10.11 El Capitan Smokyashan, Malware ou pas ? Comment s’en débarasser ?

[Clodyus]

Bonjour,
Depuis plusieurs semaines, je déplore l’installation sur mon Imac sans que je l’ai jamais demandé de « Smokyashan », repéré dans les forums en langue anglaise sur le Web comme un malware.

J’ai pourtant bloqué - avec Little snitch - cette application, mais rien n’y fait ; à chaque redémarrage de mon Imac, je me retrouve avec :
- un disque dur « installer » qui n’est visible que depuis l’utilitaire de disque.
- un dossier vérrouillé « Smokyashan », incluant l’application Smokyashan.app (1,3Mo) dans le dossier /Users/apple/Library/Application Support/
- le fichier Smokyashan.update.plist dans /Users/apple/Library/LaunchAgents/
- le fichier com.Smokyashan.plist dans /Users/apple/Library/Preferences/

A chaque fois, je déprotège les fichiers et dossiers avant de les détruire, j’éjecte l’ « installer », et vérifie qu'il n'ya plus rien.... Et quelques heures plus tard c’est revenu. D'où ça provient ? des navigateurs (j'utilise Firefox, Safari & Chrome selon les moments ; j'ai bien vérifié toutes les extensions, rien trouvé...)
Que faire ?

Je n’ai trouvé aucun commentaire en français sur ce probable malware, et n’ai trouvé aucune indication sur d’autres utilisateurs ayant rencontré ce problème. Quelqu’un a t’il rencontré ce problème ?

Nota : je suis sous OS Capitan 10.11.6 (15G31).

 

[lolipale]

Bonjour,

Si il revient à chaque démarrage, il y a de fortes chances pour qu'il soit lancé par un LaunchAgent ou un LaunchDaemon ...
On trouve des LaunchDaemons et LaunchAgents au sein de la bibliothèque du système, et de la bibliothèque principale,
Au sein de la bibliothèque de l'utilisateur, il n'y a que des LaunchAgents.
Je chercherai (à priori) dans la bibliothèque principale.
Pouvez-vous faire un test avec EtreCheck que vous trouverez ici et poster le résultat obtenu ?

 

[FrançoisMacG]

Bonjour,

Google pointe une page qui semble bien complète,
et que Google Trad peut traduire suffisamment bien en français pour que tu arrives à te débarrasser en quelques minutes de la bête.

 

[Clodyus]

Voici le rapport, il y a bien des intrus que je n'avais pas vu !!! (merci pour les conseils , pas complet, trop long)
EtreCheck version : 2.9.13 (267)

Rapport créé le 2016-07-29 16:05:29

Télécharger EtreCheck chez https://etrecheck.com

Runtime 15:07

La vitesse : Pire



Cliquez sur les liens [L’aide] pour l’assistance avec les produits non-Apple.

Cliquez sur les liens [Les détails] pour plus d'informations sur cette ligne.

Cliquez sur les liens [Enlever] pour enlever l’adware.

Cliquez sur le lien [Vérifier les fichiers] pour l’assistance avec le logiciel inconnu.



Problème :Autre problème

Description :

Installation application non demandée, Smokyashan



Les informations matérielles : ⓘ

iMac (21.5 pouces, mi-2010)

[Les caractéristiques techniques] - [Le guide de l’utilisateur] - [Garantie & service]

iMac - modèle : iMac11,2

1 3,06 GHz Intel Core i3 CPU : 2-core

12 GB RAM Extensible - [Instruction]

BANK 0/DIMM0

4 GB DDR3 1333 MHz ok

BANK 1/DIMM0

4 GB DDR3 1333 MHz ok

BANK 0/DIMM1

2 GB DDR3 1333 MHz ok

BANK 1/DIMM1

2 GB DDR3 1333 MHz ok

Bluetooth: Vieux - Handoff/Airdrop2 pas disponible

Wireless: en1: 802.11 a/b/g/n


Les informations vidéo : ⓘ

ATI Radeon HD 4670 - VRAM : 256 MB

iMac 1920 x 1080


Les logiciel du système : ⓘ

OS X El Capitan 10.11.6 (15G31) - Temps depuis le démarrage : environ 3 heures


Les informations des disques : ⓘ

WDC WD5000AAKS-40V6A0 disk0 : (500,11 GB) (Rotational)

EFI (disk0s1) <non monté> : 210 Mo

ImaClaude (disk0s2) / : 499.25 Go (190.42 Go libre)

Recovery HD (disk0s3) <non monté> [Restauration] : 650 Mo


PIONEER DVD-RW DVRTS09 ()


Les informations USB : ⓘ

Prolific Technology Inc. ATAPI-6 Bridge Controller 3 TB

EFI (disk1s1) <non monté> : 210 Mo

2016_2 Photos (disk1s2) /Volumes/2016_2 Photos : 1.00 To (219.33 Go libre)

2016_1 Photos (disk1s3) /Volumes/2016_1 Photos : 1.00 To (35.06 Go libre)

2016_3 Stock (disk1s4) /Volumes/2016_3 Stock : 498.09 Go (434.73 Go libre)

2016_4 CloneImac (disk1s5) /Volumes/2016_4 CloneImac : 495.98 Go (218.36 Go libre)

Apple Card Reader

Apple Inc. BRCM2046 Hub

Apple Inc. Bluetooth USB Host Controller

Mitsumi Apple USB Mouse

Muti-Song emai Muti-Song emai

USB Keyboard

Apple Computer, Inc. IR Receiver

Apple Inc. Built-in iSight


Les fichiers de configuration : ⓘ

/etc/hosts - Nombre : 66


Le gatekeeper : ⓘ

Mac App Store et développeurs identifiés


L’adware : ⓘ

~/Library/LaunchAgents/Feelbegin.AppVemoral.plist

~/Library/LaunchAgents/Feelbegin.btvlit.plist

~/Library/LaunchAgents/Feelbegin.dolnwoad.plist

~/Library/LaunchAgents/Feelbegin.uadpte.plist

~/Library/LaunchAgents/com.spigot.ApplicationManager.plist

~/Library/LaunchAgents/gUpdater.plist

~/Library/LaunchAgents/pronto.notification.plist

~/Library/LaunchAgents/pronto.update.plist

~/Library/Safari/Extensions/Feelbegin.safariextz

9 fichiers adware trouvés. [Enlever]


Les fichiers inconnus : ⓘ

~/Library/LaunchAgents/Smokyashan.update.plist

~/Library/Application Support/Smokyashan/Smokyashan.app/Contents/MacOS/AppNOS -trigger update -isDev 0 -installVersion 109 -firstAppId 1434976216979282 -identity Smokyashan -sig NOSIGNATURE_SIGNATURE -agentUpdate 2

Un fichier inconnu trouvé. [Vérifier ces fichiers]


(...)
Les daemons de lancements : ⓘ

[en marche] at.obdev.littlesnitchd.plist (2016-01-07) [L’aide]

[engagé] com.adobe.SwitchBoard.plist (2016-01-06) [L’aide]

[engagé] com.adobe.fpsaud.plist (2016-06-29) [L’aide]

[engagé] com.adobe.versioncueCS3.plist (2016-01-06) [L’aide]

[engagé] com.[expurgé].aelwriter.plist

[échec] com.[expurgé].qmaster.qmasterd.plist

[engagé] com.bombich.ccc.plist (2016-01-06) [L’aide]

[engagé] com.bombich.ccchelper.plist (2016-01-21) [L’aide]

[en marche] com.cleverfiles.cfbackd.plist (2016-04-14) [L’aide]

[engagé] com.cocoatech.pathfinder.SMFHelper7.plist (2016-04-14) [L’aide]

[échec] com.dilaroga.imagneto_d.plist (2016-01-06) [L’aide]

[échec] com.elgato.EyeConnect.plist (2016-01-06) [L’aide]

[engagé] com.github.GitHub.GHInstallCLI.plist (2016-01-06) [L’aide]

[échec] com.google.keystone.daemon.plist (2016-01-06) [L’aide]

[échec] com.intego.personalantispam.daemon.plist (2016-01-06) [L’aide]

[échec] com.intego.task.manager.daemon.plist (2016-01-06) [L’aide]

[en marche] com.iobit.AMCDaemon.plist (2016-01-06) [L’aide]

[échec] com.metakine.handsoff.daemon.plist (2016-01-06) [L’aide]

[engagé] com.microsoft.office.licensing.helper.plist (2016-01-06) [L’aide]

[engagé] com.microsoft.office.licensingV2.helper.plist (2016-01-06) [L’aide]

[engagé] com.oracle.java.Helper-Tool.plist (2016-01-06) [L’aide]

[en marche] com.paragon-software.NTFS.fsnotify.daemon.plist (2016-07-04) [L’aide]

[engagé] com.paragon.NTFS.launch.plist (2016-07-04) [L’aide]

[engagé] com.quark.QXPHelper.plist (2016-01-06) [L’aide]

[engagé] com.quark.quarkupdate.plist (2016-01-06) [L’aide]

[échec] com.spotflux.Spotflux.tun.plist (2016-01-06) [L’aide]

[engagé] net.tunnelblick.tunnelblick.tunnelblickd.plist (2016-01-06) [L’aide]

[engagé] org.macosforge.xquartz.privileged_startx.plist (2014-08-11) [L’aide]

[désengagé] org.virtualbox.startup.plist (2016-01-06) [L’aide]


Les agents de lancement pour l’utilisateur : ⓘ

[engagé] Feelbegin.AppVemoral.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Feelbegin.btvlit.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Feelbegin.dolnwoad.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Feelbegin.uadpte.plist (2016-07-12) Adware ! [Enlever]

~/Library/Application Support/Feelbegin/Feelbegin.app/Contents/MacOS/AppSO

[engagé] Smokyashan.update.plist (2016-07-29) [L’aide]

[engagé] com.adobe.AAM.Updater-1.0.plist (2016-01-06) [L’aide]

[échec] com.adobe.ARM.[...].plist (2011-05-12) [L’aide]

[échec] com.adobe.ARM.[...].plist (2016-01-06) [L’aide]

[échec] com.adobe.ARM.[...].plist (2011-10-05) [L’aide]

[échec] com.adobe.ARM.[...].plist (2010-01-04) [L’aide]

[engagé] com.adobe.ARM.[...].plist (2016-02-02) [L’aide]

[échec] com.adobe.ARM.[...].plist (2009-11-19) [L’aide]

[engagé] com.[expurgé].SafariBookmarksSyncer.plist

[engagé] com.bittorrent.uTorrent.plist (2016-01-06) [L’aide]

[engagé] com.iobit.AMCUpdate.plist (2016-01-06) [L’aide]

[désengagé] com.iobit.MacBoosterMini.plist (2016-01-07) [L’aide]

[échec] com.spigot.ApplicationManager.plist (2016-01-06) Adware ! [Enlever]

[échec] gUpdater.plist (2016-03-02) Adware ! [Enlever]

[échec] net.tunnelblick.tunnelblick.LaunchAtLogin.plist (2016-01-06) [L’aide]

[désengagé] org.virtualbox.vboxwebsrv.plist (2016-01-06) [L’aide]

[échec] pronto.notification.plist (2016-04-07) Adware ! [Enlever]

[échec] pronto.update.plist (2016-04-07) Adware ! [Enlever]

 

[daffyb]

Installe et exécute malwarebyte

 

[lolipale]

Installe et exécute malwarebyte

+ 1 pour Malwarebytes ...

mais les liens proposés par EtreCheck sont efficaces ;-)

 

[Clodyus]

Bonjour,
Merci pour vos conseils éclairés et pertinents.
Je n'avais pas idée de la gravité ; jai exécuté également Malwarebytes ; et le tout a fait que je me suis débarassé d'une trentaine de fichiers et applis malveillantes, dont je n'avais aucune idée qu'elles aient pu être installées sur mon poste de travail.
C'est la première fois depuis des années que je ne vois pas et subis une attaque de cette ampleur !
Car je suis un affaciniado Mac depuis le début, qui pourtant, protège, vérifie constamment ! J'avais toutefois suspendu ma garde depuis une dizaine de jours, sans me préoccuper de ces intrus avant mon post d'hier.
Merci énormément à tous !

 

[Moonwalker]

Et pourtant, c'est toi qui les as installés.

Tu dois changer tes habitudes de téléchargement, sinon ça reviendra.

 

[mat1696]

As-tu bien, dans les préférences système "Sécurité" coché "Autoriser les app téléchargées de Mac App Store et développeurs identifés" ou juste "Mac App Store" (encore plus de sécurité)


Pour ouvrir une app qui ne provient pas de la source choisir ci-dessus, ouvre-là via un clique droit (ctrl+clic)

 

[Moonwalker]

Ce n'est pas cela qui empêchera l'installation de ces machins. Beaucoup ont un certificat en règle.

Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.

 

[Bigdidou]

Ce n'est pas cela qui empêchera l'installation de ces machins. Beaucoup ont un certificat en règle.

Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.

Merci, je savais pas pour DivX.
Je me demande s'il faudrait pas épingler une liste qui pourrait être régulièrement mise à jour des machins qui installent des malwares.

 

[lamainfroide]

Il faut arrêter de télécharger chez Softonic, CNET Download, MacUpdate et autres, mais aussi éviter comme la peste uTorrent, MPlayerX, voire DivX.

Quand tu dis "MplayerX" tu parles de ne pas le télécharger ou de ne pas l'utiliser ?

Tiens, j'ai l'étrange sentiment de poser une question conne.

 

[Moonwalker]

On a eu une petite discussion sur le forum au début de l'année sur le même sujet, avec de nombreuses captures d'écran :
http://forums.macg.co/threads/virus...mettre-le-disque-a-zero-de-chez-zero.1277489/

 

[Bigdidou]

On a eu une petite discussion sur le forum au début de l'année sur le même sujet, avec de nombreuses captures d'écran :
http://forums.macg.co/threads/virus...mettre-le-disque-a-zero-de-chez-zero.1277489/

Édifiant, effectivement.

 

[lamainfroide]

Alors, effectivement, je me souviens que l'installation me proposait 1 ou 2 trucs supp que j'ai zappé, c'est vrai.
Sinon, ça fonctionne et rien ne semble avoir été installé "à l'insu de mon plein gré".
Bon, j'avoue aussi ne pas avoir fait de mise à jour depuis la version 1.1.0 (je ne suis pas un frénétique de la mise à jour, quand ça fonctionne ça me va).