10.13 High Sierra Mughthesec adwares et pua

Inor

Membre d’élite
Club MacG
Bonsoir.
Le logiciel Sophos m'a signalé l'intrusion d'un Adware et PUA nommé Mughthesec sur mon nouvel iMac 27 " 2017 ( intel core i5 sous macOS High Sierra 10.13 ). Je crois que c'est le seul des anti-virus qui le détecte. Mais, pour l'éliminer, il faut une opération manuelle.
Il indique le chemin :
/Volumes/Player/Installer.app/Contents/MacOS/SGFybQ
Quand je cherche avec << Aller au dossier >>, ça devient :
~/Bibliothèque/Developer/Xcode/iOS DeviceSupport :oops:

Je n'arrive pas à trouver ces chemins pour détruire cet adware.
Quelqu'un sait-il éliminer Mughthesec ?
( Sans réinstaller le système.):(
Merci de votre aide. :merci:
 

Inor

Membre d’élite
Club MacG
Bonsoir.
J'ai passé Etrecheck. Il n'indique aucun fichier inconnu, aucun Adware. Comme, d'ailleurs, Bitdefender Virus Scanner, Vous Barrier Express, MalwareBytes ...
Mughthesec se planque bien.
Il semble avoir été étudié sur Internet, par des experts. Mais je n'ai pas trouvé de solution autre que réinstaller tout.
 
D

Deleted member 1099514

Invité
Dans le terminal (Applications/Utilitaires que te renvoie la commande (tu peux faire un copier/coller depuis le forum sur le terminal) :
ls -l /Volumes/Player/Installer.app/Contents/MacOS/*
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
33 139
3 703
Il n'indique aucun fichier inconnu, aucun Adware. Comme, d'ailleurs, Bitdefender Virus Scanner, Vous Barrier Express, MalwareBytes ...
Il n'y a que le dernier qui soit utile, les autres ne serviront à rien, sauf à monopoliser des ressources et ralentir ton Mac, tu peux les virer. Il ne reste plus qu'une recherche manuelle. Fais ce qui est demandé en réponse #4.
 

Yuls

Membre d’élite
1 Juin 2003
1 034
165
41
Lyon
Mais je n'ai pas trouvé de solution autre que réinstaller tout.
Un peu radicale comme solution, sans avoir suivi les conseils donnés plus haut (à mon humble avis) :(

J'ai passé Etrecheck. Il n'indique aucun fichier inconnu, aucun Adware
Il aurait été bien de le poster sur ce sujet entre les balises Code afin de savoir ce qu'il en est vraiment:meh:
 
Dernière édition:

Inor

Membre d’élite
Club MacG
J'ai posé la question du chemin au Terminal :

ls: /Volumes/Player/Installer.app/Contents/MacOS/*: No such file or directory
imac-1:~ nomdemonordi$

Les dégâts de Mughthesec sont cités sur Internet. Par exemple: modifications sur Safari ( homepage modifiée, Google remplacé par AnySearch , imposition de publicités de certains sites ... ).
Pour le moment, je n'ai pas trouvé d'anomalies. Peut-être parce que j'ai mis à la corbeille et détruit le Player.dmg téléchargé, dès l'alerte de Sophos. Et c'est, peut-être, la raison pour laquelle le chemin indiqué n'a pas été actualisé ? ? ? :eek:
Cependant, Sophos laisse sa mise en garde dans la Quarantaine. C'est ce qui m'inquiète.
Au passage, Sophos ( gratuit ) est le seul a avoir décelé le danger. Les autres cités, dont MalwareBytes donnent mon iMac comme sans problème.
Merci pour vos conseils. :merci:
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
33 139
3 703
Au passage, Sophos ( gratuit ) est le seul a avoir décelé le danger.
Il ne s'occupe que des virus, si problème il y a, ce sera avec des fichiers .exe pour PC.

Sinon, installe uBlock dans tes navigateurs, ça bloquera les PUBS intempestives. Si tu as Adblock ou Adblock+, tu les vires, ils laissent passer volontairement de la PUB pour se rétribuer.

Dans Safari/Préférences/Extensions, tu n'as de choses non désirées ?
 
D

Deleted member 1099514

Invité
Oui mais l'alerte date du 15/10 et si tu as fait du ménage depuis, c'est normal de ne pas le trouver.
 

Locke

What am I doing here?
Modérateur
Club MacG
20 Juillet 2011
33 139
3 703
A tout hasard, regarde dans...

~/Library/LaunchAgents/com.Mughthesec.plist
~/Library/Application Support/com.Mughthesec/Mughthesec

...et a priori ça viendrait d'une installation de Flash Player non téléchargée sur le site officiel !
 

Moonwalker

Dark Star
Club MacG
22 Avril 2006
21 639
3 649
Là-haut
/Volumes/Player/Installer.app/Contents/MacOS/SGFybQ
/Volumes ça veut dire que c’est un volume monté. Sans doute une image disque.

Pour le moment, je n'ai pas trouvé d'anomalies. Peut-être parce que j'ai mis à la corbeille et détruit le Player.dmg téléchargé, dès l'alerte de Sophos.
Évidemment.

Ton anti-virus a analysé l’image disque Player.dmg. Pour cela il l’a ouverte. D’où le chemin /Volumes.

Tu n’as pas installé le contenu de cette image disque. Tu l’as mise à la corbeille et détruite. Donc tu n’as pas infecté ton système.

Tu ne trouves rien parce qu’il n’y a plus rien à trouver.