Téléchargement étrange

[Pitch/fork/work]

En résumé PERSONNE ne sait comment Titov et moi pouvons nous débarasser de ce petit
" code malicieux"; créé à la base pour nos amis sous window .

Mais comment faire pour qu'il ne se télécharge plus sans nous demander la permission : sale bête que ce ficher In.php grrrrrrr :o :o :o :o

Mais bon comme j'ai commandé Tiger sur AppleStore ce matin, et que j'ai l'intention de faire une
" clean install." dés qu'il arrive, ce qui lui permet de venir sur mon bureau sera effacé avec tout le reste : hé hé hé........

Tu as vérifié de ne pas avoir un microprocesseur Intel

 

[kathy h]

ENCORE plus fort : Alors que j'étais entrain de télécharger tranquillement sur macupdate la dernière version de "FFview" ( pour visualiser des photos) j'ai vu tres rapidement dans la fenêtre de téléchargement mon fameux fichier ou code malicieux " in.php" et puis plus rien ( dans la fenêtre de téléchargement il n'y a que FFVieux pas de trace du " in PHP" et idem sur mon bureau il n'y avait que le téléchargement de FFview, je clic sur FFview et là j'ai le message suivant : Vous allez lancer pour la première fois l'application tar... en gros le fichier contenant le virus pour window est à l'interieur du dossier téléchargé et celui ci ne s'ouvre pas avec stuufit expander mais avec un décompresseur pour fichier tar. ( alors que tous les soft téléchargés sur mcupdate s'ouvrent avec stuufit )

biensur j'ai refusé que le fichier se décompresse mais cela veut dire que ce fichier est devenu encore plus malin puisqu'il ne se contente plus de se télécharger tout seul sur mon bureau mais se télécharge en même temps qu'un autre soft qui lui est sain. et se place à l'intérieur ??

Je voudrais quand même lancer une alerte pour tous les Pcistes car si cela se fait sur un PC c'est la m.....

et bien il est temps que j'installe tiger avec une clean installation ....

ça devient vraiment ennuyeux ce truc

marco68 et les autres : souhaitez vous que je vous mette en fichier joint sur ce forum le fichier que j'ai téléchargé et qui se nomme bien " FFview " mais qui contient le fameux ficher " inPHP" à l'intérieur ???

 

[NightWalker]

Salut Kathy

Et ben ma pauvre amie... j'ai l'impression qu'il s'adapte, qu'il mute

Peux-tu nous dire ce que tu as fait exactement, pour qu'on puisse refaire "exactement" la même manip...

Sinon, peux-tu m'envoyer le fichier, mon email est dans mon profil...

 

[NightWalker]

Je viens de faire un tour sur le site de MacUpdate et j'ai pu télécharger le fichier FFView, effectivement c'est un fichier ".dmg" compressé. Si ça t'intéresse je peux te l'envoyer...

Est-ce que sur les trois sites tu visites en tant que visiteur enregistré ?

 

[kathy h]

Je viens de faire un tour sur le site de MacUpdate et j'ai pu télécharger le fichier FFView, effectivement c'est un fichier ".dmg" compressé. Si ça t'intéresse je peux te l'envoyer...

Est-ce que sur les trois sites tu visites en tant que visiteur enregistré ?

non mais c'est la première fois que cela me fait ça : et c'est d'ailleurs le seul soft pour qui cela a fait cerla aujourd'hui, j'ai essayé d'autres soft juste pour voir et ils sont tous soit en dmg compressé soit parfois ( plus rarement ) en zip mais jamais en tar. en plus j'avais bien vu le fichier " in.php" apparaître tres tres rapidement puis disparaitre pour laisser la place au téléchargement FFView.

pour FFView c'est pas la peine lundi ou mardi j'instale tiger et j'ai passée toute la journée et je n'ai pas fini à faire des sauvegardes sur CD et DVD ( pas encore de DD EXTERNE chez moi hélas) alors ça prend du temps de préparer une clean install.

je me demandais ce que je dois sauvegarder pour safari ( je n'ai pas envie d'importer le " truc" qui permet au fameux fichier "vérolé" de s'installer sur mon bureau et de se glisser dans un fichier dmg ) je pense que je ne vais conserver que les signets mais aucune des autres préférences histoire de repartir sur des bases seines ( d'ou une clean install )

 

[kathy h]

Et bien voilà le fichier qui jusqu'alors ne se téléchageait pas quand j'étais sur Firefox vient de se téléchager tout seul alors que j'étais sur Firefox .

Donc c'est encore plus grave que je ne pensais . J'espère qu'en faisant une clean install cette semaine pour installer Tiger je vais règler le problème de manière définitive.

Je voudrais comprendre comment ce satané fichier peut se télécharger tout seul et peu importe le navigateur sur lequel je suis .......

Ce qu'i m'ennerve c'est que j'ai bien peur de ne jaamis trouver la réponse : Pour la sécurité ultérieure de nos ordinateurs ( si un jour un virus Mac OS X existe) il serait quand même bien de comprendre pourquoi je n'arrive pas à me débarasser de ce problème qui touche tous mles navigateurs et à ce jour sur macgé ont est que 2 à avoir ce porblème :mad: :mad:

Edit : depuis ce matin c'est la 4ème fois qu'il se télécharge sur mon bureau :mad:

Edit 2 : en tout cas en se téléchargeant en même temps qu'un autre logiciel on ne trouve plus trace d'aucune adresse.

et l'adresse que j'avais trouvé en faisant un ctrl sur le nom du fichier dans ma fenêtre de téléchargement n'est ainsi plus identifiable.

 

[Pascal 77]

Et bien voilà le fichier qui jusqu'alors ne se téléchageait pas quand j'étais sur
...
et l'adresse que j'avais trouvé en faisant un ctrl sur le nom du fichier dans ma fenêtre de téléchargement n'est ainsi plus identifiable.

Kathy, peux tu me communiquer la liste des services actifs, ainsi que celle des ports ouverts sur ton Mac, peut-être as tu ouvert quelque chose (précise moi aussi ce que tu utilises réellement comme services réseau).

Tu trouves ça dans préférences système -> partage, les deux premiers onglets (Services et Coupe feu).

T'es sûre que tu veux pas que je passe demain midi ?

 

[kathy h]

Kathy, peux tu me communiquer la liste des services actifs, ainsi que celle des ports ouverts sur ton Mac, peut-être as tu ouvert quelque chose (précise moi aussi ce que tu utilises réellement comme services réseau).

Tu trouves ça dans préférences système -> partage, les deux premiers onglets (Services et Coupe feu).

T'es sûre que tu veux pas que je passe demain midi ?

Tout est fermé sauf " paratge de fichier" et cette semaine j'installe Tiger et avant j'efface tout mon DD afin qu'il ne reste aucune trace du processus qui permet à ce fichier de ce télécharger.
quant à mon réseau c'est juste un réseau entre mes deux ordi avec AppleTalk activé, mon G( est en wifi et mon G3 ethernet

Je peux vous envoyer par mail un fichier Zip du fichier que j'obtiens quand je télécharge FFView sur Macupdate. ( mais si j'écris pas mail via macgé je ne peux pas envoyer de fichier il me semble donc donnez moi vore adresse e mail en PV )
J'ai ouvert un formum sur Macbidouille et une autre personne avait ce problème sous pnather, depuis qu'elle est sous Tiger le fichier reviens mais ne se télécharge plus automatiquement il a un message avant.

jh'espère que le parfeu de tiger est plus efficace que celui de panther/

Edit : quand je télécharge FF vieux je ne vois plus le fichier in.php dans la fenêtre de téléchargement , même plus rapidement comme avant mais le fichier se trouvabnt sur mon bureau est en dmgbz2 et si je veux m'ouvrir il me propose de lancer l'application " GUI Tar"

 

[Pascal 77]

Bon, ben va falloir revoir a signature (à propos de 10.4.3). GUI Tar est un logiciel de décompression qui gèren sur Mac quelques formats de compression récents. Pour la cause, je pense que tu es victime d'un spyware, qui cafte systématiquement ton IP au serveur de cette merde. Comme le dit serveur n'est pas traçable via nos petits moyens, je pense que tu devrais adresser une réclamation au service "abuse" de ton FAI, en donnant l'adresse qui apparaissait dans ton gestionnaire de téléchargement. Par ailleurs, il serait utile de lancer le moniteur d'activité, afin de tenter d'identifier le spyware en question, qui doit forcément se manifester à un moment ou un autre.

 

[kathy h]

Bon, ben va falloir revoir a signature (à propos de 10.4.3). GUI Tar est un logiciel de décompression qui gèren sur Mac quelques formats de compression récents. Pour la cause, je pense que tu es victime d'un spyware, qui cafte systématiquement ton IP au serveur de cette merde. Comme le dit serveur n'est pas traçable via nos petits moyens, je pense que tu devrais adresser une réclamation au service "abuse" de ton FAI, en donnant l'adresse qui apparaissait dans ton gestionnaire de téléchargement. Par ailleurs, il serait utile de lancer le moniteur d'activité, afin de tenter d'identifier le spyware en question, qui doit forcément se manifester à un moment ou un autre.

et bien quelle merde :
l est temps que j'efface mon DD car je ne peux plus rien télécharger , en voulant télécharger la dernière version de Butler, idem j'ai un fichier en" dmg.bZ2" ou parfois "dmg. bZ " et qui ne se décompresse plus avec stuffit !! ( il veut l'application GUI. tar ) et je préfère ne pas l'ouvrir ...

 

[daffyb]

En effet, il serait intéressant de regarder de très près la liste des processus tournant sur ton Mac (la solution est peut-être là, mais ce n'est pas sûr, tout dépend du coté mqlicieux du spyware en question).
Pour commencer, tu pourrais regarder dans les dossiers ce qu'il y a et nous donner la liste des dossiers/fichiers en affichant les fichier cachés, bien entendu
/Library/StartupItems
/System/Library/StartupItems
/Users/kathy/Library/StartupItems

 

[kathy h]

En effet, il serait intéressant de regarder de très près la liste des processus tournant sur ton Mac (la solution est peut-être là, mais ce n'est pas sûr, tout dépend du coté mqlicieux du spyware en question).
Pour commencer, tu pourrais regarder dans les dossiers ce qu'il y a et nous donner la liste des dossiers/fichiers en affichant les fichier cachés, bien entendu
/Library/StartupItems
/System/Library/StartupItems
/Users/kathy/Library/StartupItems

bon je viens de télécharger " Little Snitch en mode démo ( mais j'ai dû le télécharger via mon auyre ordinateur car avec Mon G5 ce n'est plus possible que des fichier tar )

bref je viens de refuser l'ouverture d'un port pour le soft shortLinker ( je deviens parano ) pourtant bien pratique ce soft .......

 

[kathy h]

En effet, il serait intéressant de regarder de très près la liste des processus tournant sur ton Mac (la solution est peut-être là, mais ce n'est pas sûr, tout dépend du coté mqlicieux du spyware en question).
Pour commencer, tu pourrais regarder dans les dossiers ce qu'il y a et nous donner la liste des dossiers/fichiers en affichant les fichier cachés, bien entendu
/Library/StartupItems
/System/Library/StartupItems

1) dans le premier dossier /Library/StartupItems:
il y a juste le dossier " LittleSnitch" que je viens juste d'installer

2) dans le second :/System/Library/StartupItems : oh la la il y en a des noms je vais faire une capture la voici :

Pour le 3ème : /Users/kathy/Library/StartupItems : introuvable : j'ai remplacé " Kathy" par le nom de mon compte mais dossier introuvable ???


J'ai ouvert Moniteur d'activité et j'ai téléchargé n'importe quoi sur Macupdate et j'ai vu ATSserver dans le Moniteur d'activité et le dossier téléchargé ne s'ouvre toujours pas horims avec GUI tar que je ne veux pas lancer ( on se sait jamais )

 

[Pascal 77]

Bon, là, tu as exactement les mêmes que moi. Il faudrait donc explorer le contenu de chaque sous dossier.

 

[kathy h]

je suis allée faire un tour dans "Little Snitch " qui est donc un soft pour lutter contres les spywares conseillé dans Mac OS X Facile et je ne sais pas à quoi correspondent tous ce qu'il y a dans la fenêtre qui s'ouvre lorsque l'on clic sur ce soft situé dans les préférences system :

j'ai fait 3 captures de la même fenêtre mais apres avoir déroulé le menu pour avoir l'intégralité du des noms et des indications les voici .. c'est quoi tous ces noms à gauche.. il y a des " trucs" que je ne connais pas comme " host" " ntpd" ? alors c'est quoi tous ces noms? ça correspond à quoi?

 

[kathy h]

voici la 3ème capture ( suite de mon message d'avant )

 

[kathy h]

Bon, là, tu as exactement les mêmes que moi. Il faudrait donc explorer le contenu de chaque sous dossier.

chaque dossier contient 3 sous dossier dont le premier a le même nom que le dossier puis un dossier Ressources et un dossier " Starupparamètresplist " même chose pour tous les dossiers donc...

 

[Pascal 77]

Le seul suspect que je voie est Short Linker. Essaie de le règler sur "Deny any connections" sur "any protocol", pour voir ce que ça donne.

 

[kathy h]

Le seul suspect que je voie est Short Linker. Essaie de le règler sur "Deny any connections" sur "any protocol", pour voir ce que ça donne.

c'est ce que j'ai fait// mais j'utilse Short Linker depuis un bail...

Mais le problème maintenant pour moi c'est que je ne peux plus rien télécharger puisque tous les fichiers que je télécharge et qui sont en dmg deviennent des fichiers tar que je ne peux plus ouvrir avec Stuffit??? quid?

 

[Pascal 77]

Targz est un autre format de compression qui doit s'ouvrir avec GUI Tar