Ce forum est en partie financé par l’affichage de publicités. Merci de désactiver votre bloqueur de publicités pour nous permettre de continuer à fournir ce service.

10.11 El Capitan Smokyashan, Malware ou pas ? Comment s’en débarasser ?

Discussion dans 'macOS' créé par Clodyus, 29 Juillet 2016.

Modérateurs: Aliboron, bompi, daffyb
  1. Clodyus

    Clodyus Nouveau membre

    Inscrit:
    9 Novembre 2007
    Messages:
    8
    J'aime reçus:
    0
    Bonjour,
    Depuis plusieurs semaines, je déplore l’installation sur mon Imac sans que je l’ai jamais demandé de « Smokyashan », repéré dans les forums en langue anglaise sur le Web comme un malware.

    J’ai pourtant bloqué - avec Little snitch - cette application, mais rien n’y fait ; à chaque redémarrage de mon Imac, je me retrouve avec :
    - un disque dur « installer » qui n’est visible que depuis l’utilitaire de disque.
    - un dossier vérrouillé « Smokyashan », incluant l’application Smokyashan.app (1,3Mo) dans le dossier /Users/apple/Library/Application Support/
    - le fichier Smokyashan.update.plist dans /Users/apple/Library/LaunchAgents/
    - le fichier com.Smokyashan.plist dans /Users/apple/Library/Preferences/

    A chaque fois, je déprotège les fichiers et dossiers avant de les détruire, j’éjecte l’ « installer », et vérifie qu'il n'ya plus rien.... Et quelques heures plus tard c’est revenu. D'où ça provient ? des navigateurs (j'utilise Firefox, Safari & Chrome selon les moments ; j'ai bien vérifié toutes les extensions, rien trouvé...)
    Que faire ?


    Je n’ai trouvé aucun commentaire en français sur ce probable malware, et n’ai trouvé aucune indication sur d’autres utilisateurs ayant rencontré ce problème. Quelqu’un a t’il rencontré ce problème ?

    Nota : je suis sous OS Capitan 10.11.6 (15G31).
     
  2. lolipale

    lolipale Membre émérite

    Inscrit:
    9 Janvier 2011
    Messages:
    749
    J'aime reçus:
    99
    Bonjour,

    Si il revient à chaque démarrage, il y a de fortes chances pour qu'il soit lancé par un LaunchAgent ou un LaunchDaemon ...
    On trouve des LaunchDaemons et LaunchAgents au sein de la bibliothèque du système, et de la bibliothèque principale,
    Au sein de la bibliothèque de l'utilisateur, il n'y a que des LaunchAgents.
    Je chercherai (à priori) dans la bibliothèque principale.
    Pouvez-vous faire un test avec EtreCheck que vous trouverez ici et poster le résultat obtenu ?
     
  3. FrançoisMacG

    FrançoisMacG Pince-fourmis
    Club MacG

    Inscrit:
    17 Août 2006
    Messages:
    16 108
    J'aime reçus:
    622
    Bonjour,

    Google pointe une page qui semble bien complète,
    et que Google Trad peut traduire suffisamment bien en français pour que tu arrives à te débarrasser en quelques minutes de la bête.
     
  4. Clodyus

    Clodyus Nouveau membre

    Inscrit:
    9 Novembre 2007
    Messages:
    8
    J'aime reçus:
    0
    Voici le rapport, il y a bien des intrus que je n'avais pas vu !!! (merci pour les conseils :), pas complet, trop long)
    EtreCheck version : 2.9.13 (267)

    Rapport créé le 2016-07-29 16:05:29

    Télécharger EtreCheck chez https://etrecheck.com

    Runtime 15:07

    La vitesse : Pire



    Cliquez sur les liens [L’aide] pour l’assistance avec les produits non-Apple.

    Cliquez sur les liens [Les détails] pour plus d'informations sur cette ligne.

    Cliquez sur les liens [Enlever] pour enlever l’adware.

    Cliquez sur le lien [Vérifier les fichiers] pour l’assistance avec le logiciel inconnu.



    Problème :Autre problème

    Description :

    Installation application non demandée, Smokyashan



    Les informations matérielles :

    iMac (21.5 pouces, mi-2010)

    [Les caractéristiques techniques] - [Le guide de l’utilisateur] - [Garantie & service]

    iMac - modèle : iMac11,2

    1 3,06 GHz Intel Core i3 CPU : 2-core

    12 GB RAM Extensible - [Instruction]

    BANK 0/DIMM0

    4 GB DDR3 1333 MHz ok

    BANK 1/DIMM0

    4 GB DDR3 1333 MHz ok

    BANK 0/DIMM1

    2 GB DDR3 1333 MHz ok

    BANK 1/DIMM1

    2 GB DDR3 1333 MHz ok

    Bluetooth: Vieux - Handoff/Airdrop2 pas disponible

    Wireless: en1: 802.11 a/b/g/n


    Les informations vidéo :

    ATI Radeon HD 4670 - VRAM : 256 MB

    iMac 1920 x 1080


    Les logiciel du système :

    OS X El Capitan 10.11.6 (15G31) - Temps depuis le démarrage : environ 3 heures


    Les informations des disques :

    WDC WD5000AAKS-40V6A0 disk0 : (500,11 GB) (Rotational)

    EFI (disk0s1) <non monté> : 210 Mo

    ImaClaude (disk0s2) / : 499.25 Go (190.42 Go libre)

    Recovery HD (disk0s3) <non monté> [Restauration] : 650 Mo


    PIONEER DVD-RW DVRTS09 ()


    Les informations USB :

    Prolific Technology Inc. ATAPI-6 Bridge Controller 3 TB

    EFI (disk1s1) <non monté> : 210 Mo

    2016_2 Photos (disk1s2) /Volumes/2016_2 Photos : 1.00 To (219.33 Go libre)

    2016_1 Photos (disk1s3) /Volumes/2016_1 Photos : 1.00 To (35.06 Go libre)

    2016_3 Stock (disk1s4) /Volumes/2016_3 Stock : 498.09 Go (434.73 Go libre)

    2016_4 CloneImac (disk1s5) /Volumes/2016_4 CloneImac : 495.98 Go (218.36 Go libre)

    Apple Card Reader

    Apple Inc. BRCM2046 Hub

    Apple Inc. Bluetooth USB Host Controller

    Mitsumi Apple USB Mouse

    Muti-Song emai Muti-Song emai

    USB Keyboard

    Apple Computer, Inc. IR Receiver

    Apple Inc. Built-in iSight


    Les fichiers de configuration :

    /etc/hosts - Nombre : 66


    Le gatekeeper :

    Mac App Store et développeurs identifiés


    L’adware :

    ~/Library/LaunchAgents/Feelbegin.AppVemoral.plist

    ~/Library/LaunchAgents/Feelbegin.btvlit.plist

    ~/Library/LaunchAgents/Feelbegin.dolnwoad.plist

    ~/Library/LaunchAgents/Feelbegin.uadpte.plist

    ~/Library/LaunchAgents/com.spigot.ApplicationManager.plist

    ~/Library/LaunchAgents/gUpdater.plist

    ~/Library/LaunchAgents/pronto.notification.plist

    ~/Library/LaunchAgents/pronto.update.plist

    ~/Library/Safari/Extensions/Feelbegin.safariextz

    9 fichiers adware trouvés. [Enlever]


    Les fichiers inconnus :

    ~/Library/LaunchAgents/Smokyashan.update.plist

    ~/Library/Application Support/Smokyashan/Smokyashan.app/Contents/MacOS/AppNOS -trigger update -isDev 0 -installVersion 109 -firstAppId 1434976216979282 -identity Smokyashan -sig NOSIGNATURE_SIGNATURE -agentUpdate 2

    Un fichier inconnu trouvé. [Vérifier ces fichiers]


    (...)
    Les daemons de lancements :

    [en marche] at.obdev.littlesnitchd.plist (2016-01-07) [L’aide]

    [engagé] com.adobe.SwitchBoard.plist (2016-01-06) [L’aide]

    [engagé] com.adobe.fpsaud.plist (2016-06-29) [L’aide]

    [engagé] com.adobe.versioncueCS3.plist (2016-01-06) [L’aide]

    [engagé] com.[expurgé].aelwriter.plist

    [échec] com.[expurgé].qmaster.qmasterd.plist

    [engagé] com.bombich.ccc.plist (2016-01-06) [L’aide]

    [engagé] com.bombich.ccchelper.plist (2016-01-21) [L’aide]

    [en marche] com.cleverfiles.cfbackd.plist (2016-04-14) [L’aide]

    [engagé] com.cocoatech.pathfinder.SMFHelper7.plist (2016-04-14) [L’aide]

    [échec] com.dilaroga.imagneto_d.plist (2016-01-06) [L’aide]

    [échec] com.elgato.EyeConnect.plist (2016-01-06) [L’aide]

    [engagé] com.github.GitHub.GHInstallCLI.plist (2016-01-06) [L’aide]

    [échec] com.google.keystone.daemon.plist (2016-01-06) [L’aide]

    [échec] com.intego.personalantispam.daemon.plist (2016-01-06) [L’aide]

    [échec] com.intego.task.manager.daemon.plist (2016-01-06) [L’aide]

    [en marche] com.iobit.AMCDaemon.plist (2016-01-06) [L’aide]

    [échec] com.metakine.handsoff.daemon.plist (2016-01-06) [L’aide]

    [engagé] com.microsoft.office.licensing.helper.plist (2016-01-06) [L’aide]

    [engagé] com.microsoft.office.licensingV2.helper.plist (2016-01-06) [L’aide]

    [engagé] com.oracle.java.Helper-Tool.plist (2016-01-06) [L’aide]

    [en marche] com.paragon-software.NTFS.fsnotify.daemon.plist (2016-07-04) [L’aide]

    [engagé] com.paragon.NTFS.launch.plist (2016-07-04) [L’aide]

    [engagé] com.quark.QXPHelper.plist (2016-01-06) [L’aide]

    [engagé] com.quark.quarkupdate.plist (2016-01-06) [L’aide]

    [échec] com.spotflux.Spotflux.tun.plist (2016-01-06) [L’aide]

    [engagé] net.tunnelblick.tunnelblick.tunnelblickd.plist (2016-01-06) [L’aide]

    [engagé] org.macosforge.xquartz.privileged_startx.plist (2014-08-11) [L’aide]

    [désengagé] org.virtualbox.startup.plist (2016-01-06) [L’aide]


    Les agents de lancement pour l’utilisateur :

    [engagé] Feelbegin.AppVemoral.plist (2016-07-12) Adware ! [Enlever]

    ~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

    [engagé] Feelbegin.btvlit.plist (2016-07-12) Adware ! [Enlever]

    ~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

    [engagé] Feelbegin.dolnwoad.plist (2016-07-12) Adware ! [Enlever]

    ~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

    [engagé] Feelbegin.uadpte.plist (2016-07-12) Adware ! [Enlever]

    ~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

    [engagé] Smokyashan.update.plist (2016-07-29) [L’aide]

    [engagé] com.adobe.AAM.Updater-1.0.plist (2016-01-06) [L’aide]

    [échec] com.adobe.ARM.[...].plist (2011-05-12) [L’aide]

    [échec] com.adobe.ARM.[...].plist (2016-01-06) [L’aide]

    [échec] com.adobe.ARM.[...].plist (2011-10-05) [L’aide]

    [échec] com.adobe.ARM.[...].plist (2010-01-04) [L’aide]

    [engagé] com.adobe.ARM.[...].plist (2016-02-02) [L’aide]

    [échec] com.adobe.ARM.[...].plist (2009-11-19) [L’aide]

    [engagé] com.[expurgé].SafariBookmarksSyncer.plist

    [engagé] com.bittorrent.uTorrent.plist (2016-01-06) [L’aide]

    [engagé] com.iobit.AMCUpdate.plist (2016-01-06) [L’aide]

    [désengagé] com.iobit.MacBoosterMini.plist (2016-01-07) [L’aide]

    [échec] com.spigot.ApplicationManager.plist (2016-01-06) Adware ! [Enlever]

    [échec] gUpdater.plist (2016-03-02) Adware ! [Enlever]

    [échec] net.tunnelblick.tunnelblick.LaunchAtLogin.plist (2016-01-06) [L’aide]

    [désengagé] org.virtualbox.vboxwebsrv.plist (2016-01-06) [L’aide]

    [échec] pronto.notification.plist (2016-04-07) Adware ! [Enlever]

    [échec] pronto.update.plist (2016-04-07) Adware ! [Enlever]
     
  5. daffyb

    daffyb -Duck Warrior-
    Modérateur Club MacG

    Inscrit:
    18 Octobre 2001
    Messages:
    13 347
    J'aime reçus:
    1 489
    Installe et exécute malwarebyte
     
  6. lolipale

    lolipale Membre émérite

    Inscrit:
    9 Janvier 2011
    Messages:
    749
    J'aime reçus:
    99
    + 1 pour Malwarebytes ...

    mais les liens proposés par EtreCheck sont efficaces ;-)
     
  7. Clodyus

    Clodyus Nouveau membre

    Inscrit:
    9 Novembre 2007
    Messages:
    8
    J'aime reçus:
    0
    Bonjour,
    Merci pour vos conseils éclairés et pertinents.
    Je n'avais pas idée de la gravité ; jai exécuté également Malwarebytes ; et le tout a fait que je me suis débarassé d'une trentaine de fichiers et applis malveillantes, dont je n'avais aucune idée qu'elles aient pu être installées sur mon poste de travail.
    C'est la première fois depuis des années que je ne vois pas et subis une attaque de cette ampleur !
    Car je suis un affaciniado Mac depuis le début, qui pourtant, protège, vérifie constamment ! J'avais toutefois suspendu ma garde depuis une dizaine de jours, sans me préoccuper de ces intrus avant mon post d'hier.
    Merci énormément à tous !:coucou:
     
  8. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    20 634
    J'aime reçus:
    3 042
    Et pourtant, c'est toi qui les as installés.

    Tu dois changer tes habitudes de téléchargement, sinon ça reviendra.
     
  9. mat1696

    mat1696 Membre d’élite

    Inscrit:
    15 Avril 2014
    Messages:
    1 243
    J'aime reçus:
    119
    As-tu bien, dans les préférences système "Sécurité" coché "Autoriser les app téléchargées de Mac App Store et développeurs identifés" ou juste "Mac App Store" (encore plus de sécurité)


    Pour ouvrir une app qui ne provient pas de la source choisir ci-dessus, ouvre-là via un clique droit (ctrl+clic)
     
  10. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    20 634
    J'aime reçus:
    3 042
    Ce n'est pas cela qui empêchera l'installation de ces machins. Beaucoup ont un certificat en règle.

    Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.
     
    Bigdidou aime ça.
  11. Bigdidou

    Bigdidou Dr Big & Mr Troll
    Club MacG

    Inscrit:
    8 Février 2001
    Messages:
    4 004
    J'aime reçus:
    460
    Merci, je savais pas pour DivX.
    Je me demande s'il faudrait pas épingler une liste qui pourrait être régulièrement mise à jour des machins qui installent des malwares.
     
  12. lamainfroide

    lamainfroide Cochon Sauvage
    Club MacG

    Inscrit:
    3 Avril 2009
    Messages:
    1 731
    J'aime reçus:
    457
    Quand tu dis "MplayerX" tu parles de ne pas le télécharger ou de ne pas l'utiliser ?

    Tiens, j'ai l'étrange sentiment de poser une question conne.
     
  13. Moonwalker

    Moonwalker Dark Star
    Club MacG

    Inscrit:
    22 Avril 2006
    Messages:
    20 634
    J'aime reçus:
    3 042
  14. Bigdidou

    Bigdidou Dr Big & Mr Troll
    Club MacG

    Inscrit:
    8 Février 2001
    Messages:
    4 004
    J'aime reçus:
    460
  15. lamainfroide

    lamainfroide Cochon Sauvage
    Club MacG

    Inscrit:
    3 Avril 2009
    Messages:
    1 731
    J'aime reçus:
    457
    Alors, effectivement, je me souviens que l'installation me proposait 1 ou 2 trucs supp que j'ai zappé, c'est vrai.
    Sinon, ça fonctionne et rien ne semble avoir été installé "à l'insu de mon plein gré".
    Bon, j'avoue aussi ne pas avoir fait de mise à jour depuis la version 1.1.0 (je ne suis pas un frénétique de la mise à jour, quand ça fonctionne ça me va).
     
Modérateurs: Aliboron, bompi, daffyb
Chargement...

iOccasion - Achetez un produit Apple d'occasion

refurb Apple