10.12 Sierra Spyware sur mon mac

[hawksylver]

Bonjour,

Cela fait 2 ans que je travaille sur MAC mais nouveau sur ce forum

Voila aujourd'hui je viens vers vous, car je suis un peu perdu.

J'ai un macbook pro de 2016 sous sierra et je pense qu'un bon trojan est installé dessus...

Ce qui me fait dire ca :
- Cela fait maintenant un peu plus de 6 mois qu'une personne arrive a accéder a mes comptes facebook, mail etc... même avec authentification double facteur. au début je pensais que cela venait de mon Iphone. Mais hier matin je delock mon mac et je vois que Skype était ouvert avec des contacts qui étaient ajoutés...
Alors que je n'avais absolument pas ouvert mon mac du week-end. Et encore moins skype.
Sachant que mon mac se connecte directement a la wi-fi de mon domicile même quand le mac est fermé dans mon sac. (j'ai pu le voir sur les périphériques connecté à ma box)

J'ai donc regardé un peu tous les postes sur le net etc... et donc regardé l'activity monitor toute la journée... à la recherche d'un process malveillant. J'ai aussi installé Little Snitch mais super intrusif... rien vu non plus...

Je ne sais pas trop quoi faire à part déconnecter mon mac du wi-fi chez moi... mais ca n'est pas une situation durable.

Avait vous une petite idée ?

Bien à vous,

hawksylver

 

[Locke]

J'ai un macbook pro de 2016 sous sierra et je pense qu'un bon trojan est installé dessus...

Installe et lance Malwarebytes * puis un clic sur Scan, s'il y a quelque chose il fera le ménage. Tu peux dans la foulée installer uBlock * dans tous tes navigateurs qui ne laisse pas passer de la PUB comme le font Adblock ou Adblock Plus. Mais je ne pense pas que le problème vienne de là vu que tu as installé Little Snitch.

Je pense plutôt que ton compte Facebook est bien piraté par quelqu'un qui connait tes habitudes. Il faut changer tous tes mots de passe, en mettre avec un mot de passe long et compliqué, comme je n'utilise pas Facebook je ne connais pas les possibilités pour les authentifications supplémentaires, mais il faut absolument revoir de fond en comble tes identifiants et mots de passe.

* un clic sur les noms soulignés en rouge sombre ouvrira la page de l'éditeur

 

[mokuchley]

Dans l'analyse de la problématique on peut ajouter ETRECHEK => http://www.etrecheck.com

 

[hawksylver]

Bonjour,

Tout d'abord merci pour vos réponses,

Les mots de passes Facebook ont été changé plusieurs fois, ce ne sont pas des mots de passe avec ma date de naissance ou quoi que ce soit, ce sont vraiment des mots de passe à sécurité forte lettres minuscules, majuscules, chiffres, caractères de ponctuations...

J'avais déjà fait un scan avec malwarebytes mais rien...

J'ai fait une analyse de ETRECHECK et je n'ai rien vue de bien spéciale...

Bien à vous,

Merci

 

[bompi]

Qui a un accès physique à cet ordinateur ?

 

[hawksylver]

Bonjour,

Moi seul

 

[bompi]

Pour que Skype soit lancé, il faut qu'il l'ait été (lancé) : dit comme ça c'est un peu crétin, cependant cela implique qu'il y ait eu une connexion sur ta session, locale ou distante, pour lancer l'application.
Or ton Mac était en veille [je déduis de ton premier post qu'il n'était pas arrêté puisqu'il se connecte à la messagerie (via PowerNap)] et, dans ce cas, on ne peut y accéder à distance pour lancer une application.
Il faut donc que :

• quelqu'un se soit connecté directement, ce qui signifie que cette personne connaît ton identifiant et ton mot de passe ; cette connexion aura laissé des traces dans les journaux, que tu peux consulter avec l'utilitaire Console.
• il y ait sur ton système un processus qui le réveille automatiquement et permet ensuite les connexions à distances (par un outil genre TeamViewer) ; ça doit pouvoir se trouver en regardant la liste des processus, des services, des agents etc. présents sur le système.
• le MBP soit réveillé en utilisant la fonctionnalité Wake On Lan, pour les connexions Ethernet (câble RJ 45) ou Wake On Wireless pour les connexions Wifi (toujours grâce à, ou à cause de, Power Nap) et dans ce cas, supprimer cette possibilité dans les Préférences Systèmes.

Du coup, tu as tout intérêt :

• à suivre les conseils qui précèdent pour bien vérifier ce qui est installé sur ta machine (ETRECHECK) : keylogger, service de connexion inconnu etc.;
  
• à éplucher les journaux pour voir s'il y a des traces d'intrusion ;
• à ne pas utiliser iCloud pour déverrouiller ton Mac ;
• à déconnecter ta machine du réseau (Ethernet, Wifi) puis changer de mot de passe sur ton compte et à en mettre un bien musclé, vraiment difficile à trouver même par des gens qui te connaissent ;

Ou alors : tu fais une croix sur le passé et tu réinstalles de propre le système, sans rien récupérer automatiquement, uniquement des données facilement identifiables (tu re-télécharges tes applications depuis les sites officiels de leurs fournisseurs). Au passage, tu peux aussi te créer une nouvelle identité sur iCloud puis la propager sur l'iPhone etc.

Dans tous les cas, tu as intérêt pour commencer (sur le système actuel ou le système réinstallé) à bloquer toute connexion entrante (voir côté pare-feu et sécurité dans les Préférences Systèmes), n'autoriser aucune application à recevoir des flux (iTunes ou autres) et installer un pare-feu sortant comme LittleSnitch pour vérifier ce qui sort de ta machine.
Pendant que tu y es, désactive PowerNap et ne laisse que la veille classique.

 

[Yuls]

J'ai fait une analyse de ETRECHECK et je n'ai rien vue de bien spécial

Ca tu n'en sais rien vu que tu ne nous postes pas le rapport généré par Etrecheck

J'aurais souhaité qu'au message #3 on t'explique le modop usuel pour mettre le rapport sur ton sujet :

...rapport que tu colles avec les touches cmd+V...

...dans cette fenêtre qui s'ouvrira...

...un clic sur Insérer et tu valides ta réponse.

 

[hawksylver]

Bonjour Yuls,

J'avais déjà fait cette étape,

Mais j'ai ce problème quand je veux poster ma réponse :
"Notre système anti-spam a détecté une URL déguisée dans votre billet. Merci de supprimer tout élément ressemblant à une URL".

Et comme il y a plusieurs lignes du style com.apple.etc... je pense que le problème vient de la.
Donc je t'ai fait un beau pastbin (comme cela fait moins de 2 jours que je suis inscrit je ne peux poster de lien... donc l'id de mon bin est XShJFaVn

Bompi :

Merci pour cette réponse très complète, suite a tes recommandations :
- j'ai donc désactiver PowerNap
- je n'utilise pas iCloud pour me connecter.
- en ce qui concerne la Console, je ne sais pas du tout ou chercher pour voir les activités suspectes. En gros je ne sais pas trop quel fichier de log regarder.

Cordialement,

 

[Yuls]

Bonjour,

donc l'id de mon bin est XShJFaVn

Sans lien http: / / , ça ne va pas être simple

 

[hawksylver]

mmh assez compliqué de déguisé un lien sur ce forum...
pastebin pointcom slashXShJFaVn

 

[Yuls]

Ben écoute j'ai réussi avec l'icône dans la barre d'outils et en sélectionant un bout de texte : Rapport Etrecheck

T'as tout un tas de Daemons de Lancement :

Bloc de spoiler: Daemons

1. Daemons de lancements : ⓘ
2. [engagé] 6H4HRTU5E3.com.avast.passwords.AgentXPC.plist (AVAST Software a.s. - installé 2017-09-04) [Rechercher]
3. [en marche] at.obdev.littlesnitchd.plist (Objective Development Software GmbH - installé 2017-09-04) [Rechercher]
4. [engagé] com.adobe.ARMDC.Communicator.plist (Adobe Systems, Inc. - installé 2017-08-22) [Rechercher]
5. [engagé] com.adobe.ARMDC.SMJobBlessHelper.plist (Adobe Systems, Inc. - installé 2017-08-22) [Rechercher]
6. [engagé] com.avast.init.plist (Shell Script fc55b6fa - installé 2017-09-04) [Rechercher]
7. [engagé] com.avast.secureline.init.plist (Shell Script bbfdbc27 - installé 2017-09-04) [Rechercher]
8. [engagé] com.avast.secureline.uninstall.plist (Shell Script 4c7c4aa8 - installé 2017-09-04) [Rechercher]
9. [engagé] com.avast.secureline.update.plist (Shell Script 6ae01bb3 - installé 2017-09-04) [Rechercher]
10. [engagé] com.avast.uninstall.plist (Shell Script 22f94791 - installé 2017-09-04) [Rechercher]
11. [engagé] com.avast.update.plist (Shell Script d6c32197 - installé 2017-09-04) [Rechercher]
12. [engagé] com.citrix.ctxusbd.plist (? 44dc9c9f 7c15dcb9 - installé 2016-11-09) [Rechercher]
13. [engagé] com.intel.haxm.plist (Shell Script 42f307e7 - installé 2016-11-17) [Rechercher]
14. [en marche] com.malwarebytes.mbam.rtprotection.daemon.plist (Malwarebytes Corporation - installé 2017-09-04) [Rechercher]
15. [en marche] com.malwarebytes.mbam.settings.daemon.plist (Malwarebytes Corporation - installé 2017-09-04) [Rechercher]
16. [engagé] com.microsoft.autoupdate.helper.plist (Microsoft Corporation - installé 2017-03-23) [Rechercher]
17. [engagé] com.microsoft.office.licensingV2.helper.plist (Microsoft Corporation - installé 2015-09-11) [Rechercher]
18. [engagé] com.oracle.java.Helper-Tool.plist (Shell Script e3fefdd2 - installé 2017-07-22) [Rechercher]
19. [engagé] com.privax.hmaprovpn.helper.plist (Privax LTD - installé 2016-12-04) [Rechercher]
20. [engagé] com.symantec.liveupdate.daemon.ondemand.plist (? bc39b4cd 9a0ac57b - installé 2016-03-07) [Rechercher]
21. [engagé] com.symantec.liveupdate.daemon.plist (Symantec - installé 2016-03-07) [Rechercher]
22. [engagé] com.symantec.sharedsettings.plist (Symantec - installé 2016-03-07) [Rechercher]
23. [échec] com.symantec.symdaemon.plist (? a68b52a6 aa9675ac - installé 2016-03-07) [Rechercher]
24. [engagé] com.teamviewer.Helper.plist (TeamViewer GmbH - installé 2017-03-14) [Rechercher]
25. [engagé] org.macosforge.xquartz.privileged_startx.plist (Apple Inc. - XQuartz - installé 2016-10-26) [Rechercher]
26. [désengagé] org.virtualbox.startup.plist (Shell Script 700b9385 - installé 2017-02-22) [Rechercher]

Et d'agents de Lancement :

Bloc de spoiler: Agents de Lancement

1. Agents de lancement : ⓘ
2. [engagé] 6H4HRTU5E3.com.avast.passwords.Agent.plist (AVAST Software a.s. - installé 2017-09-04) [Rechercher]
3. [en marche] at.obdev.LittleSnitchHelper.plist (Objective Development Software GmbH - installé 2017-09-04) [Rechercher]
4. [en marche] at.obdev.LittleSnitchUIAgent.plist (Objective Development Software GmbH - installé 2017-09-04) [Rechercher]
5. [échec] com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist (Adobe Systems, Inc. - installé 2017-08-22) [Rechercher]
6. [en marche] com.avast.secureline.update-agent.plist (AVAST Software a.s. - installé 2017-09-04) [Rechercher]
7. [engagé] com.avast.secureline.userinit.plist (Shell Script 8ccdce62 - installé 2017-09-04) [Rechercher]
8. [en marche] com.avast.update-agent.plist (AVAST Software a.s. - installé 2017-09-04) [Rechercher]
9. [engagé] com.avast.userinit.plist (Shell Script bb25154c - installé 2017-09-04) [Rechercher]
10. [en marche] com.citrix.AuthManager_Mac.plist (? 1ce99fae d10bd3ad - installé 2017-02-08) [Rechercher]
11. [engagé] com.citrix.ReceiverHelper.plist (? bbfad3f1 7e1c3222 - installé 2017-02-08) [Rechercher]
12. [en marche] com.citrix.ServiceRecords.plist (? 8e6543d 27768e09 - installé 2017-02-08) [Rechercher]
13. [en marche] com.malwarebytes.mbam.frontend.agent.plist (Malwarebytes Corporation - installé 2017-09-04) [Rechercher]
14. [engagé] com.oracle.java.Java-Updater.plist (? a8812a7 72ac4dde - installé 2017-07-27) [Rechercher]
15. [échec] com.symantec.uiagent.application.plist (? b32da46a 835120e - installé 2016-04-19) [Rechercher]
16. [engagé] org.macosforge.xquartz.startx.plist (Apple Inc. - XQuartz - installé 2016-10-26) [Rechercher]

Ce que j'ai vu de suspect c'est citrix, sans oublier le reste comme symantec et avast qui ne voient rien et qui plombent les perfs de la machine, après d'autres participants de ce forum verront d'autres choses de suspect...

Aussi une chose, est-ce que le coupe feu est activé dans les Prefs système / sécurité et confidentialité ?



Sinon, t'as tout intérêt à le faire, j'ai constaté sur des machines de proches qu'il était désactivé par défaut

 

[hawksylver]

Effectivement j'ai citrix d'installer sur le PC (à savoir que c'est un pc du boulot)
J'utilise citrix que pour me connecter à mon "bureau à distance"

Et j'étais pourtant persuader que mon coupe feu était activé, mais il était bien desactivé... je l'ai donc activé.

Merci de ton aide

 

[Yuls]

Ok pour Citrix, je ne le savais pas comme pas précisé dans le 1er post du sujet.

En revanche, Norton Symantec et Avast, ca fait double emploi, c'est soit l'un ou l'autre.
Celui à désinstaller sera à faire proprement via un désinstallateur (fourni avec le logiciel mais ce n'est pas systématique) ou par AppCleaner

Ensuite un coup de purge dans tes fichiers temporaires qui s'accumulent est nécessaire, t'as le logiciel Maintenance 2.2.7 :



Coches les cases comme indiqué sur la capture.

Tu l'exécutes, tu laisses faire, et dès qu'il te dit de redémarrer tu le fais.
Dès la fin du démarrage, tu iras dans la petite loupe Spotlight de la barre des menus, tape ce que tu veux dans le champ de recherche, tu verras une petite barre de progression, attends que ca se finisse :

 

[baron]

Outre Citrix, tu as aussi TeamViewer qui permet — moyennant certaines conditions toutefois… — une connexion et une surveillance à distance de ton ordi :

[engagé] com.teamviewer.Helper.plist (TeamViewer GmbH - installé 2017-03-14) [Rechercher]

(N.B. Les dates d'installation des logiciels ne te disent-elles rien ?)

 

[hawksylver]

Oui je connais bien TeamViewer aussi,

Je n'ai pas vraiment le choix entre Citrix et TeamViewer,

Je n'ai pas le choix. Qui plus est depuis Citrix j'ai juste accès à outlook, jira et confluence.

TeamViewer je m'en sers très rarement, que pour accéder aux machines de build.

Yuls, j'ai fait aussi toute les étapes décrites... merci de ta réponse

 

[Yuls]

Yuls, j'ai fait aussi toute les étapes décrites... merci de ta réponse

Et ca donné quoi concrètement ?

Tu n'as pas répondu au message #14 concernant le double emploi de Norton Symantec et d'Avast ?

Autre choses à faire :

Dr. Cleaner: 3.2.1 (installé 2017-09-04)

Dr Cleaner à désinstaller sans autre forme de procès

[activée] AdBlock - BetaFish, Inc. - https://getadblock.com (installé 2016-04-21)

Désactive Adblock dans Safari (tout comme les autres navigateurs) et installe à la place uBlock Origin

T'as installé Malwarebytes for Mac, as-tu au moins fait un scan avec ce logiciel pour voir si il t'as trouvé quelque chose ?