• Bonjour Visiteur. Bienvenue sur les nouveaux forums de MacGeneration. La peinture est encore fraiche, quelques boulons doivent être resserrés, plus d’informations demain !

10.11 El Capitan Smokyashan, Malware ou pas ? Comment s’en débarasser ?

Clodyus

Nouveau membre
9 Novembre 2007
8
0
www.claude-petitjean.com
Bonjour,
Depuis plusieurs semaines, je déplore l’installation sur mon Imac sans que je l’ai jamais demandé de « Smokyashan », repéré dans les forums en langue anglaise sur le Web comme un malware.

J’ai pourtant bloqué - avec Little snitch - cette application, mais rien n’y fait ; à chaque redémarrage de mon Imac, je me retrouve avec :
- un disque dur « installer » qui n’est visible que depuis l’utilitaire de disque.
- un dossier vérrouillé « Smokyashan », incluant l’application Smokyashan.app (1,3Mo) dans le dossier /Users/apple/Library/Application Support/
- le fichier Smokyashan.update.plist dans /Users/apple/Library/LaunchAgents/
- le fichier com.Smokyashan.plist dans /Users/apple/Library/Preferences/

A chaque fois, je déprotège les fichiers et dossiers avant de les détruire, j’éjecte l’ « installer », et vérifie qu'il n'ya plus rien.... Et quelques heures plus tard c’est revenu. D'où ça provient ? des navigateurs (j'utilise Firefox, Safari & Chrome selon les moments ; j'ai bien vérifié toutes les extensions, rien trouvé...)
Que faire ?


Je n’ai trouvé aucun commentaire en français sur ce probable malware, et n’ai trouvé aucune indication sur d’autres utilisateurs ayant rencontré ce problème. Quelqu’un a t’il rencontré ce problème ?

Nota : je suis sous OS Capitan 10.11.6 (15G31).
 

lolipale

Membre émérite
9 Janvier 2011
751
99
58
Thonon-les-Bains
Bonjour,

Si il revient à chaque démarrage, il y a de fortes chances pour qu'il soit lancé par un LaunchAgent ou un LaunchDaemon ...
On trouve des LaunchDaemons et LaunchAgents au sein de la bibliothèque du système, et de la bibliothèque principale,
Au sein de la bibliothèque de l'utilisateur, il n'y a que des LaunchAgents.
Je chercherai (à priori) dans la bibliothèque principale.
Pouvez-vous faire un test avec EtreCheck que vous trouverez ici et poster le résultat obtenu ?
 

Clodyus

Nouveau membre
9 Novembre 2007
8
0
www.claude-petitjean.com
Voici le rapport, il y a bien des intrus que je n'avais pas vu !!! (merci pour les conseils :), pas complet, trop long)
EtreCheck version : 2.9.13 (267)

Rapport créé le 2016-07-29 16:05:29

Télécharger EtreCheck chez https://etrecheck.com

Runtime 15:07

La vitesse : Pire



Cliquez sur les liens [L’aide] pour l’assistance avec les produits non-Apple.

Cliquez sur les liens [Les détails] pour plus d'informations sur cette ligne.

Cliquez sur les liens [Enlever] pour enlever l’adware.

Cliquez sur le lien [Vérifier les fichiers] pour l’assistance avec le logiciel inconnu.



Problème :Autre problème

Description :

Installation application non demandée, Smokyashan



Les informations matérielles :

iMac (21.5 pouces, mi-2010)

[Les caractéristiques techniques] - [Le guide de l’utilisateur] - [Garantie & service]

iMac - modèle : iMac11,2

1 3,06 GHz Intel Core i3 CPU : 2-core

12 GB RAM Extensible - [Instruction]

BANK 0/DIMM0

4 GB DDR3 1333 MHz ok

BANK 1/DIMM0

4 GB DDR3 1333 MHz ok

BANK 0/DIMM1

2 GB DDR3 1333 MHz ok

BANK 1/DIMM1

2 GB DDR3 1333 MHz ok

Bluetooth: Vieux - Handoff/Airdrop2 pas disponible

Wireless: en1: 802.11 a/b/g/n


Les informations vidéo :

ATI Radeon HD 4670 - VRAM : 256 MB

iMac 1920 x 1080


Les logiciel du système :

OS X El Capitan 10.11.6 (15G31) - Temps depuis le démarrage : environ 3 heures


Les informations des disques :

WDC WD5000AAKS-40V6A0 disk0 : (500,11 GB) (Rotational)

EFI (disk0s1) <non monté> : 210 Mo

ImaClaude (disk0s2) / : 499.25 Go (190.42 Go libre)

Recovery HD (disk0s3) <non monté> [Restauration] : 650 Mo


PIONEER DVD-RW DVRTS09 ()


Les informations USB :

Prolific Technology Inc. ATAPI-6 Bridge Controller 3 TB

EFI (disk1s1) <non monté> : 210 Mo

2016_2 Photos (disk1s2) /Volumes/2016_2 Photos : 1.00 To (219.33 Go libre)

2016_1 Photos (disk1s3) /Volumes/2016_1 Photos : 1.00 To (35.06 Go libre)

2016_3 Stock (disk1s4) /Volumes/2016_3 Stock : 498.09 Go (434.73 Go libre)

2016_4 CloneImac (disk1s5) /Volumes/2016_4 CloneImac : 495.98 Go (218.36 Go libre)

Apple Card Reader

Apple Inc. BRCM2046 Hub

Apple Inc. Bluetooth USB Host Controller

Mitsumi Apple USB Mouse

Muti-Song emai Muti-Song emai

USB Keyboard

Apple Computer, Inc. IR Receiver

Apple Inc. Built-in iSight


Les fichiers de configuration :

/etc/hosts - Nombre : 66


Le gatekeeper :

Mac App Store et développeurs identifiés


L’adware :

~/Library/LaunchAgents/Feelbegin.AppVemoral.plist

~/Library/LaunchAgents/Feelbegin.btvlit.plist

~/Library/LaunchAgents/Feelbegin.dolnwoad.plist

~/Library/LaunchAgents/Feelbegin.uadpte.plist

~/Library/LaunchAgents/com.spigot.ApplicationManager.plist

~/Library/LaunchAgents/gUpdater.plist

~/Library/LaunchAgents/pronto.notification.plist

~/Library/LaunchAgents/pronto.update.plist

~/Library/Safari/Extensions/Feelbegin.safariextz

9 fichiers adware trouvés. [Enlever]


Les fichiers inconnus :

~/Library/LaunchAgents/Smokyashan.update.plist

~/Library/Application Support/Smokyashan/Smokyashan.app/Contents/MacOS/AppNOS -trigger update -isDev 0 -installVersion 109 -firstAppId 1434976216979282 -identity Smokyashan -sig NOSIGNATURE_SIGNATURE -agentUpdate 2

Un fichier inconnu trouvé. [Vérifier ces fichiers]


(...)
Les daemons de lancements :

[en marche] at.obdev.littlesnitchd.plist (2016-01-07) [L’aide]

[engagé] com.adobe.SwitchBoard.plist (2016-01-06) [L’aide]

[engagé] com.adobe.fpsaud.plist (2016-06-29) [L’aide]

[engagé] com.adobe.versioncueCS3.plist (2016-01-06) [L’aide]

[engagé] com.[expurgé].aelwriter.plist

[échec] com.[expurgé].qmaster.qmasterd.plist

[engagé] com.bombich.ccc.plist (2016-01-06) [L’aide]

[engagé] com.bombich.ccchelper.plist (2016-01-21) [L’aide]

[en marche] com.cleverfiles.cfbackd.plist (2016-04-14) [L’aide]

[engagé] com.cocoatech.pathfinder.SMFHelper7.plist (2016-04-14) [L’aide]

[échec] com.dilaroga.imagneto_d.plist (2016-01-06) [L’aide]

[échec] com.elgato.EyeConnect.plist (2016-01-06) [L’aide]

[engagé] com.github.GitHub.GHInstallCLI.plist (2016-01-06) [L’aide]

[échec] com.google.keystone.daemon.plist (2016-01-06) [L’aide]

[échec] com.intego.personalantispam.daemon.plist (2016-01-06) [L’aide]

[échec] com.intego.task.manager.daemon.plist (2016-01-06) [L’aide]

[en marche] com.iobit.AMCDaemon.plist (2016-01-06) [L’aide]

[échec] com.metakine.handsoff.daemon.plist (2016-01-06) [L’aide]

[engagé] com.microsoft.office.licensing.helper.plist (2016-01-06) [L’aide]

[engagé] com.microsoft.office.licensingV2.helper.plist (2016-01-06) [L’aide]

[engagé] com.oracle.java.Helper-Tool.plist (2016-01-06) [L’aide]

[en marche] com.paragon-software.NTFS.fsnotify.daemon.plist (2016-07-04) [L’aide]

[engagé] com.paragon.NTFS.launch.plist (2016-07-04) [L’aide]

[engagé] com.quark.QXPHelper.plist (2016-01-06) [L’aide]

[engagé] com.quark.quarkupdate.plist (2016-01-06) [L’aide]

[échec] com.spotflux.Spotflux.tun.plist (2016-01-06) [L’aide]

[engagé] net.tunnelblick.tunnelblick.tunnelblickd.plist (2016-01-06) [L’aide]

[engagé] org.macosforge.xquartz.privileged_startx.plist (2014-08-11) [L’aide]

[désengagé] org.virtualbox.startup.plist (2016-01-06) [L’aide]


Les agents de lancement pour l’utilisateur :

[engagé] Feelbegin.AppVemoral.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Feelbegin.btvlit.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Feelbegin.dolnwoad.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Feelbegin.uadpte.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Smokyashan.update.plist (2016-07-29) [L’aide]

[engagé] com.adobe.AAM.Updater-1.0.plist (2016-01-06) [L’aide]

[échec] com.adobe.ARM.[...].plist (2011-05-12) [L’aide]

[échec] com.adobe.ARM.[...].plist (2016-01-06) [L’aide]

[échec] com.adobe.ARM.[...].plist (2011-10-05) [L’aide]

[échec] com.adobe.ARM.[...].plist (2010-01-04) [L’aide]

[engagé] com.adobe.ARM.[...].plist (2016-02-02) [L’aide]

[échec] com.adobe.ARM.[...].plist (2009-11-19) [L’aide]

[engagé] com.[expurgé].SafariBookmarksSyncer.plist

[engagé] com.bittorrent.uTorrent.plist (2016-01-06) [L’aide]

[engagé] com.iobit.AMCUpdate.plist (2016-01-06) [L’aide]

[désengagé] com.iobit.MacBoosterMini.plist (2016-01-07) [L’aide]

[échec] com.spigot.ApplicationManager.plist (2016-01-06) Adware ! [Enlever]

[échec] gUpdater.plist (2016-03-02) Adware ! [Enlever]

[échec] net.tunnelblick.tunnelblick.LaunchAtLogin.plist (2016-01-06) [L’aide]

[désengagé] org.virtualbox.vboxwebsrv.plist (2016-01-06) [L’aide]

[échec] pronto.notification.plist (2016-04-07) Adware ! [Enlever]

[échec] pronto.update.plist (2016-04-07) Adware ! [Enlever]
 

daffyb

-Duck Warrior-
Modérateur
Club MacG
18 Octobre 2001
13 381
1 497
Angoulême
Installe et exécute malwarebyte
 

lolipale

Membre émérite
9 Janvier 2011
751
99
58
Thonon-les-Bains

Clodyus

Nouveau membre
9 Novembre 2007
8
0
www.claude-petitjean.com
Bonjour,
Merci pour vos conseils éclairés et pertinents.
Je n'avais pas idée de la gravité ; jai exécuté également Malwarebytes ; et le tout a fait que je me suis débarassé d'une trentaine de fichiers et applis malveillantes, dont je n'avais aucune idée qu'elles aient pu être installées sur mon poste de travail.
C'est la première fois depuis des années que je ne vois pas et subis une attaque de cette ampleur !
Car je suis un affaciniado Mac depuis le début, qui pourtant, protège, vérifie constamment ! J'avais toutefois suspendu ma garde depuis une dizaine de jours, sans me préoccuper de ces intrus avant mon post d'hier.
Merci énormément à tous !:coucou:
 

Moonwalker

Dark Star
Club MacG
22 Avril 2006
20 840
3 114
Là-haut
Et pourtant, c'est toi qui les as installés.

Tu dois changer tes habitudes de téléchargement, sinon ça reviendra.
 

mat1696

Membre d’élite
15 Avril 2014
1 243
120
As-tu bien, dans les préférences système "Sécurité" coché "Autoriser les app téléchargées de Mac App Store et développeurs identifés" ou juste "Mac App Store" (encore plus de sécurité)


Pour ouvrir une app qui ne provient pas de la source choisir ci-dessus, ouvre-là via un clique droit (ctrl+clic)
 

Moonwalker

Dark Star
Club MacG
22 Avril 2006
20 840
3 114
Là-haut
Ce n'est pas cela qui empêchera l'installation de ces machins. Beaucoup ont un certificat en règle.

Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.
 
  • J’aime
Réactions: Bigdidou

Bigdidou

Dr Big & Mr Troll
Club MacG
8 Février 2001
4 004
460
52
Montrouge
Ce n'est pas cela qui empêchera l'installation de ces machins. Beaucoup ont un certificat en règle.

Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.
Merci, je savais pas pour DivX.
Je me demande s'il faudrait pas épingler une liste qui pourrait être régulièrement mise à jour des machins qui installent des malwares.
 

lamainfroide

Cochon Sauvage
Club MacG
3 Avril 2009
1 745
463
Sous le Soleil
Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.
Quand tu dis "MplayerX" tu parles de ne pas le télécharger ou de ne pas l'utiliser ?

Tiens, j'ai l'étrange sentiment de poser une question conne.
 

Bigdidou

Dr Big & Mr Troll
Club MacG
8 Février 2001
4 004
460
52
Montrouge

lamainfroide

Cochon Sauvage
Club MacG
3 Avril 2009
1 745
463
Sous le Soleil
Alors, effectivement, je me souviens que l'installation me proposait 1 ou 2 trucs supp que j'ai zappé, c'est vrai.
Sinon, ça fonctionne et rien ne semble avoir été installé "à l'insu de mon plein gré".
Bon, j'avoue aussi ne pas avoir fait de mise à jour depuis la version 1.1.0 (je ne suis pas un frénétique de la mise à jour, quand ça fonctionne ça me va).