Aller au contenu


Photo

infectée par Quizzitch.net!?

security virus

  • Please log in to reply
18 replies to this topic

#1 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 17 décembre 2015 - 23:17

bonjour

C'est un long post, désolée ! c'est une histoire compliquée que j'ai du mal à expliquer !

 

J'ai accepté une mise à jour de flash player à partir d'un site que je connaissais, sur Safari. Après avoir commencé l'installation, ça n'en finissait plus et finallement ça a entrainé l'ouverture d'une page de "MacKeeper"me disant que j'étais infectée par un virus et que je devais nettoyer ça au plus vite. J'ai cliqué et je me suis retrouvée sur une page "Maccleaner" qui avait tout d'une page honnête. On y proposait le téléchargement d'un logiciel pour nettoyer mon mac. J'ai commencé le téléchargement mais j'ai eu des doutes et j'ai arrêté tout. J'ai jeté ce qui se trouvait dans le finder et j'ai vidé la corbeille. Cependant il restai toujours un volume en marche: le package .Je l'ai ejecté dans le Finder finallement.

 

Entre temps, toutes mes pages précedemment ouvertes dans Safari s'était fermées et Historique et Signets étaient tous grisés.

Aucun accès possible.

J'avais deux fenêtres: une sans titre et l'autre "quizzitch.net", qui ne se charge pas et sur laquelle se superpose une petite fenêtre avec ce message:

"félicitations!

Vous êtes le visiteur chanceux d'aujourd'hui.

Cliquez sur OK pour continuer."

 

là j'ai eu peur et je me suis bien gardée de cliquer. J'ai quitté Safari par le Dock.

Ayant aussi (par chance) installé FireFox, j'ai pu passer par là pour rechercher de l'aide.

 

J'ai pu fermer l'ordinateur et aujourd'hui quand je l'ai ouvert la situation n'a pas changé. Les mêmes pages s'affichent. Pas moyen de les fermer sauf par le dock en quittant Safari.

J'ai contacté Apple et pris un RV téléphonique pour demain.

 

mais est-ce que qqn peut me dire comment restaurer Safari, virer ce virus ?

Peut-on réinstaller Safari après l'avoir désinstallé ?

J'ai besoin de mes signets récents, qui ne se trouvent pas dans FireFox.

 

Quels sont les risques que mes données soient piratées ?

 

J'ai une sauvegarde complète sur disque dur externe avec Time machine, qui doit dater de la semaine dernière.
Seul Safari a l'air affecté.

 

merci pour tout éclairage et solution !

 

 

MacBookPro OSX Lion 10.7.5 (11G63b) 13,3 pouce 500 Go

processeur 2,4GHz Intel Core i5

mémoire 4 GB 1333 MHz DDR3

graphisme Intel HD Graphics 3000 384 MB

 

 



#2 BorakLeRouge

BorakLeRouge

    Hamster d'or (dort ?)

  • Membres
  • PipPipPipPipPipPipPip
  • 3 942 Messages :
  • Configuration:Mac Mini Core i7 - 16Go - 2To Hybride
  • Sexe:Masculin
  • Localisation:Cormeilles en Parisis.rb
  • Passions:Macintosh, Photo, Haute-fidélité, Ski, Roller, Call of Duty, Tactical Ops, Counter Strike, Worms 1

Posté 17 décembre 2015 - 23:26

Bonjour,

 

MacKeeper est une cochonnerie à éviter. Il fait plus de mal que de bien.

 

Tu pourrais essayer un vrai antivirus...


Je fais mes sauvegardes sur NSA-Cloud !

Au bout de 10 ans, le vieux MacPro vient de laisser sa place à un MacMini i7...


#3 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 18 décembre 2015 - 01:39

Il y a vraisemblablement une application malveillante qui traine dans un répertoire de l'utilisateur, ou ailleurs. 

Le problème est-il le même si tu utilises une autre session?

Si ce n'est pas le cas, il suffirait sans doute de nettoyer le répertoire "~/Library/LaunchAgents" pour en être débarrassé.

Ou utiliser l'application disponible ici :

 

http://forum.macfr.c...topic=28130&hl=

 

afin de sauver toutes les informations importantes de la session et de les récupérer à partir d'une autre session (utilisateur).

 

Si le problème est le même à partir d'une autre session, c'est que les dégâts sont plus importants, Time Machine s'imposera donc.



#4 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 18 décembre 2015 - 16:20

Merci pour ta réponse ! j'ai des questions en réponse !

 

"Le problème est-il le même si tu utilises une autre session?"

 

……euh…… qu'entends-tu par une autre session ? faut-il créer un autre utilisateur ?

 

"Si ce n'est pas le cas, il suffirait sans doute de nettoyer le répertoire "~/Library/LaunchAgents" pour en être débarrassé."

 

… et comment fait-on ça ?

je viens de jeter un oeil dans "utilisateur/mon nom et j'ai trouvé 2 packages des logiciels que j'avais déjà jetés avant-hier: installForMac_llym_istartsurf.pkg et Mac Keeper.3.5.1.pkg.

Je les ai mis dans la corbeille mais je n'ai pas encore vidé la corbeille.
 

"Ou utiliser l'application disponible ici :

 

http://forum.macfr.c...topic=28130&hl=

 

afin de sauver toutes les informations importantes de la session et de les récupérer à partir d'une autre session (utilisateur)."

 

…à première vue ça me parait compliqué mais si je m'y mets…

 

 

"Si le problème est le même à partir d'une autre session, c'est que les dégâts sont plus importants, Time Machine s'imposera donc."

 

…bon alors je vais d'abord voir comment créer un autre utilisateur…

 

à +



#5 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 18 décembre 2015 - 17:17

Oui, c'est bien cela. Il faut créer un autre utilisateur (avec permissions d'administrateur) et voir si le problème apparaît également sur la session du nouvel utilisateur.

 

L'application que je conseille n'est vraiment pas compliquée à utiliser mais elle implique l'abandon de l'utilisateur vérolé (les informations importantes de cet utilisateur seront récupérées à partir d'une autre session). Les informations sauvées sont les suivantes : données du Calendrier et des Contacts, configuration des courriels, historique, liens et liste de lecture de Safari, radio iTunes.

 

Je la conseille malgré tout (si le problème ne se présente pas en utilisant un autre utilisateur) car il est parfois difficile de se débarrasser de tous les problèmes engendrés par l'installation de programmes malveillants.

 

Avant d'aller plus loin, il faut d'abord savoir si tout fonctionne correctement via un nouvel utilisateur. Si c'est le cas, je te guiderai pas à pas afin de résoudre le problème.


Ce message a été modifié par Fredo - 18 décembre 2015 - 18:22 .


#6 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 19 décembre 2015 - 11:41

merci Fredo

 

je vais m'atteler à la création d'un autre utilisateur avec permission d'administrateur.

Est-ce que je suis obligée de créer un mot de passe ? pour l'instant, je n'en ai pas pour moi, ayant toujours eu peur de l'oublier et de me trouver coincée… je suis loin de tout Apple Store !

je vais suivre ce qui est indiqué dans l'Aide d'Apple…

 

mais… ne serait-ce pas plus simple de passer par Time machine directement ?



#7 zekiller28

zekiller28

    Admin qui mord

  • Administrateurs
  • PipPipPipPipPipPipPipPipPip
  • 10 617 Messages :
  • Configuration:Toutes sortes de Mac du PPC à l'Intel et toute sorte de MacOS X De Panther Client à Maverick.
  • Sexe:Masculin
  • Localisation:Saint-Hilarion (78)

Posté 19 décembre 2015 - 12:51

Plusieurs choses à faire :

1) réinitialiser le comportement de Safari via le sous-menu du même nom dans le menu "Safari".

2) Aller dans le sous-menu "Préférences" du menu "Safari" -> icone "Extensions" et toutes les virer.

3) Refaire le 1)

4) Relancer Safari.

5) revenir vers nous pour nous dire si ça va mieux ou pas.


Le site de ToolsX
Le site de ToolsXOptimizer

Apple Certified Mac Management Basics 10.12
Apple Certified Mac Management Basics 10.9 English
Apple Certified Mac Integration Basics 10.9 English
Apple Certified Associate Mac Integration 10.8
Apple Certified Mac Management Basics 10.8

#8 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 19 décembre 2015 - 13:54

Une récupération Time Machine peut durer, un certain temps... mais effectivement, cela devrait régler le problème.

Les autres solutions apportées permettent de gagner du temps. 



#9 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 10 février 2016 - 14:56

Bonjour Fredo, je reviens vers toi…

bien du temps a passé depuis le 19 décembre et je viens juste de m'atteler au pb…

hier j'ai créé un nouvel utilisateur administrateur et Safari marche bien.

Mais ça fait drôle de se retrouver avec un ordi vide  (enfin… pour cet utilisateur, mais la sensation est bizarre) et un écran galactique comme s'il sortait de la boite. C'est comme se trouver soudain sur une autre planète !

la touche click avec le doigt sur le pad ne marche pas et je dois appuyer sur le pad ! je n'y suis plus habituée…

bon. bref…

Que faire maintenant pour tout récupérer sauf safari ?

 

par ailleurs, en réponse à Zekiller28 pour ses conseils (merci !)

 

1) réinitialiser le comportement de Safari via le sous-menu du même nom dans le menu "Safari".

2) Aller dans le sous-menu "Préférences" du menu "Safari" -> icone "Extensions" et toutes les virer.

 

le pb est que je ne peux pas ouvrir le menu "Safari" et donc pas les préférences. Je ne peux pas agir sur Safari sauf le fermer.

 

à + :)



#10 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 10 février 2016 - 18:30

Donc si j'ai bien compris, sous le nouvel utilisateur tout ce passe bien excepté que les préférences ne sont pas établies. Pour cela je ne peux rien faire pour l'instant. Le programme que j'ai écris ne prend pas en compte les préférences (trop compliqué), il faudra les re-paramétrer (comportement de la souris, du clavier, du réseau, des applications,...).

 

Par contre concernant les infos du Calendrier, des Contacts, les liens Safari, l'historique et la liste de lecture, la configuration des courriels et les radios Itunes, l'application devrait servir (sauf que je ne suis pas certain qu'elle fonctionne sous Lion, elle fut écrite sous Yosemite avec Xcode7). Par contre je viens de me rendre compte qu'elle n'est plus disponible au téléchargement. Je dois régler le problème ou te l'envoyer par d'autres moyens (quel dommage que ce ne soit pas possible via le présent site (elle fait 7,1 MB)).

 

Une autre possibilité consiste à nettoyer la session vérolée. Pour cela, il faudrait nous donner le contenu des répertoires suivants :

 

~/Library/LaunchAgents

/Library/LaunchAgents

/Library/LaunchDaemons

 

Pour ce faire il faut soit passer par le Terminal (s'il t'es familier), ou :

- Utiliser la fonction cmd-shift-G (⌘-⇧-G) dans le Finder.

- Faire un copier-coller des chemins ci-dessus (un par un) dans la fenêtre qui apparaît + la touche "Entrer".

- récolter les noms des objects qui s'affichent dans chacun des trois répertoires.

- Nous les communiquer, ou effacer toi-même ceux qui te paraissent suspects.

 

Bonne route.


Ce message a été modifié par Fredo - 11 février 2016 - 00:22 .


#11 zekiller28

zekiller28

    Admin qui mord

  • Administrateurs
  • PipPipPipPipPipPipPipPipPip
  • 10 617 Messages :
  • Configuration:Toutes sortes de Mac du PPC à l'Intel et toute sorte de MacOS X De Panther Client à Maverick.
  • Sexe:Masculin
  • Localisation:Saint-Hilarion (78)

Posté 10 février 2016 - 18:31

Et si tu vires les préférences de Safari depuis ton compte utilisateur/Bibliothèque/Préférences ?

 

Pour accéder directement au dossier bibliothèque de l'utilisateur, il faut que tu te rendes dans le menu "Aller" en pressant la touche "Alt" de ton clavier.


Le site de ToolsX
Le site de ToolsXOptimizer

Apple Certified Mac Management Basics 10.12
Apple Certified Mac Management Basics 10.9 English
Apple Certified Mac Integration Basics 10.9 English
Apple Certified Associate Mac Integration 10.8
Apple Certified Mac Management Basics 10.8

#12 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 17 février 2016 - 15:36

bonjour

à Fredo, voici ce que j'ai trouvé dans les répertoires demandés:

 

~/Library/LaunchAgents:

com.citrixonline.GoToMeeting.G2MUpdate.plist

com.google.keystone.agent.plist

com.WebShoppy.agent.plist

com.yahoo.YahooContactSyncAgent.plist

 

/Library/LaunchAgents

com.intego.backupassistant.agent.plist

 

 

/Library/LaunchDaemons

com.adobe.fpsaud.plist

com.apple.remotepairtool.plist

com.intego.BackupAssistant.daemon.plist

com.sfr.sfr3g.plist

 

à Zekiller28:

je ne sais pas comment utiliser Alt dans le finder, mais en faisant cde-shift-G j'y ai accédé. Est-ce OK comme ça aussi ?

il y a plusieurs préférences de Safari… lesquelles virer ?

 

merci d'avance pour la suite



#13 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 17 février 2016 - 21:20

Il m'est difficile de déterminer quels sont les fichiers parasites mais j'ai bien l'impression qu'il y en a plus d'un.

 

Le seul que je connais (et que j'ai enlevé chez moi) c'est com.adobe.fpsaud.plist.

 

Parmi les autres, ceux-ci me paraissent suspects:

 

com.WebShoppy.agent.plist

com.yahoo.YahooContactSyncAgent.plist

com.google.keystone.agent.plist

 

Pour ceux qui restent c'est à toi à voir. S'ils correspondent à des applications que tu utilises, ils sont sans doute utiles. Dans le cas contraire, et pour les fichiers précités, le traitement sera le même, direction la corbeille.

Après redémarrage, si le problème de départ n'est pas résolu, tu auras au moins une machine dépolluée.



#14 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 18 février 2016 - 16:01

bonjour

merci pour les infos.

Je vais supprimer ceux que tu m'indiques.

Je constate que ce sont surtout ceux qui sont dans le dossier ~/Library/LaunchAgents

Mais en fait… à quoi servent ces fichiers ? et si j'en supprime un alors qu'il est utile, qu'est-ce que ça entraine ?



#15 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 18 février 2016 - 16:23

J'ai jeté les éléments de ~/Library/LaunchAgents.

 

Je vais donc redémarrer…

 

Par ailleurs, j'ai une application Intego backup assistant (+Intego backup Assistant Uninstall) et en cherchant sur internet je vois que c'est un antivirus pour Mac. Je ne me souviens pas avoir téléchargé ça !! est-ce que ça fait partie des applications sur le Mac dès le départ ?

 

 

 

 

MacBookPro OSX Lion 10.7.5 (11G63b) 13,3 pouce 500 Go

processeur 2,4GHz Intel Core i5

mémoire 4 GB 1333 MHz DDR3

graphisme Intel HD Graphics 3000 384 MB



#16 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 18 février 2016 - 16:48

J'ai redémarré et ça n'a rien changé pour Safari !! (j'aurais peut-être dû vider la corbeille ?!)

 

je suis tentée de cliquer sur le OK de la petite fenêtre de Quizzitch… pour voir ce qui se passe !!

voici les 2 pages de Safari qui s'ouvrent et sur lesquelles je ne peux rien:

première page:

entête de la page: "ouverture de page impossible":

barre d'adresse:  file///Users/nogaminicole/Documents/A%2VIMARCÉ/About.com:/20http:seashore.sourceforge.net:.webarchive

(je ne me souviens pas avoir tenté d'ouvrir cette page ! mais c'est vrai que j'ai téléchargé Seashore en 2010 - pas recemment donc)

 

deuxième page qui recouvre la première: (et blank)

entête de la page:  Mac-install.com enquête utilisateur

barre d'adresse:  quizzitch.net/  et toute une série grisée de lettres et de chiffres

 

par dessus tout ça:

une fenêtre portant le logo de Safari avec    http:quizzitch.net

                                                                      félicitation !

                                                                      vous êtes le visiteur chanceux d'aujourd'hui.

                                                                      cliquez sur OK pour continuer.

 

est-ce que ça peut t'aider ?!



#17 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 18 février 2016 - 18:53

Oui, toutes ces informations sont très utiles. 

 

- Apple ne fournit pas d'antivirus pour Mac, c'est surement une crasse à laquelle tu peux réserver le même traitement que pour les autres --> corbeille.

 

- Il n'est pas nécessaire de vider la corbeille pour que les changements prennent effet, un redémarrage est par contre presque toujours obligatoire.

 

- Ces fichiers permettent de lancer des applications au démarrage (en général accompagné d'une icône dans la barre du haut).  Selon leur emplacement, ces applications sont lancées au démarrage du système ou lorsque un utilisateur se connecte (~/Library/LaunchAgents). Seulement, certaines entreprises abusent de cette possibilité pour, en général, récolter des informations à des fins... publicitaires?

 

- Les détails que tu donnes concernant l'ouverture de Safari prouvent que la page d'accueil a été modifiée.

 

Il reste com.adobe.fpsaud.plist et com.apple.remotepairtool.plist qui ne sont pas obligatoire, à toi de voir.

 

Essaye de mettre à la corbeille le fichier com.intego.backupassistant.agent.plist et com.intego.BackupAssistant.daemon.plist. Ensuite, après redémarrage, réessaye Safari (il faudra sans doute rétablir la page d'accueil de Safari, dans ses Préférences).

 

Si tu n'utilises aucun produits SFR, celui-ci peut aussi être effacé : com.sfr.sfr3g.plist



#18 babil

babil

    Membre

  • Membres
  • Pip
  • 12 Messages :

Posté 19 février 2016 - 10:39

bonjour Fredo

j'ai donc jeté les fichiers mentionnés ainsi que les 2 applications Intego.

Je suis avec SFR pour internet et téléphone donc je ne touche pas à ce fichier.

 

J'ai redémarré et … rien ne change avec Safari !

 

je commence à penser que seule une restauration avec Time Machine me sortira de là.

Cela veut dire que je dois d'abord sauvegarder sur un autre disque dur tout ce que j'ai fait depuis ma dernière sauvegardeTM, non ?

Ça ne représente pas beaucoup de choses, ce sont des documents essentiellement.

Qu'en penses-tu ?



#19 Fredo

Fredo

    Grand(e) bavard(e)

  • Membres
  • PipPipPip
  • 236 Messages :
  • Configuration:Imac 27 - 2014 - Yosemite 10.10.3
  • Sexe:Masculin
  • Localisation:Marolles-sur-Zenne
  • Passions:Alexandre Dumas, l'Histoire, l'alchimie, le magnétisme, les plantes.

Posté 19 février 2016 - 23:19

Tout dépend si tu veux résoudre le problème au plus vite ou si tu as le temps de chercher à comprendre ce qui se passe.

 

As-tu changé la page de démarrage de Safari dans les Préférences? Que dit Firefox? Les répertoires sensibles (LaunchAgents...) n'ont pas changés (des éléments ne sont pas revenus)?

 

Si tu passes à la récupération Time Machine, fait d'abord une sauvegarde Time Machine du disque que tu vas récupérer. Si cette sauvegarde laisse intacte la précédente, il te suffira ensuite de récupérer celle-ci (l'avant dernière donc) et ensuite de récupérer manuellement dans la sauvegarde Time Machine les fichiers manquants. Si tu penses que la sauvegarde actuelle va effacer le contenu de la précédente, utilise un autre disque pour effectuer la sauvegarde. Ou, pour faire plus cours, oui, fait une sauvegarde avant de faire une récup. 

 

L'inconvénient étant que, si ton avant dernière sauvegarde est éloignée, les liens de Safari, la liste de lecture, l'Agenda, le Calendrier et les comptes courriel ne seront plus à jour.

C'est pour éviter cela que j'ai écris l'application dont je t'ai parlé (qui n'est plus disponible via le lien, mais je peux te la fournir). Elle est totalement inoffensive (copie de fichier et compression). Si elle ne fonctionne pas chez toi j'aurai au moins un retour très utile pour moi. Le code est disponible ici : http://forum.macfr.c...topic=28130&hl=






1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)