10.11 El Capitan Virus et Trend Micro Antivirus

[jeanpaul28]

Bonsoir à tous,

J'ai tenté de télécharger et installer un logiciel ce soir, téléchargé depuis Softonic (je crois ; oui je n'aurai pas du...), et pendant l'installation j'ai senti que le logiciel était louche, donc j'ai tout stoppé en essayant de killer les applis en cours avec un CMD+ALT+ESC. J'ai ensuite coupé internet, et lancé la version gratuite de Trend Micro Antivirus (que j'avais déjà sur mon disque) pour faire une analyse.

Et là, BINGO, 13 virus trouvés !

Le logiciel me donne le nom du virus "Menace : HO_MACK.0652BEF5" ; le même pour les 13 menaces. Il me donne également le nom du fichier infecté :
AntiVirusAgent
DuplicateFinder
LanguageStripper
LogCacheCleaner
Uninstaller
MKCleanService
BinaryStripper
MacKeeper Helper
TrialPopupsAgent
Antivirus
DiskExplorer
FilesFinder
FindAndFix

Sauf qu'en faisant une recherche sur ces noms de fichiers, je ne trouve aucun résultat. Bizarre.

Et là, je suis coincé, car pour supprimer les menaces, il me demande bien sûr d'acheter le logiciel. Sauf que je n'ai pas du tout envie de rouvrir ma connexion internet pour le télécharger, et encore moins de faire un achat et entrer mes données de carte de crédit alors qu'il y'a des virus présents sur ma machine.

J'ai pensé à sauvegarder mes données sur un disque externe, mais rien ne me dit qu'en copiant mes données sur mon disque externe, je ne vais pas copier également le virus avec...

Donc je ne sais pas vraiment quoi faire...

Bref, tout conseil/solution serait la bienvenue...

Merci à vous

PS : et oui, première chose que je ferai quand tout sera opérationnel, sera d'investir dans la version payante...

 

[r e m y]

Télécharge l'antimalware de MalwareBytes (gratuit).
Il fera le ménage.

 

[jeanpaul28]

Première avancée :
J'ai vu qu'il m'avait installé MacKeeper. J'ai donc fait un : sudo find / -iname *mackeeper* -exec rm -rf {} \;
comme le conseil ce lien (trouvé sur le forum) : http://www.securitemac.com/desinstaller-mackeeper.html

J'ai ensuite fait un : sudo find / -iname *mackeeper*
pour vérifier si il restait quelque chose. Et là j'ai 2 lignes :
find: /dev/fd/3: Not a directory
find: /dev/fd/4: Not a directory

J'ai essayé de me rendre dans /dev/fd, mais finder me répond que ce dossier n'existe pas. Est-ce normal ?

En tout cas, j'ai relancé une analyse complète avec Micro Trend Antivirus pour voir si cela a supprimé un ou plusieurs des 13 fichiers qu'il m'a trouvé tout à l'heure.

Autre question : comme je suis quasiment sûr que les fichiers ont été installé ce soir, est-ce qu'il est possible de supprimer tous les fichiers présents depuis une certaine date ? (je pourrai ainsi, par exemple, supprimer tous les fichiers présents depuis ce soir 19h)

 

[jeanpaul28]

Télécharge l'antimalware de MalwareBytes (gratuit).
Il fera le ménage.

Salut Rémy,

Merci pour ta réponse rapide, ça fait plaisir

Oui j'ai vu que ce logiciel est conseillé, je vais faire ça.

 

[jeanpaul28]

Avancée 2ième :

L'analyse par Micro Trend Antivirus n'a plus trouvé de Virus, mais...

J'ai téléchargé MalwareBytes depuis un autre ordi, copié collé sur une clé USB vierge, et l'ai installé sur mon Mac infecté.
Je l'ai lancé et fait un scan, plusieurs fichiers ont été trouvés et supprimés, et ce malgré la procédure que j'ai suivi dans le terminal !

J'ai ensuite redémarré (le logiciel me le demandait), et refait un scan avec MalwareBytes, il y avait encore un fichier restant (com.mackeeper.MacKeeper.Helper.plist). MalwareBytes l'a donc supprimé également.

J'ai ensuite refait un scan avec MalwareBytes, et là enfin plus aucune menace détectée.
J'ai également refait un scan avec Micro Trend Virus, également aucune menace détectée.

Pendant ce temps là, CleanMyMac m'a demandé si je voulais désinstaller proprement une application appelle "Oriveg" ou quelque chose du genre. Je suis sûr à 99.0% qu'il s'agit d'une des appli qui a été (ou essayer d'être) installé ce soir pendant l'infection. J'ai donc accepté que CleanMyMac me le désinstallation proprement.

Je vais donc considérer que je suis débarrassé de mes problèmes. Merci pour les conseil en tout cas, MalwareBytes semble bien faire son boulot, je recommande et l'ajoute dans mes favoris pour mac !

 

[Locke]

téléchargé depuis Softonic

Bingo, tu as décroché le gros lot en adwares. Si tu veux télécharger un logiciel, il faut toujours le faire sur le site officiel de l'éditeur, te voilà donc prévenu.

Pendant ce temps là, CleanMyMac

Encore une erreur, à mettre à la benne rapidement.

Par défaut, en cas de problème, tu installes/lance Etrecheck... https://etrecheck.com ...qui te fera un rapport de tout le matériel et logiciel installé en interne, en mentionnant éventuellement des adwares qu'il pourra effacer. Il indiquera aussi ce qu'il faut effacer. Tu as installé Malwarebytes qui est le programme de référence pour effacer des cochonneries. Tu peux parfaire ta navigation en installant uBlock... https://www.ublock.org ...le meilleur bloqueur de PUBS du moment.

Pour parachever le tout, installe et lance Onyx... https://www.titanium-software.fr/fr/index.html ...et c'est tout qu'i faut sous macOS. Si Onyx te paraît trop compliqué, installe son petit frère Maintenance, tu coches toutes les options et tu le lances.

L'analyse par Micro Trend Antivirus n'a plus trouvé de Virus, mais...

Ce type de logiciel n'a aucune utilité si tu ne fais pas d'échange avec le milieu PC. Perso, ça m'arrive souvent, mais je n'ai aucune protection quelconque, le tout est de ne pas aller n'importe où pour télécharger des logiciels. Que ce soit sous macOS ou sous Windows, toujours télécharger sur le site officiel des éditeurs et jamais ailleurs.

Merci pour les conseil en tout cas, MalwareBytes semble bien faire son boulot, je recommande et l'ajoute dans mes favoris pour mac !

Et pourtant, ici ça fait un moment qu'on le conseille, il faut passer plus souvent dans les sections des forums.

 

[r e m y]

Antimalware de MalwareBytes, EtreCheck et Onyx et tu as la panoplie complète pour remettr d'aplomb ton Mac en cas de fonctionnement anormal. 3 logiciels sûrs, efficaces, et qui plus est gratuits (on doit pouvoir faire des dons pour certains).

Tout le reste.... à la benne!

(Je rajouterai éventuellement LittleSnitch pour ceux qui veulent surveiller avec qui leur Mac discute dans leur dos....)

 

[Membre supprimé 1060554]

Salut jeanpaul

Exclusivement en ce qui concerne ce point que tu as évoqué dans ton message #3 :

J'ai ensuite fait un : sudo find / -iname *mackeeper*
pour vérifier si il restait quelque chose. Et là j'ai 2 lignes :
find: /dev/fd/3: Not a directory
find: /dev/fd/4: Not a directory

Les 2 messages négatifs : { /dev/fd/3 & /dev/fd/4 ne sont pas des répertoires } contituent un retour classique > chaque fois qu'une commande find est exécutée sur le point de montage / du volume-Système démarré (et pas sur des volumes de stockage > non plus que sur des volumes-Systèmes non démarrés).

Dans le cas de figure mentionné > tous les objets logiques présents à partir du point de montage du volume-Système démarré symbolisé par / sont parcourus récursivement. Le répertoire /dev est donc trouvé et parcouru dans le lot.

Le répertoire /dev (abrégé de device : appareil) > contient des fichiers qui représentent des devices attachés au Système (devices physiques ou devices virtuels). Càd. qu'en mode UNIXIEN > où tout est a priori représentable comme fichiers > les appareils sont eux aussi représentés comme fichiers et accédés comme tels. Ces fichiers représentant les devices > sont recelés dans le répertoire /dev.

Les fichiers recelés dans le /dev du volume-Système démarré peuvent être listés par la commande :

ls /dev

qui retourne un affichage prolixe. Il est intéressant de noter un point général à leur sujet qui est le suivant : c'est que si leur existence logique de fichiers se trouve attestée par le retour de la commande { ls /dev } > par contre ces fichiers ne sont pas susceptibles d'une présentation graphique - même en activant l'affichage des éléments invisibles pour le Finder. Ce point montre suffisamment que la sphère des « existences logiques » est plus large que la sphère des « phénomènes graphiques ».

Un petit effort de classification exercé sur cette prolixité des fichiers "logiquement existants" dans /dev > n'est pas sans intérêt pour l'entendement. Voici des "morceaux choisis"  :

console --> le Terminal du Système en tant qu'appareil représenté par un fichier
disk[0-n] --> les disques attachés au Système en tant que fichiers de devices numérotés
disk[0-n]s[0-n] --> les tranches de disques en tant que fichiers de partitions numérotés
kmem [kernel_memory] --> la mémoire du noyau représentée comme un fichier
mem [memory] --> la mémoire RAM représentée comme un fichier
rdisk[0-n] [raw_disk] --> les disques attachés au Système en mode brut (= hors cache) > en tant que fichiers numérotés
rdisk[0-n]s[0-n] --> les tranches de disques adressées en mode brut (= hors cache) > en tant que fichiers de partitions numérotés
null --> réceptable de null_bits représenté par un fichier
zero --> réceptacle de null_characters représenté par un fichier​

Parmi ces fichiers recelés dans /dev > il en existe un qui est un "fichier de fichiers" (mode UNIXIEN pour "dossier") -->

fd [file_descriptor] --> descripteurs de fichiers accessibles par le système de fichiers [filesystem] assimilés à des appareils​

Une commande :

ls /dev/fd

retourne un :

0    1    2    3    4

soit 5 fichiers numérotés représentant des appareils -->

0 --> équivalant à /dev/stdin (standard_input) : descripteur de fichiers pour le flux d'entrée standard (associé au clavier)
1 --> équivalant à /dev/stdout (standard_output) : descripteur de fichiers pour le flux de sortie standard (associé à l'écran)
2 --> équivalant à /dev/stderr (standard_errors) : descripteur de fichiers pour le flux de sortie d'erreurs standard (associé à l'écran encore)​

En ce qui concerne les 2 derniers fichiers : 3 & 4 beaucoup plus inscrutables > une commande :

ls -li /dev/fd

retourne la liste des 5 fichiers de /dev/fd identifiés par leur n° d'inode que je vais ici pour simplifier supposer être -->  x pour le fichier /dev/fd/3 et y pour le fichier /dev/fd/4 (qui sont nos 2 fichiers énigmatiques).

Deux autres commandes :

ls -li /Users
ls -li /dev

retournent la liste des objets contenus dans /Users et dans /dev identifiés par leurs n° d'inode > ce qui donne (entre autre) :

x   nom du dossier de compte de l'utilisateur connecté
y   fd

dont se conclut que :

3 --> est un descripteur de fichiers décrivant comme appareil l'accès au dossier de compte de l'utilisateur connecté = le ${HOME}
4 --> est à un descripteur de fichiers décrivant comme appareil l'accès au dossier /dev/fd lui-même​

=> Il s'agit donc de fichiers qui représentent l'accès à des dossiers > ce qui pourrait peut-être expliquer pourquoi des commandes :

ls -l /dev/fd/3
ls -l /dev/fd/4

retournent chacune un :

Bad file descriptor

(descripteur de fichiers incorrect) --> càd. que la commande ls directement ciblée sur ces 2 fichiers se trouve déroutée dans l'identification de leur type (fichier ou dossier ? le représentant ou le représenté ?) > ou que la commande find se déroute de manière analogue à identifier leur type avec le retour :

not a directory

(fichier descripteur d'accès de dossier qui n'est pas un dossier).