à ré-ouvrir une session sans que les processus relevant de «Genieo» aient pu être réactivés) ;
• Aller seulement à l'adresse de l'item n° 11 (le dernier) et le mettre à son tour à la corbeille.
• Vider la corbeille et re-démarrer.

☞ Un mot-de-passe admin sera demandé ça et là pour pouvoir déplacer tel ou tel item à la corbeille.

♡
[/SCRIBE]​

Merci preux chevalier pour ces lignes super marrantes. Ça fait du bien d'avoir de l'humour... :zen:

Le problème est que j'ai viré l'application qui était en quarantaine chez VB. Et vidé la corbeille. Il y avait d'autres fichiers attrapés par VB que j'avais viré auparavant (je ne me souviens pas vraiment desquels). Je n'ai pas l'appli en question dans LaunchAgents.
Faudrait-il que je suive ton parcours (un peu infernal) ? Si oui, pourrais-tu expliquer un peu mieux la marche à suivre. Par exemple, je n'ai pas (et n'ai jamais eu) Genieo dans mon dossier Applications. Donc Uninstall ??? Est-ce que par ailleurs, il faut suivre ton chemin pas à pas ? J'ai effectivement trouvé /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client. Pas trouvé /usr/lib/libgenkit.dylib les autres oui. Est-ce qu'il faut virer chacun de ces éléments ?
​

 

[Membre supprimé 1060554]

Salut prisca.

Eh oui! Il faut faire le tour complet en suivant le guide. Avec un seul mot d'ordre : éradication méthodique de tout ce qui correspond à une étiquette de la liste. Le procédé est d'aller successivement à chacune des 11 adresses et alors : si le fichier attendu (d'après le tableau) est là : hop! corbeille et adresse suivante où tu fais de même ; si le fichier attendu n'est pas là (car tu as déjà fait pas mal de ménage), hop! adresse suivante et derechef même procédure.

Bref, tu te prends pour une exterminatrice de cafards inflexible (et pas pour une observatrice à la binoculaire de la morphologie des blattes) .

Une fois que tu as fait le tour complet des 11 adresses en ayant fait place nette de tout ce qui peut l'être (et de rien d'autre que ce qui est listé, n'est-ce pas?) - tu re-démarres et tu vérifies dans ton navigateur si l'enchanteur malin continue de jouer des tours ou non.

 

[prisca22]

Salut prisca.

Eh oui! Il faut faire le tour complet en suivant le guide. Avec un seul mot d'ordre : éradication méthodique de tout ce qui correspond à une étiquette de la liste. Le procédé est d'aller successivement à chacune des 11 adresses et alors : si le fichier attendu (d'après le tableau) est là : hop! corbeille et adresse suivante où tu fais de même ; si le fichier attendu n'est pas là (car tu as déjà fait pas mal de ménage), hop! adresse suivante et derechef même procédure.

Bref, tu te prends pour une exterminatrice de cafards inflexible (et pas pour une observatrice à la binoculaire de la morphologie des blattes) .

Une fois que tu as fait le tour complet des 11 adresses en ayant fait place nette de tout ce qui peut l'être (et de rien d'autre que ce qui est listé, n'est-ce pas?) - tu re-démarres et tu vérifies dans ton navigateur si l'enchanteur malin continue de jouer des tours ou non.

Ô Chevalier émérite, merci de ces précisions. Je vais suivre le parcours d'éradication espéré de ladite bête infernale. Mais, VB est en train d'analyser le DD qui comporte les backups de TM. Et ça depuis avant hier. J'ai laissé allumé mon ordi pendant la nuit, peansant que l'analyse serait terminée au matin, mais je pense que quand l'écran se met en veille, le compteur cesse de tourner : et donc, ça n'a servi à rien de le laisser allumé. Comme je voudrais être certaine que la bé-bête ne se trouvé là aussi, je préfère le laisser terminer. Je dis ça parce que si je redémarre, VB s'arrête et il faudra recommencer l'analyse à partir de 0. C'est dommage que VB ne donne pas la possibilité de suivre l'évolution de l'analyse par une ligne qui témoigne de l'avancement de la chose ou du moins le nombre total de fichiers à analyser pour permettre de voir où nous en sommes.
A moins d'avoir une autre idée quant à VB, j'attends que ça termine avant de faire le ménage.

 

[prisca22]

Bon, ça y est. VB a termine son analyse du DD de TM. Il a trouvé 408 fichiers. Les voici (certains sont répétés plusieurs fois, je ne ferai pas la répétition )
- Chronoposto Suivi Votre colis.2exe -- W32/Jorik.Androm.phu (dans dossier
Téléchargement) (52 fois)
- Chronoposto Suivi Votre colis.exe -- W32/Jorik.Androm.phu (dans dossier
Téléchargement) (53 fois)
- Application -- OSX/Genio.b (dans dossier MacOS)
(19 fois)
- com.genieoinnovation.macextension.client -- OSX/Genio.B (2 fichers alternés : 1
ressemble à Terminal, l'autre à un document lambda) (18 fois) (l'icône document
vient du dossier PrivilegeHelperTools; l'icoône Terminal de LauchServices)
- com.geneioinnovation.macextension.client.plist -- OSX/Genio.B (dans dossier
LaunchDaemons) (19 fois)
- com.genieo.macextension.plist -- OSX/Genio.B (alternativement, comme ci-dessus, dans
dossier en.lproj et aussi dans dossier LauchAgents) (19 fois)
- gen_ext_bundle -- OSX/Genio.B (dans dossier gen_ext_bundle.framework>Versions>A
(19 fois)
- gen_ext_bundle_stub - OSX/Genio.C (dans dossier du même nom >Contents>MacOS>
gen_ext_bundle_stub (19 fois)
- info.plist -- OSC/Genie.A (57 fois) (alternativement dans dossier
GenieoExtra.framework>Contents>Resources>Payload>Contents>puis info.plist puis
dans dossier GenieoExtra.framework>Contents>info.plist
- Laposte.exe -- W32/Zbot.eto (dans dossier Téléchargements Mail) (38 fois)
- libimckit.dylib -- OSX/Genio.E (dans dossier usr>lib>libimckit.dylib (19 fois)
- libimckitsa.dylig -- OSX/Genio.A (dans dossier usr>lib>libimckitsa.dylig (19 fois)
- Payload (icône qui ressemble à Terminal) -- OSX/Genio.B (dans dossier
Frameworks>GenieoExtra.framework>Contents>Resources>
Payload.bundle>Contents>MacOS>Payload (19 fois)

Concernant les "genieo", je pense que j'ai dû avoir été infectée le 19 décembre et que chaque fois marquée correspond à la sauvegarde d'une journée. Cela va jusqu'au 7 janvier, ce qui fait sens, vu que j'ai viré l'appli ce jour-là.
La Poste est plus vieux = 2010 (septembre à décembre) et 2011 (janvier à septembre)
Chronopost dure depuis Juin 2013 jusqu'au 7 janvier 2014 !
Il me semble que les W32 sont bien des virus, non ? Comment Virus Barrier n'a rien détecté ? :mad:

J'attends vos lumières pour les virer. :zen:

 

[Moonwalker]

Ben, t'en a ramassé de la saleté. Il faut apprendre à être prudente et ne pas télécharger n'importe quoi.

Evite Softonic, c'est un distributeur de malwares.

Tu utilises la version gratuite de VB ?

T'as pas une option Réparer ? Si oui ça sert justement à liquider la merde.

Sinon tu suis le chemin des fichiers et tu les supprime via l'interface de Time Machine.

Mais comme ce n'est qu'un disque de sauvegardes Time Machine, je ne m'emmerderais pas et j'effacerais tout.

Et le Mac, il va comment ?

 

[Membre supprimé 1060554]

Salut prisca.

Libre à toi de faire l'école buissonnière dans tes sauvegardes, mais considère bien que la seule question importante est :

Et le Mac, il va comment ?

⚔

[À présent, en admettant que la sauvegarde «TimeMachine» présente une image actuelle de l'OS du Mac, voici ce qui se dégage :]​

Concernant Genieo, tu peux constater que le repérage de ton logiciel «VirusBarrier» (à propos de ta sauvegarde) recoupe les entrées du tableau que j'ai donné précédemment pour les LaunchAgents (items 3 et 4), le PriviledgedHelperTools (item 6), 2 des 3 librairies .dylib (items 9 et 10 du tableau) et le Framework (item 11).

Certains fichiers sont listés qui manifestement n'ont qu'une existence incluse dans le dossier du framework et non indépendante.

Certaines entrées de mon tableau ne sont pas repérées (par exemple l'application Genieo), pour la raison que tu as déjà fait le ménage la concernant.

Le seul fichier prétendu par «VirusBarrier» qui constituerait un extra par rapport au tableau serait un : com.genieoinnovation.macextension.client.plist qui relèverait du répertoire des 'LaunchDaemons' de la /Library (Bibliothèque Générale) - fichier attendu dans le répertoire connexe des 'LaunchAgents' => ce qui me laisse penser qu'il y a quelque part erreur de lecture (mais sait-on jamais?).

Par contre, «VirusBarrier» ne repère pas le fichier de config : launchd.conf à l'adresse : /private/etc

[NB. Ce que tu appelles un fichier 'Terminal' est un fichier exécutable arborant l'icône d'un rectangle anthracite avec le sigle vert : exec en haut à gauche. Par contre, je ne vois pas ce que des items 'postaux' auraient à voir avec la problème «Genieo» qui est le sujet de ce fil. Laisse-les en pâture à «VirusBarrier».]

✄​

☞ au vu de ce bilan, je ne peux que répéter pour la 3è fois (bis repetita placent, sed perseverare diabolicum :bebe - va, sur ton Mac, respectivement à chacune des adresses suivantes [je ne peux pas le faire à ta place et ça va te prendre au maximum 3 minutes] :

1. /Applications/Genieo
2. /Applications/Uninstall Genieo
3. /Library/LaunchAgents/com.genieoinnovation.macextension.plist
4. /Library/LaunchAgents/com.genieoinnovation.macextension.client.plist
5. /Library/LaunchAgents/com.genieo.engine.plist
6. /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client
7. /private/etc/launchd.conf
8. /usr/lib/libgenkit.dylib
9. /usr/lib/libimckit.dylib
10. /usr/lib/libimckitsa.dylib
11. /Library/Frameworks/GenieoExtra.framework
    
    et en extra (on ne sait jamais) à :
    
    
12. /Library/LaunchDaemons/com.genieoinnovation.macextension.client.plist

et - de deux choses l'une :

• soit l'item attendu est présent ⇒ alors tu le sélectionnes avec le pointeur et tu fais ⌘← (mettre le fichier à la corbeille / lorsqu'un mot-de-passe admin est demandé pour ce faire, tu le renseignes). Après quoi tu passes à l'adresse suivante et tu recommences ;
  
  
• soit l'item attendu n'est pas présent ⇒ tu passes directement à l'adresse suivante et tu recommences.

Une fois l'apurage fait de 1 à 12, tu re-démarres ton Mac. Une fois le re-démarrage effectué, tu peux vider la corbeille et tester ton navigateur.

♨︎​

 

[boninmi]

Et quand tu seras sûre d'avoir éradiqué le malware de ton Mac (disque MacintoshHD) en suivant les indications de macomaniac, efface le disque Time Machine (Applications -> Utilitaires -> Utilitaire de Disque, sélectionner le disque Time Machine, et bouton Effacer) et fais une nouvelle sauvegarde Time Machine, propre, comme dit Moonwalker.

 

[prisca22]

Ben, t'en a ramassé de la saleté. Il faut apprendre à être prudente et ne pas télécharger n'importe quoi.

Evite Softonic, c'est un distributeur de malwares.

Tu utilises la version gratuite de VB ?

T'as pas une option Réparer ? Si oui ça sert justement à liquider la merde.

Sinon tu suis le chemin des fichiers et tu les supprime via l'interface de Time Machine.

Mais comme ce n'est qu'un disque de sauvegardes Time Machine, je ne m'emmerderais pas et j'effacerais tout.

Et le Mac, il va comment ?

Merci Moonwalker. Je ne savais pas que Softonic distribue de malware ! Je lui faisais plutôt confiance. Je le saurai dorénavant.

Ma version de VB est bien payante. Il y a des options faire confiance / réparer / ou mettre en quarantaine lorsqu'elle trouve qqchose. J'efface tout le DD de TM et je recommence ?

---------- Nouveau message ajouté à 23h00 ---------- Le message précédent a été envoyé à 22h58 ----------

Salut prisca.

Libre à toi de faire l'école buissonnière dans tes sauvegardes, mais considère bien que la seule question importante est :

⚔

[À présent, en admettant que la sauvegarde «TimeMachine» présente une image actuelle de l'OS du Mac, voici ce qui se dégage :]​

Concernant Genieo, tu peux constater que le repérage de ton logiciel «VirusBarrier» (à propos de ta sauvegarde) recoupe les entrées du tableau que j'ai donné précédemment pour les LaunchAgents (items 3 et 4), le PriviledgedHelperTools (item 6), 2 des 3 librairies .dylib (items 9 et 10 du tableau) et le Framework (item 11).

Certains fichiers sont listés qui manifestement n'ont qu'une existence incluse dans le dossier du framework et non indépendante.

Certaines entrées de mon tableau ne sont pas repérées (par exemple l'application Genieo), pour la raison que tu as déjà fait le ménage la concernant.

Le seul fichier prétendu par «VirusBarrier» qui constituerait un extra par rapport au tableau serait un : com.genieoinnovation.macextension.client.plist qui relèverait du répertoire des 'LaunchDaemons' de la /Library (Bibliothèque Générale) - fichier attendu dans le répertoire connexe des 'LaunchAgents' => ce qui me laisse penser qu'il y a quelque part erreur de lecture (mais sait-on jamais?).

Par contre, «VirusBarrier» ne repère pas le fichier de config : launchd.conf à l'adresse : /private/etc

[NB. Ce que tu appelles un fichier 'Terminal' est un fichier exécutable arborant l'icône d'un rectangle anthracite avec le sigle vert : exec en haut à gauche. Par contre, je ne vois pas ce que des items 'postaux' auraient à voir avec la problème «Genieo» qui est le sujet de ce fil. Laisse-les en pâture à «VirusBarrier».]

✄​

☞ au vu de ce bilan, je ne peux que répéter pour la 3è fois (bis repetita placent, sed perseverare diabolicum :bebe - va, sur ton Mac, respectivement à chacune des adresses suivantes [je ne peux pas le faire à ta place et ça va te prendre au maximum 3 minutes] :

1. /Applications/Genieo
2. /Applications/Uninstall Genieo
3. /Library/LaunchAgents/com.genieoinnovation.macextension.plist
4. /Library/LaunchAgents/com.genieoinnovation.macextension.client.plist
5. /Library/LaunchAgents/com.genieo.engine.plist
6. /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client
7. /private/etc/launchd.conf
8. /usr/lib/libgenkit.dylib
9. /usr/lib/libimckit.dylib
10. /usr/lib/libimckitsa.dylib
11. /Library/Frameworks/GenieoExtra.framework
    
    et en extra (on ne sait jamais) à :
12. /Library/LaunchDaemons/com.genieoinnovation.macextension.client.plist

et - de deux choses l'une :

• soit l'item attendu est présent ⇒ alors tu le sélectionnes avec le pointeur et tu fais ⌘← (mettre le fichier à la corbeille / lorsqu'un mot-de-passe admin est demandé pour ce faire, tu le renseignes). Après quoi tu passes à l'adresse suivante et tu recommences ;
• soit l'item attendu n'est pas présent ⇒ tu passes directement à l'adresse suivante et tu recommences.

Une fois l'apurage fait de 1 à 12, tu re-démarres ton Mac. Une fois le re-démarrage effectué, tu peux vider la corbeille et tester ton navigateur.

♨︎​

Ce sera mon programme pour demain. Merci.

---------- Nouveau message ajouté à 23h01 ---------- Le message précédent a été envoyé à 23h00 ----------

Et quand tu seras sûre d'avoir éradiqué le malware de ton Mac (disque MacintoshHD) en suivant les indications de macomaniac, efface le disque Time Machine (Applications -> Utilitaires -> Utilitaire de Disque, sélectionner le disque Time Machine, et bouton Effacer) et fais une nouvelle sauvegarde Time Machine, propre, comme dit Moonwalker.

Merci Bonimi. C'est ce que je ferai demain. Je vous tiendrai tous au courant. :zen::zen::zen:

 

[Moonwalker]

Merci Moonwalker. Je ne savais pas que Softonic distribue de malware ! Je lui faisais plutôt confiance. Je le saurai dorénavant.

Ma version de VB est bien payante. Il y a des options faire confiance / réparer / ou mettre en quarantaine lorsqu'elle trouve qqchose. J'efface tout le DD de TM et je recommence ?

Ouaip. Je n'y téléchargeais que très rarement mais je ne pensais pas qu'ils étaient tombés si bas. Il y a une forte probabilité que tes malwares viennent de là-bas.

Ils avaient déjà été signalés par la patrouille au mois d'avril mais là c'est le pompon.

Ils se prétendent sûrs mais ils mentent : récidivistes en mai, octobre et en décembre.

Eviter CNET Download également.

Personnellement, je ne télécharge que sur le site du développeur de l'application, comme cela je suis sûr d'avoir la version la plus récente.

Pour une nouvelle application, je passe d'abords chez MacUpdate lire les avis (car parfois il peut y avoir un bug) et je clique sur le bouton qui dirige vers le site du développeur.

Pour Time Machine, oui, tant qu'à faire, autant repartir de zéro quand tu auras fait le ménage sur ton Mac.

Suis les instructions de Macomaniac . Passe un dernier coup de Virus Barrier sur ton DD interne. Liquide ce qu'il d'indiquera (Réparer) et recommence de belles et propres sauvegardes Time Machine sur un DD re-formaté.


Autre chose. Pour Virus Barrier, il faut te mettre en mode Analyse en temps réel. Sinon il ne détectera rien que tu ne lui soumets par directement. J'ai demandé à un ami de faire un test de VB sur un logiciel venu de Softonic, et ça n'a pas coupé, le genieo a été détecté dès l'ouverture du dmg.

 

[prisca22]

Ouaip. Je n'y téléchargeais que très rarement mais je ne pensais pas qu'ils étaient tombés si bas. Il y a une forte probabilité que tes malwares viennent de là-bas.

Ils avaient déjà été signalés par la patrouille au mois d'avril mais là c'est le pompon.

Ils se prétendent sûrs mais ils mentent : récidivistes en mai, octobre et en décembre.

Eviter CNET Download également.

Personnellement, je ne télécharge que sur le site du développeur de l'application, comme cela je suis sûr d'avoir la version la plus récente.

Pour une nouvelle application, je passe d'abords chez MacUpdate lire les avis (car parfois il peut y avoir un bug) et je clique sur le bouton qui dirige vers le site du développeur.

Pour Time Machine, oui, tant qu'à faire, autant repartir de zéro quand tu auras fait le ménage sur ton Mac.

Suis les instructions de Macomaniac . Passe un dernier coup de Virus Barrier sur ton DD interne. Liquide ce qu'il d'indiquera (Réparer) et recommence de belles et propres sauvegardes Time Machine sur un DD re-formaté.


Autre chose. Pour Virus Barrier, il faut te mettre en mode Analyse en temps réel. Sinon il ne détectera rien que tu ne lui soumets par directement. J'ai demandé à un ami de faire un test de VB sur un logiciel venu de Softonic, et ça n'a pas coupé, le genieo a été détecté dès l'ouverture du dmg.

OK, je n'ai pas eu le temps aujourd'hui. J'ai eu un deuil dans la famille Je vais faire tout ce ménage dès que possible.
Par ailleurs, mon VB est bien en Analyse en temps réel, bien sûr. Mais il n'a pas détecté la chose. :mad: J'avais même un indicateur sur ma barre de menus indiquant l'activité de VB, qui n'existe plus dans cette dernière version.

 

[Moonwalker]

OK, je n'ai pas eu le temps aujourd'hui. J'ai eu un deuil dans la famille Je vais faire tout ce ménage dès que possible.
Par ailleurs, mon VB est bien en Analyse en temps réel, bien sûr. Mais il n'a pas détecté la chose. :mad: J'avais même un indicateur sur ma barre de menus indiquant l'activité de VB, qui n'existe plus dans cette dernière version.

C'est bizarre pour VB, chez mon ami cela a crié tout de suite.

Dans les liens que j'ai mis, ils indiquent avoir ajouté genieo aux définitions malwares.

Intego VirusBarrier users with up-to-date virus definitions will detect the components of this threat as OSX/Genio.

 

[prisca22]

[SCRIBE]

♢​

J'avais commencé de suivre avant Noël les échanges suscités par le message de prisca (que je salue - Honneur à la Priscilla Donna!), puis, sous l'effet de dissipation propre aux atmosphères festives, j'ai perdu le fil - c'est bien le cas de le dire .

Je viens de reprendre cette lecture pour m'apercevoir que ce fil avait hébergé une étonnante inter-activité impliquant pas moins de six chevaliers servants rivalisant d'ingéniosité en vue de sauver une demoiselle en détresse (boninmi, Pascal, Locke, Moonwalker, Polo & Antik - à qui je souhaite collectivement une Bonne Année). Moi que ma non-participation aux débats dote d'un 'regard neuf' et d'un 'cœur pur' (quand bien même l'imbécillité - forcément heureuse - est la sœur jumelle de l'innocence ), c'est avec une sorte d'émerveillement que je viens de suivre les marches et contre-marches de nos preux, lesquels, confrontés au perfide enchanteur «Genieo», si habile à dissimuler sa véritable nature sous des apparences trompeuses, ont eu fort à faire pour aller au-delà de l'apparence des Moulins_à_Vent qui arrêtèrent si fort le malheureux Don Quichotte dans sa quête au service de Dulcinée...

Car il semble que notre enchanteur ne réside pas dans les aîtres où sa malice s'exerce (le territoire de «Firefox») ; quant à lui couper le 'téléphone' avec l'extérieur (comme ingénieusement proposé par Polo), on peut se demander si la manœuvre obligerait l'enchanteur à se tenir tranquille dans son coin sans jouer les trublions à domicile.

J'ai l'impression (sans aucun mérite de ma part, mais grâce à cette faculté de survol rétrospectif des épigones) que les derniers liens donnés par Moonwalker (dont je tiens à saluer au passage la bonne fortune qui lui échut dans l'espace de ce fil d'accéder à la Vénérable Sagesse - d'où s'ensuivit un port de blason) donnent les adresses permettant de débusquer l'enchanteur dans ses repaires (sachant que comme l'Hydre il se répartit en de multiples têtes de pont).

♤​

Si je me borne donc, ici, à un rôle de scribe copieur du manuscrit d'autrui [ce qui pourrait d'avérer un raccourci ultérieurement commode à d'autres victimes de l'enchanteur «Geneio»] - voici la cartographie indiquant les chemins à suivre pour décapiter le monstre :

1. /Applications/Genieo
2. /Applications/Uninstall Genieo
3. /Library/LaunchAgents/com.genieoinnovation.macextension.plist
4. /Library/LaunchAgents/com.genieoinnovation.macextension.client.plist
5. /Library/LaunchAgents/com.genieo.engine.plist
6. /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client
7. /private/etc/launchd.conf
8. /usr/lib/libgenkit.dylib
9. /usr/lib/libimckit.dylib
10. /usr/lib/libimckitsa.dylib
11. /Library/Frameworks/GenieoExtra.framework

♧​

☞ comme indiqué par Moonwalker, pour aller au répertoire /usr qui est invisible, utiliser la combinaison de touches : ⇧⌘G dans le Finder (correspondant à son menu : Aller/Aller au dossier...) et taper dans le champ de saisie : /usr pour se rendre dans l'espace de ce répertoire où on trouve le sous-dossier /lib requis. De même pour le répertoire /private, dans l'espace duquel on trouve le sous-dossier /etc requis.


☞ l'auteur de cette cartographie d'éradication de l'enchanteur «Genieo» (sur le site : thesafemac.com) préconise d'opérer en 2 temps :

• Déplacer à la corbeille les items 1-10 exclusivement (sans chercher à la vider, dans la mesure où les processus dont ils sont la base sont actuellement actifs depuis le lancement de la session) ;
• Re-démarrer le Mac (de manière à ré-ouvrir une session sans que les processus relevant de «Genieo» aient pu être réactivés) ;
• Aller seulement à l'adresse de l'item n° 11 (le dernier) et le mettre à son tour à la corbeille.
• Vider la corbeille et re-démarrer.

☞ Un mot-de-passe admin sera demandé ça et là pour pouvoir déplacer tel ou tel item à la corbeille.

♡​

[/SCRIBE]

Bonjour tout le monde. J'ai été indisponible ces jours-ci : deuil dans la famille...

J'ai suivi les indications de Macomaniac de 1 à 11/12 à la lettre. Redémarré quand il fallait etc. Mais catastrophe, c'est toujours là. Dans des sites comme Kiabi (où tout ça est très actif, j'ai "content.static7.superfish.com", qui est remplacé par "content.magnipic.info" en bas et à gauche (qui ne sont pas actifs comme des pop-ups, mais sont juste là, en tout cas, apparemment), puis "Save Keep" en Pop-Up avec des offres similaires, puis en bas à droite, un pop-up nommé "COUPONS" avec le nom du site où l'on se trouve. Ici on propose des réductions de XX euros ou XX% etc... Wouin :mad::mad::mad:

PS : j'ai revérifié 3 fois les éléments à virer qui ne sont plus là. Ai redémarré 2 fois

 

[prisca22]

Bonjour tout le monde. J'ai été indisponible ces jours-ci : deuil dans la famille...

J'ai suivi les indications de Macomaniac de 1 à 11/12 à la lettre. Redémarré quand il fallait etc. Mais catastrophe, c'est toujours là. Dans des sites comme Kiabi (où tout ça est très actif, j'ai "content.static7.superfish.com", qui est remplacé par "content.magnipic.info" en bas et à gauche (qui ne sont pas actifs comme des pop-ups, mais sont juste là, en tout cas, apparemment), puis "Save Keep" en Pop-Up avec des offres similaires, puis en bas à droite, un pop-up nommé "COUPONS" avec le nom du site où l'on se trouve. Ici on propose des réductions de XX euros ou XX% etc... Wouin :mad::mad::mad:

PS : j'ai revérifié 3 fois les éléments à virer qui ne sont plus là. Ai redémarré 2 fois

J'ai trouvé une extension Firefox save.keep, que j'ai aussitôt viré. Depuis ça va mieux...

 

[Membre supprimé 1060554]

Bonsoir Priscilla.

*mes condoléances pour ton deuil*

• En ce qui concerne «Genieo», je pense que tu l'as déplumé. Il n'est pas du tout certain que l'adresse que tu vois s'afficher : "content.magnipic.info" provienne de ressources résiduelles de «Genieo», mais peut-être tout bonnement d'un autre 'adware' que tu aurais récolté et qui fait de la publicité pour icelui.
  
  
• Si je glisse malicieusement ici cet : 'autre adware', c'est qu'apparemment tu en as récolté plus d'un (sans vouloir instiller de frisson appréhensif). La preuve, ce 'Save Keep' qui est venu se fourrer dans les extensions de ton «Firefox».
  
  
• Le problème, c'est qu'en l'absence d'un logiciel spécialisé dans la traque à l'adware (comme il s'en trouve pour Windows, pour la simple raison qu'ils y pullulent, alors que je n'en connais pas pour Mac, où les plaignants sont des plus rares) - il est difficile d'identifier nominalement les coupables. Et par suite de les traquer dans la distribution sournoise de leurs fichiers.
  
  
• Tu pourrais quand même déjà, par précaution, réviser la liste des extensions de ton «Firefox», afin de vérifier qu'il n'y en a aucune à l'intitulé bizarre ou qui ne te rappelle aucune décision d'installation de ta part ; et, toujours dans «Firefox», voir si tu n'as pas installé de barre d'outils (toolbar) optionnelle par exemple, qui pourrait susciter des avertissements dans la fenêtre de navigation (je pense à : 'Xfinity toolbar' notamment).
  
  
• En guise d'outil 'traqueur', j'attire ton attention néanmoins sur un petit utilitaire dont personnellement je fais un usage soutenu : iFileX (gratuit). [Ce n'est pas un traqueur qui, comme un anti-virus, possède à l'avance en bibliothèque une liste de suspects et s'en va opérer un coup de filet massif pour vérifier s'il n'y en as un de pris dans la nasse. Non, c'est un logiciel de recherche d'après un mot ou un groupe de mot renseigné à la volée (non sensible à la casse), mais qui, à la différence encore de Spotlight qui s'en va chercher dans une base de données pré-établie et nulle part ailleurs et n'accède pas aux contenu des bundles, scanne intégralement au présent la collection entière des fichier de l'OS, quel que soit son niveau dans l'arborescence ou son état libre/inclus, ou encore sa qualité flaggé/non flaggé <«iFileX» opère en droits root>, pour repérer les occurrences correspondant aux termes renseignés (en ce sens, il fonctionne comme «Sherlock» dans Mac OS 9). Très véloce. La liste résultante propose aussi le chemin du fichier, ce qui permet de se faire une idée de sa nature en fonction du réperoire d'inhérence.]
  
  Donc si tu renseignais successivement dans «iFileX» des termes comme : genieo, magnipic, save keep (attaché / non attaché), coupon, spigot etc. [tous les termes bizarres que tu vois affichés sur les bannières publicitaires de ton navigateur] - tu te ferais très vite une idée de l'état des lieux sur ton Mac.