Téléchargement étrange

[kathy h]

Tu peux ajouter l'option -s

sudo grep -s -liRa 'barasos.com' /*

et cela changera quoi ?

car pour l'isntant j'ai des dizaines de ligne d'écriture du genre ;

grep: /Network/Servers/Ordinateur-de-l.local/Applications/Logiciels téléchargés/VIDEO/Codecs Divx pour Quicktime/3ivx/Uninstall 3ivx.app/Contents/Resources/Installer Items/receipts_link/SecUpd2005-001Pan.pkg/Contents/Resources/SecUpd2005-001Pan.sizes: No such file or directory
grep: /Network/Servers/Ordinateur-de-l.local/Applications/Logiciels téléchargés/VIDEO/Codecs Divx pour Quicktime/3ivx/Uninstall 3ivx.app/Contents/Resources/Installer Items/receipts_link/SecUpd2005-002Pan.pkg/Contents/Resources/SecUpd2005-002Pan.sizes: No such file or directory
grep: /Network/Servers/Ordinateur-de-l.local/Applications/Logiciels téléchargés/VIDEO/Codecs Divx pour Quicktime/3ivx/Uninstall 3ivx.app/Contents/Resources/Installer Items/receipts_link/SecUpd2005-003Pan.pkg/Contents/Resources/SecUpd2005-003Pan.sizes: No such file or directory
grep: /Network/Servers/Ordinateur-de-helayel.local/Applications/Logiciels téléchargés/VIDEO/Codecs Divx pour Quicktime/3ivx/Uninstall 3ivx.app/Contents/Resources/Installer Items/receipts_link/SecUpd2005-004Pan.pkg/Contents/Resources/SecUpd2005-004Pan.sizes: No such file or directory
grep: /Network/Servers/Ordinateur-de-.local/Applications/Logiciels téléchargés/VIDEO/Codecs Divx pour Quicktime/3ivx/Uninstall 3ivx.app/Contents/Resources/Installer Items/receipts_link/SecUpd2005-005Pan.pkg/Contents/Resources/SecUpd2005-005Pan.sizes: No such file or directory
grep: /Network/Servers/Ordinateur-de-helayel.local/Applications/Logiciels téléchargés/VIDEO/Codecs Divx pour Quicktime/3ivx/Uninstall 3ivx.app/Contents/Resources/Installer Items/receipts_link/SecUpd2005-006Pan.pkg/Contents/Resources/SecUpd2005-006Pan.sizes: No such file or directory
grep: /Network/Servers/Ordinateur-de-.local/Applications/Roxio Toast 6 Titanium/Toast 6 Titanium.app/Contents/Resources/DejaVu_Jaguar.mpkg/Contents/Resources/DejaVu.bom: No such file or directory
grep: /Network/Servers/Ordinateur-de-local/Applications/Safari.app/Contents/Frameworks/AdobeSelfHealing.framework/Headers: No such file or directory
grep: warning: /Network/Servers/Ordinateur-de-.local/automount/Servers: recursive directory loop

et il y en a plein avant du meme genre et là plus rien, mais je n'ai pas la main...

avec l'option s ça changera quoi ?

 

[daffyb]

La suite des périgrination de Kathy....
Il y a un warning de grep, que je ne sais pas vraiment interpréter
Il annonce une boucle infinie comme warning.
La grosse question est comme il a détecté la boucle, en sort-il comme un grand ???
La boucle est ici :
/Network/Servers/NOMDELAMACHINE.local/automount/NOMDELAMACHINE.local/

Alors, des idées ?

[edit]
J'ai googlé un peu.
Normalement grep doit savoir sortir d'un
recursive directory loop Wait and see..
[/edit]

 

[kathy h]

Tu peux ajouter l'option -s

sudo grep -s -liRa 'barasos.com' /*

c'est lancé, je laisse tourner toute la nuit ( je vais me coucher ) je vous raconterai demain ce que j'ai trouvé

 

[NightWalker]

-s, --no-messages
Suppress error messages about nonexistent or unreadable files.
Portability note: unlike GNU grep, traditional grep did not con-
form to POSIX.2, because traditional grep lacked a -q option and
its -s option behaved like GNU grep's -q option. Shell scripts
intended to be portable to traditional grep should avoid both -q
and -s and should redirect output to /dev/null instead.

Normalement l'option -s devrait bloquer l'affichage des erreurs. Effectivement, il conseil d'utiliser plutôt une redirection vers /dev/null

ça doit être mieux là

sudo grep -s -liRa 'barasos.com' /* 2> /dev/null

 

[NightWalker]

La suite des périgrination de Kathy....
Il y a un warning de grep, que je ne sais pas vraiment interpréter
Il annonce une boucle infinie comme warning.
La grosse question est comme il a détecté la boucle, en sort-il comme un grand ???
La boucle est ici :
/Network/Servers/NOMDELAMACHINE.local/automount/NOMDELAMACHINE.local/

Alors, des idées ?

On dirait un dossier linké

 

[kathy h]

-s, --no-messages
Suppress error messages about nonexistent or unreadable files.
Portability note: unlike GNU grep, traditional grep did not con-
form to POSIX.2, because traditional grep lacked a -q option and
its -s option behaved like GNU grep's -q option. Shell scripts
intended to be portable to traditional grep should avoid both -q
and -s and should redirect output to /dev/null instead.

Normalement l'option -s devrait bloquer l'affichage des erreurs. Effectivement, il conseil d'utiliser plutôt une redirection vers /dev/null

ça doit être mieux là

sudo grep -s -liRa 'barasos.com' /* 2> /dev/null

pour l'instant ton avant dernière commande tourne et je n'ai plus aucun message d'erreur ( plus rien du tout d'ailleurs ) donc je vais attendre avant de lancer cette nouvelle commande mais tout à l'heure il touranit en boucle à un moment donné j'ai l'mpression ( avec l'ancienne commande sans l'option s )

Edit : et pour que ça marche je dois mettre lira et non liRa .

bon j'essaye ta nouvelle commande : sudo grep -s -liRa 'barasos.com' /* 2> /dev/null demain , je laisse l'actuelle se terminer ( si elle se termine un jour ..)

 

[NightWalker]

Puis que ça tourne déjà on va le laisser tourner... En fait, je viens d'y penser... tu n'as pas de problème de téléchargement étrange avec ton autre utilisateur, on aurait pu limiter la recherche depuis la racine de ton compte et pas depuis la racine de ton disque...

Bonne nuit

 

[kathy h]

Dans mon moniteur d'activité il n'y a plus de " grep" et le Terminal ne semble plus tourner ( plus aucun bruit de fond) mais il ne m'a pas rendu la main .. ça fait comme tout à l'heure..

la seule chose écrite c'est : /Library/Logs/Console/helayel/console.log.6



donc grep ne tourne plus mais je n'ai pas la main . je fais quoi ?

bon je quitte le Termnal j'essayreais demain une nouvelle commande.

si on ne trouve pas avant samedi on ne sera peut-être jamais comment se fchier peut se télécharger tout seul..

Bonne nuit et à demain pour la suite de : " Les aventures de Kathy et le Terminal "

 

[kathy h]

bon comme je suis têtu j'ai lancé la commande : sudo grep -s -lira 'barasos.com' /* 2> /dev/null
avant d'aller me coucher :love:

 

[NightWalker]

Je pense que le résultat sera pareil... en fait j'ai juste détourné l'affichage des messages d'erreur vers /dev/null, je pensais que l'option "-s" ne fonctionnait pas sur ton Terminal. Par contre s'il t'affiche "/Library/..../console.log.6" ça doit être le seul fichier qui contient "barasos.com"...

Prépares toi à nous envoyer ce fichier demain

Bonne nuit

 

[kathy h]

Je pense que le résultat sera pareil... en fait j'ai juste détourné l'affichage des messages d'erreur vers /dev/null, je pensais que l'option "-s" ne fonctionnait pas sur ton Terminal. Par contre s'il t'affiche "/Library/..../console.log.6" ça doit être le seul fichier qui contient "barasos.com"...

Prépares toi à nous envoyer ce fichier demain



Bonne nuit

et bien idem " grep" ne tourne plus il n'apparaît plus dans le moniteur et pourtant je n'ai pas la main dans le Termial et la seule ligne écrite est la même que tout à l'heure :/Library/Logs/Console/nom de la machine/console.log.6
donc je quitte même si le Terminal quand je quitte m'indique que je vais interrompre l'opération en cours mais quelle opération puisque " grep" ne tourne plus??


Bon je suis allée dans la console et j'ai trouvé le log 6 en question je vous le copie pour demain en entier ...( mais bon je ne trouve rien de spécial )

 

[kathy h]

Bonjour,

comme je suis têtu j'ai fait aussi une rechreche tout simplement via le finder parmis les fichiers invisibles en indiquant " barasos" et voilà ce que j'ai trouvé :

je suis donc allée voir ce dossier 501 :

Alors serait-ce le problème, je fais quoi avec cs_cache_lock_501 ?

Edit : en fait dans 501 il y a le dossier " Temporyitems" mais quand je l'ouvre il n'y a plus rien dedans.. dés que le code malicieux reviendra sur mon bureau j'irai voir dans ce dossier TemporyItems et peut-être que je trouverais quelques chose, en tout cas pourquoi la recherche me conduit à ce dossier ?

Edit 2 : je suis retournée expret sur mes sites mac ( visite en onglet ) et le fichier in.php est revenu tres vite alors que j'étais sur le site de simong.. mon Moniteur d'activité était ouvert je n'ai rien vu à ce moment là de nouveau. j'ai fait une nouvelle recherche mais rien de concrêt dans le dossier 501 toujours visé????? :mad: :mad:

 

[NightWalker]

Hello,


A priori le contenu du dossier est normal, en revanche, est-ce que le fichier "cs_cache_lock_501" qui contient "barasos" est normal ? je ne sais pas...

Tu peux toujours essayer de le copier ailleurs, puis supprimer l'original, surtout pas le déplacer, car OS X pourrait savoir qu'il a été déplacé et donc le retrouver.

 

[kathy h]

Hello,


A priori le contenu du dossier est normal, en revanche, est-ce que le fichier "cs_cache_lock_501" qui contient "barasos" est normal ? je ne sais pas...

Tu peux toujours essayer de le copier ailleurs, puis supprimer l'original, surtout pas le déplacer, car OS X pourrait savoir qu'il a été déplacé et donc le retrouver.

en tout cas ce dossier est vide. Est ce que tu as toi aussi ce dossier sur ton DD?

EDit : je viens de réaliser que le finder n'a rien trouvé car "501" ce n'est que le résultat de la recherche pour Barasos et la recherche ne contient rien finalement..

a mon avis ce n'est qua via le Termnal qu'on aurait pu trouver quelques chose mais je n'y crois plus..

je ne suis pas la seule concernée par ce problème , je ne me souviens plus de son pseudo mais une autre personne ici reçoit ce fichier sur son bureau : ll a posté dans ce thread et est aussi sous panther..( même fichier qui apparaît sur son bureau ) . on pourrait lui demander de faire lui aussi des recherches.. surtout quand j'aurais effacé mon DD

Sur macbiduoille une personne expliquait que sur tiger ce même fichier "in.php" essayait de se télécharger mais au moins on lui demandait l'autorisation avant et elle peut donc refuser..

on est donc au moins 2 macusers à avoir ce fichier et à mon avis on est plus que 3 je pense...

Edit : c'est Titov qui a le même problème

 

[kathy h]

J'ai voulu refaire un essai en téléchargeant FFview ( , celui à l'intérieur duquel s'était glissé le code malicieux ) et bien cette fois ci le code malicieux apparaît clairement et tout seul , il est même seul à se télécharger ( même pas de FFview) et son nom c'est :

"latest.php" avec toujous le même bel icône gris métal avec écrit dessus :

"texte
Php ( en vert ) "

:o :o

 

[kathy h]

Pour faire plaisir à Valoriel, je remonte ce forum..

Pour ceux que cela interesse ( oui bon d'accord tout le monde s'en fiche de mon put1 de virus PC ) et bien je n'ai toujours pas règlé ce problème de " Téléchargement étrange" mais j'espère que la "clean install" de Tiger règlera le problème.... jusqu'au prochain " Téléchargement encore plus étrange"......

Au fait puisque je connais l'adresse de ce virus, n'y a t'il pas un moyen ou un endroit d'empêcher une adresse http?

 

[Deb]

Pour ceux que cela interesse ( oui bon d'accord tout le monde s'en fiche de mon put1 de virus PC )

Vu le nombre de fois qu'il a été affiché, cela m'étonnerait qu'il laisse indifférent.
Et Apple qu'en disent-ils? Car il y a bien une faille de sécurité, même si pour l'instant, elle n'est pas dangereuse.

 

[kathy h]

Vu le nombre de fois qu'il a été affiché, cela m'étonnerait qu'il laisse indifférent.
Et Apple qu'en disent-ils? Car il y a bien une faille de sécurité, même si pour l'instant, elle n'est pas dangereuse.

Apple? c'est qui ça? connais pas moi.... Il semble que la faille vienne plutôt des navigateurs ou des serveurs http ...

en tout cas sous Tiger une personne a le même problème mais à la différence de panther le téléchargement ne se fait pas automatiquement, on lui demande son avis avant , donc au moins il peut dire "non"! . mais c'est pénible si on doit dire " Non" à un téléchargement plusieurs fois par Jour.

Sur macgé on est que deux à avoir ce problème.... pour l'instant..

Au fait Titov, tu en es ou avec ce fichier " in.php" toujours là toi aussi? :eek:

 

[Pascal 77]

Vu le nombre de fois qu'il a été affiché, cela m'étonnerait qu'il laisse indifférent.
Et Apple qu'en disent-ils? Car il y a bien une faille de sécurité, même si pour l'instant, elle n'est pas dangereuse.

Ou ça ? ce téléchargement est un script PHP. il n'apparaît sur le bureau du Mac que parce qu'il est incapable de s'exécuter correctement. Si tu considères le fait d'avoir implémenté PHP sur Mac comme une faille de sécurité, alors, oui, il y a une faille de sécurité.

Si tu l'enlève, par contre, tu va te priver de l'accès à pas mal de choses, dont de nombreux forums.

 

[kathy h]

Du nouveau sur le code malicieux : ce n'est pas un virus window mais un script java qui n'arrive pas à s'exécuter sur Mac OS X alors il reste sur mon bureau.
Il n'en demeure pas moins ( ce matin mon revendeur d'ordi et néanmons ami, et aussi développeur à ses heures est venu chez moi pour voir la bête ..
Pour lui c'est un "sript java" et il fou quand même la merde sur mon ordi, rien de grave mais il change quelques reglages , notamment pour stuffit qui n'est plus selectionné par défaut.

en plus il a prit le logo "Php texte couleur métal gris" alors qu'au début c'était une simple page blanche. Mais si on le copie sur un autre ordinateur il redevient une simple page blanche, il n'y a que sur mon ordinateur qu'il a cet icône.... il s'est servi tout seule dans mes fichiers Php, sympa non?

Il doit se renseigner cette semaine et dés que j'aurais des info supplémentaires je vous en ferai part car même si ce n'est pas le premier virus mac il perturbe quand même Mac OS X......

Ah oui un de ses amis est développeur Apple et il a reçu le fameux Kit avec un ordi avec intel inside et il paraît que c'est très stable.....


Edit : ah oui je n'ai pas installé Tiger je le ferai samedi prochain mon imprimante ayant dû retard , du coup ça me laisse encore une semaine sous panther pour trouver pourquoi et comment ce fichier vérolé s'invite sur mon bureau