Virus Mac, OSX/RSPlug.A9 et + comment faire ?

dimezelle

Membre confirmé
18 Octobre 2010
11
0
Bonjour,

VirusBarrier a détecté plusieurs virus sur mon mac. J'ai essayé les solutions proposées sur les différents site trouvés qui traitaient de ce problème mais ça n'a pas marché.
J'ai suivi ces infos :

Go to your root "Library" Folder. Click on your Hard Drive icon in the Finder and select the "Library Folder".
Navigate to the "Internet Plug-Ins" Folder.
See if there's a "plugins.settings" file in this folder. If that file is not in this folder, you're not infected.
Delete "plugin.settings". Either drag it to the Trash on your Dock or hit the Command Key and Delete at the same time.
Empty your trash. Right-click or Control-click the Trash icon on the Dock and select "Empty Trash".
Open "Terminal" (Applications > Utilities).
Type in "sudo crontab -l" (the letter L, and minus the quotes), hit Return, and enter your administrator password when asked. If it returns with anything other than "crontab: no crontab for root", you are most likely infected.
Type in "sudo crontab -r" (minus the quotes) and enter your administrator password. This will remove the scheduled "cron" job that modifies your Mac's DNS information.
Re-type "sudo crontab -1" (minus the quotes) to make sure that the delete process worked. If it did, you should see "crontab: no crontab for root".
Type "exit" (minus the quotes) in Terminal.
Restart your computer. Your Mac should now be clean!


J'ai en effet trouvé un dossier "plugin.settings que j'ai jeté en mode sécurisé, je suis allée dans le terminal et j'ai écrit toutes les manips "sudo crontab" mais je ne peux pas aller au bout de la manip, impossible d'écrire mon mot de passe utilisateur. Je le tape mais il ne se passe rien.
J'ai finalement jeté à la main les numéros de DNS en trop dans mes préférences réseau.
Résultat, le seul numéro de DNS qui reste est grisé.
Je suis peut-être allé trop vite.
Est-ce que ce virus est toujours actif maintenant ?
En plus, après tout ça j'ai installé une version démo de VirusBarrier qui a trouvé
postinstall OSX/RSPlug.A9, postupgrade OSX/RSPLUG.A9, preinstall OSX/RSPlug.B10, preupgrade OSX/RSPlug.B10, des virus (Trojan).
Le dossiers responsable est dans Mac/Bibliotheque/Receipts/install.pkg/Contents/Resources/
Comment dois-je faire pour nettoyer mon ordinateur ?
Pourquoi le numéro de DNS est grisé ? Comment régler ce problème ?
Si quelqu'un a une solution...

Merci!
 
Si quelqu'un a une solution...
Oui : arrêter de visiter des sites de cul ?


Si c'est bien ça, c'est pas récent et c'est un cheval de Troie, pas un virus (je ne connais pas de virus pour Mac). Je n'ai aucune idée comment le supprimer, dans le pire des cas: formater le disque dur et tout réinstaller (et,vraiment, laisser tomber les sites douteux)... Mais Intego ne donne pas une procédure ?
 
Et Virus Barrier se contente de te les signaler? Pourquoi ne les supprime-t-il pas?
 
J'ai juste installé une démo de virusbarrier et dans la version démo il ne répare pas.
Merci.

---------- Nouveau message ajouté à 15h33 ---------- Le message précédent a été envoyé à 15h28 ----------

Tout d'abord, ce cheval de troie n'est pas arrivé via un site de cul. J'aurais préféré au moins je saurais pourquoi ce cheval de troie est dans mon ordinateur.
J'aimerais éviter de tout réinstaller et en effet, Intego donne une solution, celle décrite dans mon post de départ.
 
et une fois la démarche proposée par INtego apppliquée, est-ce que VirusBarrier voit toujours le virus?
(car si cette démarche est la bonne, il doit maintenant etre eradiqué!)
 
Le problème c'est que je n'arrive pas à faire la manip dans terminal,
je fais la manip jusqu'à : Type in "sudo crontab -l" (the letter L, and minus the quotes), hit Return, and enter your administrator password when asked. If it returns with anything other than "crontab: no crontab for root", you are most likely infected.
sauf que au lieu de mettre "crontab : no crontab for root" il écrit : sudo: crontab-l: command not found
Et le cheval de troie est bien là quand même.

Mes questions sont :
1- est-ce que je peux jeter manuellement le ficher install.pkg responsable du cheval de troie sans que cela pose un problème dans le fonctionnement de l'ordinateur ?
2- Comment puis-je savoir si ce "virus" n'a pas touché d'autres dossier ?
3- Comment faire pour que le numéro de DNS ne soit plus grisé ?

dur, dur...
 
Le numéro grisé est peut-être le Trojan : http://www.macworld.com/article/60823/2007/10/trojanhorse.html
En tout cas, tu devrais savoir quels sont les DNS que tu as ajoutés toi-même (OpenDNS, Google, …) ?

Install.pkg fait partie des fichiers connus comme étant infectés par ton Trojan : http://forums.macg.co/mac-os-x/aurais-je-un-virus-225066-2.html
= tu peux le mettre à la Corbeille, et la vider en sécurisé.

Ce qui m'étonne dans ton histoire, c'est que la commande sudo crontab -l ne donne rien
= tu es bien en 10.6, tu as le bon mot de passe admin, et tu ne t'es pas trompée dans la rédaction de la commande ?
En tout cas, ce n'est qu'une commande d'exploration : c'est sudo crontab -r qui guérit le Mac (l = lister / r = remove-détruire).


Alors, si tu ne veux plus te prendre le chou, télécharge l'utilitaire gratuit qui détruit tout le Trojan d'un seul coup = http://www.dnschanger.com/ (celui qui est noté FREE, à gauche dans les Downloads)
et fais-lui faire le travail à ta place. ;)
 
J'ai téléchargé le DNSchanger, il ne détecte pas de trojan. Est-ce parce que j'avais déjà jeté le dossier plugin.settings dans Bibliotheque/internet Plugings ou parce que les OSX/RSPlug étaient en quarantaine par virusbarrier ? Dans tous les cas j'ai fait ce que je n'osais pas faire, j'ai demandé à virusbarrier de supprimer du disque les OSX/RSPlug et j'ai jeter en mode sécurisé le fichier install.pkg.

Le numéro de DNS est toujours grisé et je n'en ai jamais rajouté à la main.
Pour info je suis sous 10.5 Léopard.
Ce numéro de DNS reste une énigme pour moi et du coup je ne sais pas si je peux payer sur internet en toute sécurité.
Merci pour votre post éfficace.
 
C'est sudo crontab -r qui réinitialise les DNS : regardez si le Terminal trouve la commande cette fois

= la session doit être admin, et munie d'un mot de passe. :)
 
bonsoir,

Il doit y avoir un espace entre crontab et -r....

Edit :
FrancoisMacG trop rapide pour moi , on a posté en même temps !...
 
Une dernière précision, étant assez peu pourvu de connaissances par rapport au DNS, je ne sais pas si c'est pertinent de préciser que je n'ai pas directement de fournisseur internet, je partage un wifi ou devrais-je dire on me permet amicalement un accès à un wifi.
Je ne sais pas si ça peut avoir un lien avec le DNS grisé.
Oups

---------- Nouveau message ajouté à 20h35 ---------- Le message précédent a été envoyé à 20h33 ----------

Voici sa réponse avec l'espace entre crontab et -r :

crontab: no crontab for root
 
Mais, sans vouloir abuser de vos conseils, pourquoi c'est grisé ?

Sans doute parce que c'est le fournisseur d'accès qui "envoie" ces valeurs lors de la connexion et ce n'est pas saisi par l'utilisateur.

Si c'est ça, lorsque tu déconnectes Airport, la valeur du serveur DNS devrait disparaitre complètement, et réapparaitre (grisée) quand tu te reconnectes