Malware (MacKeeper) installé par erreur

Petit Aigle

Membre enregistré
7 Avril 2018
5
0
29
Bonjour à tous,

J'ai installé un logiciel depuis le web il y a quelques jours, lors de l'installation on m'a demandé d'installé également "Flash" ce qui m'a semblé étrange sans m'en préoccuper plus que ça.
J'ai accepté l'installation (que je regrette). J'ai remarqué qu'un autre logiciel s'est installé contre mon gré, MacKeeper. Je me suis renseigné car je ne le connaissait pas et il s'est avéré qu'il n'était pas bon pour la santé de mon MacBook Pro

J'ai réussi à le supprimer grâce à malwarebytes, mais des publicités intempestive sont toujours présente sur mon navigateur web, Chrome, j'ai essayé sur safari et c'est toujours la même chose.

Je ne sais pas si j'ai bien fais mais j'ai téléchargé un antivirus, Avast, en faisant une analyse, il a détecté plusieurs menaces que j'ai immédiatement supprimé.

Mais les publicités étaient toujours là, j'ai également remarqué que le volume sonore de mon MacBook Pro à augmenté sans raison.

Mon Mac n'étant pas à jour, j'ai décidé de faire la MAJ de MacOS High Sierra 10.13.4.
Petit problème, le téléchargement via l'app store de la nouvelle version de MacOS ne se faisait pas, elle restait bloqué à 0%. J'ai essayé de télécharger via le site d'apple mais c'était la même chose, le téléchargement ne commençait pas.

J'ai finalement réussi à installé le nouvelle version de MacOS via la CMD + R en espérant que le problème serait résolu, mais niet !

D'ailleurs, étant donné que j'ai utilisé le CMD + R plusieurs fois, j'ai remarqué que lors du chargement du Mac, une petite icone Rouge apparait à chaque fois (comme celle de Flash) sur la pomme d'apple pendant quelques micro seconde.

J'ai voulu regardé les processus en cours via le moniteur d'activité mais je suis incapable de savoir si il y en a des malveillants.

J'ai pensé à faire une réinstallation complète de mon MacBook Pro en supprimant tout les fichiers mais j'ai bien peur que cela ne règle pas le problème.

C'est un MacBook Pro récent, je l'ai acheté en fin d'année dernière.

J'ai fais un test avec EtreCheck 4 mais je ne comprend pas tout.

Bloc de code:
Version d’EtreCheck : 4.1.4 (4A203)
Date du rapport : 2018-04-07 14:05:59
Télécharger EtreCheck de https://etrecheck.com
Temps déroulé : 4:56
Performance : Bonne

Problème : Autre problème
Description :
Lors d’une installation d’une application, une autre application a été installé: MacKeeper.
Depuis, j’ai utilisé Malwarebytes qui a supprimé quelques fichiers mais le problème persiste et des publicités s’affichent lorsque je navigue sur le web

Problèmes graves :
  Les choses qui figurent ici ont besoin de correction immédiate.
  Aucune sauvegarde Time Machine - Sauvegarde Time Machine backup pas trouvée.
  Serveurs mandataire - Serveurs mandataires de réseau détectés. C’est peut-être à cause du logiciel malveillant.
  Usage lourd de l’unité centrale - Quelques opérations utilisent une grande quantite de l’unité centrale qui est hors normale.

Problèmes légers :
  Les choses qui figurent ici n’ont pas besoin de correction immédiate, mais il est possible qu’elles deviennent plus graves dans le futur.
  Extensions du noyau bloquées - Il y a des extensions du noyau bloquées qui attendent l’autorisation de l’utilisateur.
  Logiciel en plantage - Il y a eu quelques plantages de logiciel.
  Nettoyage - Il y a des fichiers orphelins qui peuvent être supprimés.
  Fichiers sans signature - Il y a des logiciels installés qui manquent de signature. Ils ont l’air légitimes, mais ils ont besoin de vérification.
  Logiciels 32-bits - Cet ordinateur a des logiciels 32-bits qui peuvent avoir des problèmes dans le futur.

Informations matérielles :
  MacBook Pro (13-inch, 2017, Four Thunderbolt 3 Ports)
  MacBook Pro Modèle : MacBookPro14,2
  1 3,1 GHz Intel Core i5 (i5-7267U) unité centrale : 2-core
  8 RAM Pas possible de l’augmenter
    BANK 0/DIMM0
      4 Go LPDDR3 2133  ok
    BANK 1/DIMM0
      4 Go LPDDR3 2133  ok
  Pile : Santé = Normal - Nombre de cycles = 56

Informations vidéo :
  Intel Iris Plus Graphics 650 - VRAM: 1536 Mo
    Color LCD

Informations des disques :
  disk0 - APPLE SSD AP0512J 500.28 Go (SSD - TRIM : Oui)
  Interne PCI-Express 8.0 GT/s x4 NVM Express
    disk0s1 - EFI [EFI] 315 Mo
    disk0s2 499.96 Go
      disk1s1 - Macintosh HD (APFS) 499.96 Go 120.25 Go
      disk1s2 - Preboot (APFS) [Preboot APFS] 499.96 Go 23 Mo
      disk1s3 - Recovery (APFS) [Restauration] 499.96 Go 518 Mo
      disk1s4 - VM (APFS) [VM APFS] 499.96 Go 1.07 Go

Volumes montés :
  disk1s1 - Macintosh HD 499.96 Go (377.94 Go libre)
  APFS
  Point de montage : /
 
  disk1s4 - VM [VM APFS]  499.96 Go (377.94 Go libre)
  APFS
  Point de montage : /private/var/vm
 
Réseau :
  Interface lpss-serial1 : LPSS Serial Adapter (1)
  Interface lpss-serial2 : LPSS Serial Adapter (2)
  Interface en7 : iPhone
    Serveurs mandataires : HTTP, HTTPS
  Interface en0 : Wi-Fi
    802.11 a/b/g/n/ac
    Une adresse IPv4
    2 adresses IPv6
    Serveurs mandataires : HTTP, HTTPS
  Interface en6 : Bluetooth PAN
    Serveurs mandataires : HTTP, HTTPS
  Interface bridge0 : Thunderbolt Bridge
    Serveurs mandataires : HTTP, HTTPS

Logiciels du système :
  macOS High Sierra 10.13.4 (17E199)
  Temps écoulé depuis le démarrage : Environ une heure
  Charge du systeme : 2.19 (1 min) 2.14 (5 min) 2.10 (15 min)

Sécurité :
  Systeme                               Statut
  Gatekeeper                            Mac App Store et développeurs identifiés
  Protection de l’intégrité du système  Activée

Fichiers sans signature :
  Launchd : /Library/LaunchDaemons/com.avast.uninstall.plist
    Exécutable : /Library/Application Support/Avast/hub/autouninstall.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : /Library/LaunchAgents/com.avast.userinit.plist
    Exécutable : /Library/Application Support/Avast/hub/userinit.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : /Library/LaunchDaemons/com.avast.osx.secureline.init.plist
    Exécutable : /Library/Application Support/AvastSecureLine/hub/init.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : /Library/LaunchDaemons/com.avast.osx.secureline.update.plist
    Exécutable : /Library/Application Support/AvastSecureLine/components/update/update.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : /Library/LaunchAgents/com.avast.osx.secureline.userinit.plist
    Exécutable : /Library/Application Support/AvastSecureLine/hub/userinit.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : /Library/LaunchDaemons/com.avast.update.plist
    Exécutable : /Library/Application Support/Avast/components/update/update.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : ~/Library/LaunchAgents/spid-uninstall.plist
    Exécutable : /bin/sh -c "$HOME/Library/SPI/uninstallerwatcher.sh"
    Détails : Nom de domaine n’existe pas - peut être malveillant
  Launchd : /Library/LaunchDaemons/com.avast.init.plist
    Exécutable : /Library/Application Support/Avast/hub/init.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : ~/Library/LaunchAgents/com.avast.osx.secureline.home.userinit.plist
    Exécutable : ~/Library/Application Support/AvastSecureLine/hub/userinit.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime
  Launchd : /Library/LaunchDaemons/com.avast.osx.secureline.uninstall.plist
    Exécutable : /Library/Application Support/AvastSecureLine/hub/autouninstall.sh
    Détails : Apparier exacte au logiciel connu d’être légitime - probablement légitime

32-bit Applications :
  28 logiciels de 32-bits

Extensions du noyau :
  /Applications/Tunnelblick.app
    [Pas engagée] tap-signed.kext (20141104 (Tunnelblick build 4880))
    [Pas engagée] tun-20111101.kext (20111101 (Tunnelblick build 4880))

  /Library/Application Support/Avast/components/fileshield/signed
    [Bloquée]     AvastFileShield.kext (4.0.0 - SDK 10.12)

  /Library/Application Support/Avast/components/proxy/signed
    [Bloquée]     AvastPacketForwarder.kext (2.1 - SDK 10.12)

  /Library/Extensions
    [Engagée]     MB_MBAM_Protection.kext (3.2 - SDK 10.13)

Agents launchd du système :
  [Pas engagé]  8 opérations Apple
  [Engagé]      179 opérations Apple
  [En marche]   105 opérations Apple
  [Autre]       Une opération Apple

Démons launchd du système :
  [Pas engagé]  37 opérations Apple
  [Engagé]      172 opérations Apple
  [En marche]   125 opérations Apple

Agents launchd :
  [En marche]  com.adobe.AdobeCreativeCloud.plist (Adobe Systems, Inc. - installé 2017-11-26)
  [Engagé]     com.avast.userinit.plist (? bb25154c  - installé 2018-04-06)
  [En marche]  com.avast.osx.secureline.update-agent.plist (AVAST Software a.s. - installé 2018-04-06)
  [Engagé]     com.avast.osx.secureline.userinit.plist (? 2fc1004f  - installé 2018-04-06)
  [Pas engagé] com.adobe.AAM.Updater-1.0.plist (? ffb65062  - installé 2018-01-06)
  [Pas engagé] com.adobe.GC.Invoker-1.0.plist (Adobe Systems, Inc. - installé 2018-01-30)
  [En marche]  com.malwarebytes.mbam.frontend.agent.plist (Malwarebytes Corporation - installé 2018-02-26)
  [Engagé]     6H4HRTU5E3.com.avast.passwords.Agent.plist (AVAST Software a.s. - installé 2018-04-06)

Daemons launchd :
  [Engagé]     6H4HRTU5E3.com.avast.passwords.AgentXPC.plist (AVAST Software a.s. - installé 2018-04-06)
  [En marche]  com.malwarebytes.mbam.settings.daemon.plist (Malwarebytes Corporation - installé 2018-02-26)
  [Engagé]     com.avast.uninstall.plist (? 22f94791  - installé 2018-04-06)
  [Engagé]     com.avast.init.plist (? fc55b6fa  - installé 2018-04-06)
  [En marche]  com.adobe.adobeupdatedaemon.plist (Adobe Systems, Inc. - installé 2017-11-26)
  [Engagé]     com.avast.osx.secureline.init.plist (? 1bda83b1  - installé 2018-04-06)
  [En marche]  com.malwarebytes.mbam.rtprotection.daemon.plist (Malwarebytes Corporation - installé 2018-02-26)
  [Engagé]     com.adobe.fpsaud.plist (Adobe Systems, Inc. - installé 2018-02-24)
  [En marche]  com.adobe.agsservice.plist (Adobe Systems, Inc. - installé 2018-01-30)
  [En marche]  net.privatetunnel.ovpnagent.plist (? 0  - installé 2016-06-15)
  [En marche]  com.avast.osx.secureline.update.plist (? f50a649c  - installé 2018-04-06)
  [Engagé]     com.avast.update.plist (? 5c6ac355  - installé 2018-04-06)
  [Engagé]     com.avast.osx.secureline.uninstall.plist (? ba7a0061  - installé 2018-04-06)
  [Engagé]     net.tunnelblick.tunnelblick.tunnelblickd.plist (Jonathan Bullard - installé 2017-11-01)

Agents launchd de l’utilisateur :
  [Engagé]     com.google.keystone.agent.plist (Google, Inc. - installé 2018-02-04)
  [Engagé]     spid-uninstall.plist (? 0  - installé 2018-03-28)
  [Pas engagé] com.adobe.GC.Invoker-1.0.plist (Adobe Systems, Inc. - installé 2018-01-30)
  [Engagé]     com.skype.skype.shareagent.plist (? 0  - installé )
  [Engagé]     net.tunnelblick.tunnelblick.LaunchAtLogin.plist (Jonathan Bullard - installé 2017-10-19)
  [Engagé]     spid.plist (Philippe Herard - installé 2018-04-03)
  [Engagé]     com.avast.osx.secureline.home.userinit.plist (? 0  - installé 2018-04-06)

Éléments Ouverture :
  iTunesHelper Application (Apple, Inc. - installé 2018-04-06)
     (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
  BitTorrent Application (BitTorrent, Inc
     (/Applications/BitTorrent.app)
  Avast Passwords Service SMLoginItem (AVAST Software a.s. - installé 2018-03-07)
     (/Applications/Avast Passwords.app/Contents/Library/LoginItems/Avast Passwords Service.app)
  6H4HRTU5E3.com.avast.osx.secureline.avastsecurelinehelper SMLoginItem (AVAST Software a.s. - installé 2018-03-21)
     (/Applications/AvastSecureLine.app/Contents/Library/LoginItems/6H4HRTU5E3.com.avast.osx.secureline.avastsecurelinehelper.app)

Modules internets :
  FlashPlayer-10.6: 29.0.0.113 (installé 2018-04-03)
  Flash Player: 29.0.0.113 (installé 2018-04-03)
  QuickTime Plugin: 7.7.3 (installé 2018-03-28)
  AdobeAAMDetect: 3.0.0.0 (installé 2017-11-26)

Panneaux de préférences de tiers :
  Flash Player (installé 2018-02-24)

Time Machine :
  Time Machine pas configuré !

Utilisation de l’unité centrale par opération :
  Opération (nombre)                           Source    % de l’unité centrale
  diagnosticd                                  Apple                       50
  Console                                      Apple                       43
  com.apple.preference.security.remoteservice  Apple                       37
  System Preferences                           Apple                       23
  kextutil                                     Apple                       15

Utilisation de la mémoire par opération :
  Opération (nombre)        Source          Usage de mémoire
  Google Chrome Helper (5)  Google, Inc.              925 Mo
  kernel_task               Apple                     753 Mo
  mdworker (17)             Apple                     548 Mo
  Google Chrome             Google, Inc.              297 Mo
  Console                   Apple                     254 Mo

Utilisation du réseau par opération :
  Opération      Source             Entrée  Sortie
  mitmdump       Philippe Herard    997 Ko   68 Ko
  diagnosticd    Apple              499 Ko   136 o
  mDNSResponder  Apple              202 Ko   71 Ko
  biometrickitd  Apple               70 Ko  114 Ko
  netbiosd       Apple               67 Ko   13 Ko

Utilisation de l’énergie par opération :
  Opération (nombre)  Source        Usage d’énérgie (0-100)
  Console             Apple         4
  WindowServer        Apple         3
  diagnosticd         Apple         2
  Google Chrome       Google, Inc.  2
  Activity Monitor    Apple         1

Informations de la mémoire virtuelle :
  Mémoire disponible :           2.47 Go
  Mémoire libre :                 108 Mo
  Mémoire utilisé                5.53 Go
  Cache du fichier :             2.37 Go
  Fichier d’échange utilisé :      49 Mo

Installations de logiciel (30 derniers jours) :
  Nom             Version  Date d’installation
  Serum           1.099    2018-03-22
  The Unarchiver  3.11.5   2018-04-03
  Avast Security  13.5     2018-04-06

Nettoyage :
  /Library/LaunchDaemons/net.privatetunnel.ovpnagent.plist
    /Library/Frameworks/PrivateTunnel.framework/Versions/Current/usr/sbin/ovpnagent
    Exécutable non trouvée
  ~/Library/LaunchAgents/com.skype.skype.shareagent.plist
    /Applications/Skype.app/Contents/Library/LaunchServices/com.skype.skype.shareagent.bundle/Contents/MacOS/com.skype.skype.shareagent
    Exécutable non trouvée

Événements du diagnostic (7 dernier jours si pas grave) :
  2018-04-06 15:52:34 com.avast.daemon CPU (une fois)
  2018-04-06 15:26:33 EmbeddedOSInstallService CPU (une fois)
  2018-04-06 15:24:40 Adobe Desktop Service.app Plantage (une fois)
  2018-04-04 11:16:43 KeyGen APP.app Plantage (une fois)
    *** Terminating app due to uncaught exception 'NSRangeException', reason: '*** -[__NSCFString substringFromIndex:]: Index 9223372036854775808 out of bounds; string length 13'
    terminating with uncaught exception of type NSException
    abort() called
  2018-04-03 15:07:10 Install Adobe Flash Player.app Plantage (une fois)

Fin du rapport

Voilà, je ne sais pas ce que ce malware est capable de faire mais ça m'inquiète, j'espère que quelqu'un pourra m'aider.




Note de la modération: pas trop de rapport avec les portables Mac, je déplace dans le forum adéquat.
 
Dernière édition par un modérateur:
Houla, tu vires illico-presto Avast qui ne sert à rien, ne te protège de rien, et surtout trouve des choses fantômes pour macOS !

Pour les PUBS intempestives, tu installes uBlock dans tous tes navigateurs et ça va calmer le problème.

Par contre ceci...
Événements du diagnostic (7 dernier jours si pas grave) :
2018-04-06 15:52:34 com.avast.daemon CPU (une fois)
2018-04-06 15:26:33 EmbeddedOSInstallService CPU (une fois)
2018-04-06 15:24:40 Adobe Desktop Service.app Plantage (une fois)
2018-04-04 11:16:43 KeyGen APP.app Plantage (une fois)
*** Terminating app due to uncaught exception 'NSRangeException', reason: '*** -[__NSCFString substringFromIndex:]: Index 9223372036854775808 out of bounds; string length 13'
terminating with uncaught exception of type NSException
abort() called
2018-04-03 15:07:10 Install Adobe Flash Player.app Plantage (une fois)
...indique clairement que tu as installé un logiciel illégal.

Dans ton rapport il n'y a rien de particulier sauf cette grosse cochonnerie d'Avast. Comme tu as installé Malwarebytes, c'est suffisant pour faire du nettoyage.
 
Si SPI (le malware)
Comme @Locke, quand on veut télécharger illégalement il faut au moins connaitre le B.A.-BA.
Cliquer sur un pop-up pour télécharger Flash faut vraiment aimer flinguer son environnement.
Tu as fait le grand strike, télécharger flash à partir d'un pop-up, télécharger Avast pour tenter de supprimer le dit malware et vouloir installer HS pour éteindre le feu :eek: (édit : sans oublier MacKeeper que tu peux également virer).

Fais une partition dédiée à jouer à l'apprenti sorcier, ne serait ce que pour tester toutes tes m.à.j. et faire une partition Clean que tu sauvegardes régulièrement. Et toujours télécharger sur le site de l'éditeur. ;)

EDIT : Comme le signale très justement @nicomarcos, télécharges mon copain le petit écureuil EasyFind et tu mets "spi" en recherche (mais suis d'abord la procédure du lien de la première ligne de mon post). Parce que une recherche avec un terme de 3 lettres tu risques d'avoir pas mal de résultats.
 
Dernière édition:
  • J’aime
Réactions: Moonwalker
Houla, tu vires illico-presto Avast qui ne sert à rien, ne te protège de rien, et surtout trouve des choses fantômes pour macOS !

Pour les PUBS intempestives, tu installes uBlock dans tous tes navigateurs et ça va calmer le problème.

Par contre ceci...

...indique clairement que tu as installé un logiciel illégal.

Dans ton rapport il n'y a rien de particulier sauf cette grosse cochonnerie d'Avast. Comme tu as installé Malwarebytes, c'est suffisant pour faire du nettoyage.

Merci pour ta réponse, j'ai désinstallé Avast, j'avais déjà AdBlock, j'ai installé uBlock comme tu m'as conseillé mais les pubs sont toujours présente
 
Merci pour ta réponse, j'ai désinstallé Avast, j'avais déjà AdBlock, j'ai installé uBlock comme tu m'as conseillé mais les pubs sont toujours présente
Adblock et Adblock+ laissent passer volontairement de la PUB pour se rétribuer, donc tu le vires !
 
@Petit Aigle
Le plus rapide pour un effacement complet en profondeur est bien dans la réponse #7 et EasyFind ne servant que pour le cas ou il y aurait des résidus.
 
J'ai effectué toutes les démarches que vous m'avez dites et finalement les pubs ne sont plus là.

Merci à vous tous !

Par contre lorsque j'ai supprimé les fichiers malveillants, je n'avais plus accès à internet et le navigateur me renvoi "Aucune Connexion Internet" et me parle de proxy.

Je suis allé voir dans les préférences système > avancé > proxy et j'ai décoché la case (qui était déjà coché) Proxy Web Sécurisé (HTTPS), en faisant cela, la connexion est revenue mais si je la coche, la connexion ne se fait plus. Je ne sais pas si c'est une bonne chose à faire.. j'imagine que ce proxy est important pour la sécurité lorsque je navigue sur le Web ?
 
J'ai effectué toutes les démarches que vous m'avez dites et finalement les pubs ne sont plus là.
Il serait intéressant de savoir lesquelles, histoire de comprendre ce qui a bien fonctionné pour toi et cela donnera des indications à un membre rencontrant le même problème.
Je suis allé voir dans les préférences système > avancé > proxy
Ce serait plutôt Préférences Système/Réseau/Avancé.../Proxys. Par défaut, chez moi je n'ai aucune case de cochée, d'ailleurs je n'en ai jamais cochée une seule.
 
Non, savais pas mais alors les analyses de ViursTotal sont obsolètes ?
On ne sait pas si ce plug-in se met à jour tout seul avec des versions de macOS ultérieures ? Ce qui est sûr c'est qu'en ce moment, impossible de télécharger cette extension.