10.14 Mojave Mémoire saturée par système 575 Go sur 1 To

Philippe1325

Membre junior
15 Février 2009
84
3
Belgique Wavre
Bonsoir Sly54,

Désolé, je n'ai pas eu le temps de m'occuper de toutes tes observations.
Je m'y attelle demain si le boulot me le permet.
J'ai , toutefois, grâce à tes conseils virer f-secure.
Pour Time Machine en effet Restaurer est en grisé. J'ai essayé plusieurs manips mais je n'y arrive pas :shy:
Un tout grand merci pour ton aide.
 

Sly54

Acrobate de l'espace
Modérateur
Club MacG
31 Janvier 2005
42 264
6 090
Nancy___
Pour Time Machine en effet Restaurer est en grisé. J'ai essayé plusieurs manips mais je n'y arrive pas :shy:
Un tout grand merci pour ton aide.
Pour Time machine, si ton message concerne les instantanés locaux, il n'y a pas grand chose à faire hormis laisser ton dd TM allumé. Les sauvegardes et transferts se feront naturellement.
 

Philippe1325

Membre junior
15 Février 2009
84
3
Belgique Wavre
Bonjour,

Je vous remercie pour votre attention et vos aides très pointues, même un peu trop pour moi :shy:
Je reprends point par point. Merci aussi de suivre.
J'ai utilisé EasyFind.

Disque dur lent et format APFS : c'est lent…
Bloc de code:
 disk0 - APPLE HDD HTS541010A9E632 1.00 To (Mécanique - 5400 tr/min)
L'OS est installée sur un SSD externe 2


F-secure… ?? Si c'est un anti virus, pense à le désinstaller
Bloc de code:
Launchd : ~/Library/LaunchAgents/com.f-secure.sync.Cloud.plist
    Exécutable : /Volumes/C***d/C*******p/C******s/M***S/C***d
    Détails : Fichier exécutable est caché - peut être malveillant
Supprimé


Passe un coup de MalwareBytes pour voir si ça dégage !
Bloc de code:
 Launchd : /Library/LaunchDaemons/K57oNEcRSaoMB.plist
    Exécutable : /Library/Application Support/SendSpace/VfknFsDSEfVK/SendSpace
    Détails : Nom de domaine n’existe pas - peut être malveillant
Supprimé


J'imagine que tu connais l'usage de ces extensions ?
Bloc de code:
Extensions du noyau :
  /System/Library/Extensions
    Belcarra.USBLAN_netpart.kext (3.1.1 - SDK 10.6)
    Belcarra.USBLAN_usbpart.kext (3.1.1 - SDK 10.6)
    RemoteControl.USBLAN_usbpart.kext (3.1.1 - SDK 10.7)
    intelhaxm.kext (1.1.4 - SDK 10.9)
Non, je ne connais pas, ces 4 éléments étaient liés à un vieux CloneX4. Je l'ai désinstallé et supprimé.


Ca, je pense que c'est toujours le même malware :
Bloc de code:
Daemons launchd :
  [Engagé] K57oNEcRSaoMB.plist (? bbaf3025  - installé 2015-08-07)
(mais installé en 2015 ? :eek:)
Supprimé


Peut être du ménage à faire, je n'ai laissé que les vieilles choses :
Bloc de code:
Daemons launchd :

  [Engagé] com.microsoft.autoupdate.helper.plist (Microsoft Corporation - installé 2017-02-18)
  [Engagé] com.microsoft.office.licensing.helper.plist (? 6d8cb30e  - installé 2010-08-31)
  [Engagé] com.microsoft.office.licensingV2.helper.plist (Microsoft Corporation - installé 2017-02-16)
  [Pas engagé] com.oracle.java.Helper-Tool.plist (? e3fefdd2  - installé 2019-12-11)
  [En marche] com.vasco.digipass-nativebridge.plist (? 6f5981d0  - installé 2015-10-12)
  [Engagé] jp.co.canon.MasterInstaller.plist (? d0637166  - installé 2017-07-23)
  [Engagé] org.macosforge.xquartz.privileged_startx.plist (? 65395f14  - installé 2016-05-05)
  [Autre] org.opensc.pcscd.autostart.plist (? 9bc33f48  - installé 2009-08-06)
Pour ceux-ci je n'ai rien trouvé.


L'antivirus à désinstaller :
Bloc de code:
Agents launchd de l’utilisateur :
  [Engagé] com.f-secure.sync.Cloud.plist (? 0  - installé 2015-09-14)
C'est fait comme écrit plus haut


Es tu sûr qu'ils te servent tous ? Si non, alors tu vires ce qui n'est plus utile :
Bloc de code:
Modules internet :
  FlashPlayer-10.6: 32.0.0.330 (Adobe Systems, Inc. - installé 2020-02-11)
  EPPEX Plugin: 10.0 (? - installé 2016-05-23)
  AdobePDFViewerNPAPI: 17.012.20098 (Adobe Systems, Inc. - installé 2020-02-13)
  AdobePDFViewer: 20.006.20034 (Adobe Systems, Inc. - installé 2020-02-13)
  Flash Player: 32.0.0.330 (Adobe Systems, Inc. - installé 2020-02-11)
  VascoCardReaderPlugin: VascoCardReaderPlugin 3.2.3.4 (? - installé 2014-10-27)
  Google Earth Web Plug-in: 7.1 (? - installé 2015-11-26)
  Silverlight: 5.1.50901.0 (? - installé 2018-10-19)
  JavaAppletPlugin: Java 8 Update 241 build 07 (? - installé 2020-02-23)
J'ai pu les supprimer sauf Google Earth et Silverlight, je ne les ai pas trouvés.


Rebranche ton dd Time machine :
Bloc de code:
Time Machine :
  Informations Time Machine ne sont pas disponibles sans l’Accès complet au disque.
  12 instantanés locaux
  Instantané local le plus vieux : 2020-02-25 14:42:21
  Dernier instantané : 2020-02-26 14:31:03
Là je n'ai toujours pas compris. J'ai débranché mon disque externe TM et rebranché. Quand j'y accède, le pavé Restaurer est en grisé.g
 
Dernière édition par un modérateur:

Sly54

Acrobate de l'espace
Modérateur
Club MacG
31 Janvier 2005
42 264
6 090
Nancy___
Là je n'ai toujours pas compris. J'ai débranché mon disque externe TM et rebranché. Quand j'y accède, le pavé Restaurer est en grisé.g
Rebranche ton disque externe.
Va dans les Préférences Système, Time machine : est ce que ton dd externe est bien sélectionné comme étant ton disque Time machine ?
 

Sly54

Acrobate de l'espace
Modérateur
Club MacG
31 Janvier 2005
42 264
6 090
Nancy___
Effectivement, il y a bien des sauvegardes TM qui ont été faites le 5 mars, à 07h, 09h et celle de 10h était en cours.
Si les instantanés TM ne disparaissent pas, quelqu’un pour surement t'indiquer comment les supprimer à l'aide du Terminal.
 
M

Membre supprimé 1138547

Invité
Pour les snapshots, la formule magique de @macomaniac
Bloc de code:
sudo tmutil thinlocalsnapshots / 99000000000 4 ; say 'ENFIN TERMINÉ LA PURGE’
C’est une commande sudo. Il te sera demandé ton mot de passe de session que tu tapes à l’aveugle avant de valider. Aucun caractère ne s’affiche. Attends ensuite la phrase de fin.
Pour vérifier que tous les snapshots sont effectivement effacés
Bloc de code:
tmutil listlocalsnapshots /
Je ne comprends pas la raison de ta remarque concernant Restaurer qui reste grisé.
 

Sly54

Acrobate de l'espace
Modérateur
Club MacG
31 Janvier 2005
42 264
6 090
Nancy___
Pour les snapshots, la formule magique de @macomaniac
Tu confirmes que cette commande est valable "de base", quel que soit l'environ, le type de disque, le nom du disque, etc. ?

Qu'est que signifie cette partie de la commande :
Bloc de code:
/ 99000000000 4
?
 
M

Membre supprimé 1138547

Invité
Tu confirmes que cette commande est valable "de base", quel que soit l'environ, le type de disque, le nom du disque, etc. ?

Qu'est que signifie cette partie de la commande :
Bloc de code:
/ 99000000000 4
?
Que de questions pièges.
Elle est valable jusqu’à Mojave compris. Bien sûr en APFS uniquement.
Pour Catalina, Macomaniac l’a modifiée en
Bloc de code:
sudo tmutil thinlocalsnapshots /System/Volumes/Data 99000000000000 4 ; say 'ENFIN TERMINÉ LA PURGE'
Pour tenir compte du nouveau volume Data.
La commande pour supprimer un snapshot reprend l’intitulé de ce dernier soit la date et l’heure. Je suppose que ce nombre à rallonge équivaut à collationner toutes les identités de snapshots dans une valeur générique .
Je me rappelle juste que Macomaniac avait dit avoir amélioré sa commande mais je ne saurai te donner les tenants et aboutissants
 
Dernière édition par un modérateur:
  • J’aime
Réactions: Sly54

Sly54

Acrobate de l'espace
Modérateur
Club MacG
31 Janvier 2005
42 264
6 090
Nancy___
Que de questions pièges.
Ca n'était pas l'idée ;)


Pour Catalina, Macomaniac l’a modifiée en
Bloc de code:
sudo tmutil thinlocalsnapshots /System/Volumes/Data 99000000000000 4 ; say 'ENFIN TERMINÉ LA PURGE'
Pour tenir compte du nouveau volume Data.
OK, c'est clair :up:


Je suppose que ce nombre à rallonge équivaut à collationner toutes les identités de snapshots dans une valeur générique .
OK, capito :up:

Merci :up:
 

macomaniac

Ouroboros
Club MacG
20 Septembre 2012
72 781
21 839
Forêt de Fontainebleau
Qu'est que signifie cette partie de la commande :
Bloc de code:
/ 99000000000 4
?
  • / désigne (par convention) le point de montage du volume démarré. Soit le point de montage du volume principal démarré pour tous les OS jusqu'à Mojave inclus. Avec Catalina > / désigne toujours le point de montage du volume démarré > mais comme il s'agit du volume-Système de 10,8 Go qui ne monte qu'en lecture seule et qui est inmodifiable => il vaut mieux indiquer comme volume monté cible : /System/Volumes/Data. Le dossier Data étant l'espace de montage du volume-Données compagnon > dans le volume-Système démarré.
  • 99000000000 désigne l'extension maximale de la purge de blocs occupés réalisée par la suppression des snapshots. Elle se compte en unité de byte ou octet. 99000000000 octets donnant 99 Go. Je pourrai peut-être étendre cette valeur > car pour des disques volumineux => des snapshots peuvent retenir au-delà de 99 Go de blocs occupés (sans fichiers catalogués dessus).
  • 4 désigne l'urgence de l'opération à passer au processeur via le kernel (1 étant une urgence basique et 4 une urgence urgentissime).
 

Sly54

Acrobate de l'espace
Modérateur
Club MacG
31 Janvier 2005
42 264
6 090
Nancy___
Merci beaucoup pour ton explication détaillée :up:
 
M

Membre supprimé 1138547

Invité
Je me coucherai moins bête.
Mais j’ai encore une énorme marge de progression, au moins 99000000000 en urgence basique 1
 

Philippe1325

Membre junior
15 Février 2009
84
3
Belgique Wavre
Pour les snapshots, la formule magique de [USER=1060554]@macomaniac[/USER]
Bloc de code:
sudo tmutil thinlocalsnapshots / 99000000000 4 ; say 'ENFIN TERMINÉ LA PURGE’


Voici:

1ère tentative:

Capture d’écran 2020-03-06 à 00.17.08.png

2ème tentative:

Capture d’écran 2020-03-06 à 00.21.51.png

Capture d’écran 2020-03-06 à 00.18.53.png

Quand j'entre dans TM, j'ai la page du fichier consulté à l'instant sur l'OS qui s'affiche dans TM avec la possibilité de remonter à une date X dans le temps. Ce que je TM me permet de faire. En bas du fichier nous avons 2 pavés: ANNULER ou RESTAURER.
Je peux seulement cliquer sur annuler, le pavé RESTAURER est en grisé et donc je ne sais pas revenir à une configuration de la page plus ancienne que celle de l'instant.

J'espère être assez compréhensible.

Merci pour votre aide collégiale.
 

Zarnono

Membre junior
10 Avril 2019
40
1
50
Bonsoir Philippe,

1 — télécharger Etrecheck : https://etrecheck.com/

2 — Le "dézipper" en double-cliquant sur "EtreCheckPro.zip" qui va se transformer en "EtreCheckPro.app"

3 — Faire glisser "EtreCheckPro.app" dans "applications" Voir la pièce jointe 156009

4 — Double-clic sur "EtreCheckPro.app" qui va se lancer.....

5 — et obtenir cette fenêtre... Voir la pièce jointe 156011 choisir "Pas de probl....."

6 — clic sur "démarrer...." Voir la pièce jointe 156013

7 — une fenêtre va s'afficher.... Voir la pièce jointe 156015 attends que çà finisse....

8 — qui va finir par afficher cette fenêtre Voir la pièce jointe 156017

9 — descendre avec l"ascenseur sur "Rapport" Voir la pièce jointe 156019

10 — clic sur le "petit carré avec une flèche fera apparaître un menu....
11 — Sélectionner "copier la rapport" Voir la pièce jointe 156021

12 — Se rendre avec le navigateur sur pastebin : https://pastebin.com/

13 — Coller en appuyant sur les touches "cmd et v" dans la fenêtre principale Voir la pièce jointe 156025

14 — Quand on clicque sur "New Paste" une adresse web se génère dans le navigateur Voir la pièce jointe 156027

15 — Tu donnes cette adresse en la copiant et validant dans ce maillon de chaîne Voir la pièce jointe 156029

16 — oufff :bigtears:
merci bien je vais suivre pas à pas !i!
 
  • J’aime
Réactions: peyret