Trojan mac mac Os 10.4.11

clicclak · Août 28, 2008, 6:45

j’ai un os 10.4.11 mais il y a un moment qu’on peut installer IE ( au fait on parle bien de la même chose internet explorer) sur un mac…

bon voilà la dernière, j’ai configuré l’adresse IP en manuel et j’ai rentré le dns et là je rentre dans la 4ème dimension, interruption de safari qui me dit que je ne suis plus connecté , mon diagnostique me dit que le cable adsl n’est plus branché alors que ma fenêtre de connexion affiche connecté et que le compteur temps continue à tourner, je laisse la config en manuel et je redemarre : mon adresse routeur à changé je me remet en automatique( sinon je peux plus vous parler) et là l’adrese IP qui était 196.217.216.58. devient 41.250.52.17 et celle du routeur : 41.250.48.1
et evidemment dès que je me connecte sur un site intégo ou mac scan safari trouve pas la page, c’est vraiment une sacré saloperie bien elaborée
je vais finir chez le psy… il est con ce Paris pourquoi il a enlevé hélène on n’en serait pas là…

j'ai un os 10.4.11 mais il y a un moment qu'on peut installer IE ( au fait on parle bien de la même chose internet explorer) sur un mac..

bon voilà la dernière, j’ai configuré l’adresse IP en manuel et j’ai rentré le dns et là je rentre dans la 4ème dimension, interruption de safari qui me dit que je ne suis plus connecté , mon diagnostique de config me dit que le cable adsl n’est plus branché alors que ma fenêtre de connexion affiche connecté et que le compteur temps continue à tourner, je laisse la config en manuel et je redemarre : mon adresse routeur à changé je me remet en automatique( sinon je peux plus vous parler) et là l’adrese IP qui était 196.217.216.58. devient 41.250.52.17 et celle du routeur : 41.250.48.1
et evidemment dès que je me connecte sur un site intégo ou mac scan safari trouve pas la page, c’est vraiment une sacré saloperie bien elaborée
je vais finir chez le psy avec ce satané cheval de troie… il est con ce Paris pourquoi il a enlevé hélène on n’en serait pas là…

guigui14100 · Août 28, 2008, 6:53

[quote=“tonino_ciao_a_tutti”]

Pas d’aprés ce qui dise:

Quelques caractéristiques clés d’avast! antivirus Mac Edition:
* Un scan complet à l'accès - qui analyse les fichiers auxquels vous avez accès, pour vous rassurer que vous êtes protéger contre toute infection.
* Une analyse sur demande - pour planifier des scans pour votre système
* Protection de courrier - La protection de courrier intégrée peut arrêter l’infection à un des vecteurs d’accès les plus vulnérables
* Une zone de quarantaine - un dossier spécial et sécurisé où vous pouvez placer des fichiers infectés ou suspects pour les empêcher d’endommager votre système
* Une mise à jour automatique complète - du programme et de la base de données virale
* Un contrôle total des réglages du module d’analyse - régler avast! pour qu’il fonctionne comme vous le voulez.

Quelques caractéristiques spéciales d’avast! antivirus Mac Edition:
* Exécution native de la base de données de virus sur la plateforme Intel Macs, avec une émulation rapide sur PowerPC
* Un daemon d'analyse multi-couche
* Un support pour les déballeur (pour les archives)
* Capable de mettre à jour la base de données virale, même lorsqu'il exécute une analyse en arrière plan.
* L'application elle même est multi-couche
* Architecture de mise à jour fiable (si le daemon échoue pendant une mise à jour, l'application principale la fera elle même)
* Une architecture d'extension du noyau pour l'analyse des fichiers créés ou modifiés
* Architecture logicielle optimisée, y compris non-blocage d'appels de système
* Une entière approche de la performance d'avast! Mac Edition - le programme est conçu pour être rapide et ne pas dégrader les performances du système: vous pouvez lancer avast! et modifier ou travailler avec de grandes ressources d'applications affamées qui n'ont pas ou qui ont très peu de problèmes de performance du système.

Aprés 1°) Jaime pas avast
2°) Jai pas mac donc je peut pas confirmer ou afirmer
Edité le 28/08/2008 à 18:54

tonino_ciao_a_tutti · Août 28, 2008, 7:05

Crois moi guigui14100,si tu a la grande malchance de te faire infecter sous mac,ni avast ni aucun autres antivirus ne pourrait y faire quoi que ce soit.

[quote="guigui14100"]

Aprés 1°) Jaime pas avast
[/quote]
Moi non plus

guigui14100 · Août 28, 2008, 7:18

Moi non plus
[/quote]
Ok merci de l’info

clicclak · Août 28, 2008, 10:15

je viens de passer avast il a trouver un virus dans “plugins.setting” donc il y a bien un truc louche qui s’est passé quand j’ai lancé IE et qu’il m’a dit qu’il me manquait des plugins…et ce sans avoir rentré mon mots de passe adm

asmo23 · Août 28, 2008, 10:33

Etrange, normalement tu ne peux pas modifier des fichiers systèmes sans avoir le mdp admin. Tu peux l’avoir donné à un autre moment ou alors c’est une faille inconnue de OS X.

clicclak · Août 28, 2008, 11:16

je suis allé bouquiner sur pas mal de forum et certains croient encore à l’infaillibité mac, j’ai pas encore résolu le pb mais depuis que j’ai fait une config manuelle, l’adresse du routeur n’a pas été “piraté”, je peux accéder à tous les sites ( alors que c’était pas le cas hier) par contre quand je me connecte sur msn, je suis toujours dérouté, bon avast a pas terminé de scaner, je n’ai pas encore supprimé le fichier, je vous tiens au courant

asmo23 · Août 28, 2008, 11:24

Mac OS X n’est pas infaillible mais tomber sur des trucs comme ça, c’est assez rare. 2 ans que je suis sous Mac, j’ai jamais réinstallé le système ni eu des problèmes de ce genre.

clicclak · Août 29, 2008, 12:12

moi ça fait 6 ans que je suis sur mac et je n’ai jamais eu aucun souci…je viens de re-regarder le fameux certificat pour lequel safari m’a informée qu’il émanait d’une autorité inconnue et ce certif intitulé “signup. live” qui a l’air d’être en bonne et due forme est soit disant émis par microsoft, je ne sais pas comment le transférer sur le forum pour que tu y jette un oeil, donc celui qui a lancé ce cheval de troie s’est bien servi d’explorer ou de msn

clicclak · Août 29, 2008, 8:20

6h54 ouf j’en suis venue à bout!!! comme je vous le disais j’ai passé avast qui a trouvé 2 fichiers infectés setting.pluggins et un fichier vidéo tektonik et je me souviens qu’en ouvrant ce fichier, quicktime m’avait informé du fait qu’ il me manquait un codec pour le lire, j’ai dit ok (quicktime j’ai confiance dans les mises à jour et là, le fichier ne s’ouvre toujours pas…donc contrairement à ce que dit intégo il n’y en pas que sur des sites porno…alors méfiez vous de tout ! bon avast les a trouvés mais même après les avoir supprimés, j 'étais encore redirigée donc je passe à macscan qui lui trouve des cookies mais rien d’intéressant et ensuite je passe à VIRUSBARRIER X 5 D’INTEGO (pourquoi je n’ai pas commencé par ça??) et là bingo, j’installe je redémarre et une super voix me dit “virus trouvé” je supprime et là apparemment j’ai pu accéder à msn et hotmail sans pb, safari trouve des erreurs de chargement et interromps les sites de redirection

je ne suis pas une pro de l’informatique mais quand même…

Alexor85 · Août 29, 2008, 12:53

mouais le coup des virus sur mac j’y crois pas trop, y a des troyans a la con qui se fait passer pour un autre programme et qui install mac the ripper pour casser les passwords de l’ordi et les envoyers a une adresse mais ca se vois assez rapidement, tout les procs tourne a fond alors que rien ne tourne en apparence.
par contre pour ton probleme a mon avis ton “virus” ca ressemble effectievement au trojan de la news clubic.
un truc simple pour eviter de se faire avoir par ce genre de truc
-si quicktime ne lis pas le fichier utiliser VLC, si ce dernier ne le lis pas non plus, tu peux jeter le fichier il est corrompu ou ce n’est pas une video.
-ne jamais mettre son mot de passe admin en dehors des requetes du systeme pour : l’install de programmes via le logiciel d’install des paquet du systeme, besoin de deplacer un dossier (en general les dossier a la racine du systeme), les mises a jours des clee de securite apres une mise a jours de logiciel
rien qu’avec ca tu couvre 90% des demande de mots de passe pour l’utilisation courante de ton mac.

pour “tuer” un processus, soit tu fais ca en via la console (top -u pour voir les process les plus gourmand et sudo kill “no du process” + mdp) soit via le moniteur d’activite dans les utilitaires (reperer le process fautif et le terminer), en general il ne se relance pas (jusqu’au prochain demarrage).
en general le process fautif a le meme nom que le programme qui le lance, donc eventuellement faire une recherche du fichier en question et le virer a la main, ce genre de trojan est tres simple a mettre en place, et constitue souvent qu’un seul fichier, qui une fois mis a la corbeille (la mise a la poubelle demandera surement le mdp, car surement planque comme un fichier invisible dans /System/Library/StartupItems histoire que ca se lance au demarrage).

faire ce genre de trojan est tres simple et presque n’importe qui s’y connait un peu en script shell pourrait le faire, la partie la plus dur je dirais de l’affaire c’est de deguiser le trojan en video et de vouloir faire installer un codec alors que y en a pas.

enfin t’a vraiment pas du de bol avec ton histoire, 20ans que je suis sur mac, c’est la 1er fois que je vois quelqu’un se chopper un truc comme ca sur mac.
felicitation

clicclak · Août 29, 2008, 10:32

des virus les deux logiciels en ont trouvés, maintenant est ce que ce sont des virus windows inoffensifs pour mac ou des virus mac, je n’en sais rien
j’ai ouvert le terminal voilà ce que j’ai, mais j’arrive pas à taper kill"no du process" et je comprends pas mdp!!!
et dans le moniteur comment je repère le process fautif? cest pbs?

Processes: 51 total, 2 running, 49 sleeping… 156 threads 21:15:53
Load Avg: 0.20, 0.32, 0.30 CPU usage: 5.9% user, 20.2% sys, 73.9% idle
SharedLibs: num = 156, resident = 37.8M code, 4.35M data, 8.52M LinkEdit
MemRegions: num = 5439, resident = 110M + 9.83M private, 77.6M shared
PhysMem: 68.9M wired, 104M active, 182M inactive, 356M used, 155M free
VM: 3.77G + 127M 17802(0) pageins, 0(0) pageouts

PID COMMAND %CPU TIME #TH #PRTS #MREGS RPRVT RSHRD RSIZE VSIZE
300 top 14.0% 0:45.30 1 18 22 452K 392K 2.25M 27.0M
296 Terminal 1.6% 0:05.20 4 89 129 1.84M 10.0M 6.78M 142M
242 Network Ut 1.5% 0:11.19 1 66 116 1.68M 10.5M 6.50M 141M
62 WindowServ 1.4% 1:00.77 2 211 458 5.21M+ 29.7M 29.7M+ 222M+
44 configd 1.0% 0:30.59 3 180 64 552K 1.70M 1.80M 29.2M
0 kernel_tas 0.9% 0:26.35 43 2 1531 14.1M 0K 55.8M 849M
145 UniversalA 0.4% 0:16.57 1 61 101 1.18M 5.20M 3.44M 116M
195 Internet C 0.4% 0:11.75 2 119 153 3.60M 10.3M 8.22M 143M
149 Safari 0.0% 2:04.47 7 154 610 48.3M 26.7M 60.9M 238M
141 Finder 0.0% 0:05.41 3 107 200 5.33M 19.3M 13.5M 157M
211 System Pre 0.0% 0:05.38 2 134 244 9.99M 12.2M 17.1M 155M
269 Mail 0.0% 0:04.39 5 127 204 6.25M 12.0M 14.0M 153M
140 SystemUISe 0.0% 0:02.68 2 206 185 3.56M 10.1M 7.98M 148M
28 kextd 0.0% 0:02.39 2 19 22 668K 776K 1008K 27.6M
69 ATSServer 0.0% 0:01.80 2 76 95 792K 7.08M 2.14M 52.8M
108 mds 0.0% 0:01.45 8 93 68 2.43M 3.71M 3.93M 42.8M

ok je tape kill"avec le numéro du process" et je rentre mon mot de passe adm c'est ça?

clicclak · Août 29, 2008, 10:46

bon j’ai trouvé la manip sur la console par contre dans startup items comment je fais pour repérer la chose?

clicclak · Août 30, 2008, 12:06

okay, j’ai trouvé comment tuer la bête…mais pb!! que je passe par le moniteur d’activité ou la console, dès que je l’ai éliminé, si je ferme la fenêtre et l’ouvre a nouveau pour vérifier que tout est ok…j’en ai un autre, pour l’instant j’ai suivi ta procédure (efficace au demeurant) et pour me connecter j’ai laissé les fenêtres moniteur et console ouverte, dans un premier temps ça me bloque carrément safari et après plusieurs tentatives, la connexion est extrêmement lente mais à le mérite de déconnecter l’aiguillage sur le serveur pirate. Quant au startupitem je n’ai rien trouvé à part celui de l’adsl… donc où se cache cette sale bête?

clicclak · Août 30, 2008, 5:25

j’avance , j’avance…les opérations que j’ai supprimé sont à mon avis un leurre, ce ne sont que des sous-trojans, sur le moniteur d’activité j’ai trouvé une option “opération d’autres utilisateurs”, comme je travaille seule je ne suis pas en réseaux …et là j’ai un utilisateur qui s’appelle WindowsServer ( malin les mecs on voit windows on se dit que c’est normal), j’ai essayé de le terminer (et même de le forcer) et là mon ordi redémarre, et le numéro de l’opération de windowsserver change à chaque démarrage
j’ai essayé par le terminal, même chose…quelqu’un pourrait m’aider à ce niveau?

Alexor85 · Septembre 1, 2008, 12:02

lol WindowServer (a ne pas confondre avec Windows) est le processus qui gere les fenetre donc forcement si tu le tue c’est toute l’interface qui quitte donc forcement ca redemarre

par contre le internet C me semble sucpicieux, les Systemes d’exploitation dans leur process n’ont jamais de referenciel a internet, c’est en general des nom comme “network” etc…

PapyGeek · Septembre 2, 2008, 12:37

Tiens une video piégée… Logiquement la derniere mise a jour de Quicktime corrigeait ce problème en declarant le fichier corrompu…
Son installation n’a été possible que parce que tu te logue par defaut avec des droits administrateurs (toujours etre sur un compte utilisateur toujours ca fait 20 ans qu’on le dit !). Dommage.Mais comme tu le souligne tu l’as installé toi même.

Nos amis de l’Est sont d’excellents codeurs et la franchement je vois mal ou ce gredin peut se cacher et avec les droits que tu lui a filé…
Bref a part ClamSav ou Sophos pour Mac je vois pas ce que tu peux faire de plus…

Alexor85 · Septembre 2, 2008, 1:10

bah sinon y a une solution simple pour resoudre le probleme si jamais il s’est planque dans les fichiers du systeme et pas dans le dossier de l’utilisateur, c’est de reinstaller une version propre du systeme en gardant les utilisateurs.
ca va remplacer le systeme actuelle par un systeme propre, si jamais y a des applications comme little snitch qui ont besoin de s’installer a la racine du systeme pour fonctionner qu’il faudra reinstaller
mais au moins ca permettra de savoir une chose

si apres la reinstallation le probleme persiste alors le trojan s’est loge dans les fichiers utilisateurs, donc ca limite le probleme au seul compte sur lequel il a ete lance

a mon avis le trojan ayant pour but de contaminer le maximum d’utilisateur il a du etre installe dans les fichiers systemes.
si y a un systeme de backup du trojan dans les fichiers utilisateurs alors il devra de toute facon demander le pass admin pour se reinstaller dans les fichier systeme et la on peut savoir qui fait la demande d’autorisation et eliminer le coupable.

l’architecture meme du systeme fait que c’est difficile pour un trojan de se lancer au demarrage, vu que c’est une cascade d’appel pour lancer les processus et a moins de reecrire un morceau du systeme pour que le trojan s’integre dans cette cascade il faut qu’il se trouve dans un dossier qui est execute au demarrage, comme startupitems par exemple.