IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Internet : Pubs intempestives, mots soulignés en vert et fenêtres surgissantes, Comment se débarrasser des adwares malveillants ?
Options
baron
posté 5 Aug 2014, 21:09
Message #1


Macbidouilleur d'Or !
*****

Groupe : Modérateurs
Messages : 11 965
Inscrit : 22 Jul 2004
Lieu : Louvain-la-Neuve (Gaule Gelbique)
Membre no 21 291



Des fenêtres de pub surgissent sans arrêt au long de la navigation ; des mots sont soulignés en vert dans les fenêtres de votre navigateur préféré ; votre page d'accueil dans Safari, Firefox, Chrome ou Opera a été changée…
Vous êtes victimes d'un logiciel de pub malveillant — notamment appelé adware —, installé sans faire gaffe, et vous ne parvenez pas à vous en débarrasser !

Dans ce cas, vous pouvez aller sur le site suivant :
http://www.thesafemac.com/art/ et y télécharger ce fichier :
http://www.thesafemac.com/downloads/TSMART.zip (lien direct de téléchargement).
C'est un AppleScript qui mettra à la Corbeille les fichiers malveillants installés par mégarde.

Mise à jour du 8 septembre 2014 : ce script n'est plus développé et a été remplacé par AdwareMedic (par le même développeur) :
• AdwareMedic - Page d'accueil du téléchargement.


Mise à jour du 16 juillet 2015 :
Le logiciel a été repris par Malwarebytes.
On peut le télécharger sur le site :
https://www.malwarebytes.org/antimalware/mac/

Lien direct pour télécharger le logiciel (Mac OSX 10.8 et supérieur — 8,4 Mo) :
• MBAM-Mac-1.1.3.72.dmg

N.B. Ceux qui utilisent encore Mac OSX 10.7 doivent télécharger une version antérieure du logiciel :
Download Malwarebytes Anti-Malware for Mac 1.0.2.8

+++++++

Pour ceux qui ne liraient pas l'anglais, voici un résumé du mode d'emploi :

Une fois le fichier téléchargé, il faut l'ouvrir et éventuellement le copier dans le dossier Applications. Ensuite, on peut lancer le programme (si votre programme anti-virus s'y oppose, vous pouvez faire un clic-droit sur le fichier téléchargé et l'ouvrir sans désactiver l'anti-virus).

Dans la fenêtre qui apparaît, cliquer sur le bouton Scan. Après une ou deux minutes, si le logiciel a trouvé des fichiers malveillants, il vous en présentera la liste. Si vous voyez un point d’exclamation orange, c’est qu’il réclame une attention particulière ; passez la souris dessus pour voir ce qu’il en est.

Quoi qu'il en soit, lisez bien les divers messages qui s'afficheront et prenez le temps de choisir ce que vous y répondez. Vous devriez ainsi être débarrassé de ces crasses.

excl.gif Par précaution, il est recommandé de faire d'abord une sauvegarde de son disque (Attention, elle contiendra donc aussi les fichiers indésirables…) et quitter les autres applications (ainsi s'il faut redémarrer, on ne perdra pas de documents ouverts). excl.gif

Le script vérifiera d'abord s'il n'y a pas une mise-à-jour disponible. On dit oui.
Ensuite, on répond oui aussi au message qui demande s'il peut fermer les navigateurs (browsers) ouverts.
A la fin un petit texte en anglais apparait disant que les fichiers infectés trouvés ont été placés dans la corbeille.
On peut ainsi vérifier ce que le script veut supprimer avant de vider la Corbeille.
Par précaution, on peut ensuite redémarrer le Mac et passer une deuxième fois le script.

Quoi qu'il en soit, lisez bien les divers messages qui s'afficheront et prenez le temps de choisir ce que vous y répondez. Vous devriez ainsi être débarrassé de ces crasses.

+++++++

Et pour être précis, voici une traduction complète de la page :
Citation
The Safe Mac — Adware Removal Tool

Cet outil est une application AppleScript prévue pour retirer tous les “adwares" (publiciels malveillants) connus sur Mac. Si vous voulez vous assurer de pouvoir faire confiance à ce script, vous pouvez ouvrir l’application avec l’Editeur AppleScript (dossier Applications > Utilitaires) et contrôler ou exécuter manuellement le code AppleScript.

Soyez bien conscient que l’usage de ce script se fait à vos propres risques. Il ne devrait causer aucun problème, mais il ne peut jamais y avoir aucune certitude… Même les outils professionnels d’éradication des maliciels ont pu endommager certains systèmes ou causer des pertes de données. Je suis fermement convaincu que ça n’arrivera pas avec cet outil mais je ne puis le garantir. Assurez-vous d’avoir de bonnes sauvegardes avant d’utiliser un outil tel que celui-ci.
Télécharger maintenant (TSMART.zip)

Comment utiliser cet outil
Une fois ouvert, son usage est plutôt simple. Il fait quasiment tout pour vous, avec juste quelques questions au passage.

Premièrement, le script va vérifier s’il y a des mises-à-jour. S’il y a une nouvelle version du script, il vous proposera de la télécharger. Vous pouvez choisir de continuer à utiliser le script dont vous disposez ainsi, mais dites-vous bien qu’il est probablement toujours dans votre intérêt d’utiliser sa version la plus récemment mise à jour.

Ensuite, il vous demandera la permission de fermer tous les navigateurs web. Si vous êtes justement en train de rédiger un long message sur quelque forum à propos de ces saletés de publiciels et que vous ne vouliez pas le perdre, vous pouvez décliner la permission et relancer le script plus tard. [Idem si un long téléchargement est toujours en cours.] Si vous êtes d’accord de fermer tous les navigateurs, le script le fera pour vous.

A partir de là, le script va commencer à retirer tous les publiciels malveillants qu’il trouve. Leurs composants seront placés dans la Corbeille plutôt que d’être directement effacés, en sorte que vous puissiez contrôler ce qu’il veut effacer. Vous les trouverez dans un dossier nommé “TSMART” suivi de la date du jour.

Il y a juste quelques cas où le script devra vous demander ce qu’il faut faire. Dans le cas de GoPhoto.it, votre fichier de préférences Firefox (prefs.js) peut être infecté de plusieurs centaines de kilo-octets de code JavaScript lié à GoPhoto.it. Effacer ce fichier vous débarrassera de ce publiciel mais vous fera aussi perdre certaines de vos préférences Firefox. Dès lors, le script vous demandera quoi faire. Si vous choisissez de ne pas effacer le fichier prefs.js, vous pourrez toujours lancer à nouveau le script plus tard pour l’effacer [après avoir pris note de vos préférences, par exemple en faisant des copies d’écran dans Firefox], ou vous pouvez récupérer une version propre de ce fichier à partir d’une sauvegarde, ou enlever manuellement le code malicieux.

Certaines variantes du publiciel Genieo installent des fichiers qui, s’ils sont improprement retirés, peuvent provoquer un plantage de la machine et empêcher son redémarrage. Dès lors, si le coupable principal est détecté — le fichier launchd.conf — et qu’il contient certains réglages liés à Genieo, le script va procéder précautionneusement. Vous pouvez choisir d’effacer ce fichier, ou sinon de l’éditer manuellement. Dans les deux cas, vous devrez ensuite redémarrer l’ordinateur pour que les changements prennent effet. (Le script le fera pour vous, après vous en voir demandé la permission, si vous avez choisi de le laisser retirer ce fichier.) Après cela, vous pouvez relancer le script une deuxième fois pour qu’il enlève les composants restants, lesquels ne peuvent être enlevés en toute sécurité tant qu’un fichier launchd.conf infecté est dans le Système.

Dernière chose — soyez attentifs aux messages que vous voyez, plutôt que de trop vite passer au-dessus, et tout ira bien.

Questions fréquentes

• Le script a fini mais mon navigateur ouvre toujours une mauvaise page au lancement

Le script va tenter le cas échéant de définir la page d’Apple comme page d’accueil pour Safari mais pour les autres navigateurs, vous devrez procéder manuellement.

• J’ai toujours des pubs après avoir fait tourner le script
Il se peut qu’elles ne soient pas liées à un publiciel. Ce sont peut-être des pubs normales pour le site en question, ou votre réseau peut avoir été compromis. Voyez :
http://www.thesafemac.com/arg-other-causes/


S’il semble que votre routeur wifi puisse être la cause du probème, voyez :
http://www.thesafemac.com/how-to-manage-a-...ireless-router/

• Ne le prenez pas mal mais je préfère ne pas me fier à votre script. Puis-je opérer manuellement ?
Bien sûr ! Il vous suffit de consulter The Safe Mac’s Adware Removal Guide:
http://www.thesafemac.com/arg

(copyright 2011-2014 by Thomas Reed.
For questions or comments, please contact me.)


Ce message a été modifié par ewok - 29 Dec 2015, 12:09.
Raison de l'édition : Nouvelle version du produit


--------------------
MacBook Pro 15’’ 2010 Core i5 2,53 GHz, 4 Go/SSD Samsung 850EVO 500 Go – Mac OSX 10.6.8  Power Macintosh G3 beige de bureau, rev.1 @ 233MHz, 288 Mo/4Go – MacOS 9.1 — + carte PCI IDE/ATA Tempo 66 Acard 6260 avec HD interne Maxtor 80 Go + graveur interne CDRW/DVD LG GCC-4520B + tablette A4 Wacom UD-0608-A + LaCie ElectronBlueIV 19" + HP ScanJet 6100C   Routeur/modem ADSL Trendnet TW100-BRM504 > B-Box 3 + HP LaserJet 4000 N  
La recherche dans MacBidouille vous paraît obscure ? J'ai rédigé une proposition de FAQ. Le moteur logiciel a un peu changé depuis mais ça peut aider quand même.
Les corsaires mettent en berne…
Go to the top of the page
 
+Quote Post
Jack the best
posté 6 Aug 2014, 09:30
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 237
Inscrit : 3 Nov 2003
Lieu : CUL (Communauté Urbaine de Lille !) Bon Appartement Chaud
Membre no 11 246



Belle initiative, mais je n'ai jamais eu (je touche du bois ! wink.gif ) des mots soulignés en vert…


--------------------

iMac Intel Core I5 3,1 GHz 1To (El Capitan 10.11.6 depuis le 13/9/2016), MacBook Pro 17" 500 Go Snow Leopard, iMac G5 20" PPC Tiger 250 Go Rev A,
iPhone 6 64Go OS 11.3 et SONY pour la photo et la video … Pink #FD3F92
Breton MB
Attention aux huîtres, SURTOUT celles qui mangent des oiseaux !
How much wood would a woodchuck chuck if a woodchuck could chuck wood ?
Go to the top of the page
 
+Quote Post
elmacbidouille
posté 6 Aug 2014, 12:11
Message #3


Adepte de Macbidouille
*

Groupe : Membres
Messages : 77
Inscrit : 4 Jan 2010
Lieu : Ardéche
Membre no 148 087



Merci Baron, problème résolu grace a "The Safe Mac’s Adware Removal" en espérant que tous ceux qui ont ce problème liront ce que tu a écrit.

Je le garde précieusement !


--------------------
"Il est plus facile de croire que de savoir"
Go to the top of the page
 
+Quote Post
baron
posté 10 Feb 2016, 21:28
Message #4


Macbidouilleur d'Or !
*****

Groupe : Modérateurs
Messages : 11 965
Inscrit : 22 Jul 2004
Lieu : Louvain-la-Neuve (Gaule Gelbique)
Membre no 21 291



J'ajoute [sous toutes réserves wink.gif ] ces conseils donnés par SpacetitoX dans ce sujet :

Citation (SpacetitoX @ 17 Feb 2015, 18:19) *
Désinfection par l'utilisation d'outils existants et gratuits

Pour supprimer les adwares sur Mac, notamment ceux inclus dans de soi-disant programmes de nettoyage, il existe actuellement :
—AdwareMedic par Safe Mac
http://www.adwaremedic.com/index.php [devenu MalwareBytes : https://www.malwarebytes.org/antimalware/mac/ ]

— Bitdefender Adware Removal Tool de Bidefender:
http://www.bitdefender.fr/solutions/adware-removal-tool.html

Désinfection manuelle

Il se peut que les utilitaires échouent à désinfecter le Mac, si un adware n'est pas encore référencé dans l'outil de désinfection, on peut alors nettoyer manuellement le Mac en inspectant différents endroits.
Voici un exemple de désinfection pour Tlbsearch, Vsearch, iMesh, searchme, Hide Ad, Open Ad, Nav-Link, navlink etc. sachant que la méthode reste similaire pour tous les adwares actuels


La fonction ré-initialisation de Safari n'existe plus dans ses dernières versions et de toute manière ne suffirait pas, On peut par contre supprimer manuellement toutes les extensions malsaines et vider les caches manuellement depuis le menu "Développement", si ce menu est activé depuis les préférences de Safari. Donc faites le.
Il faut également "Effacer l'historique et toutes les données des sites" depuis le menu Safari.
Allez dans Safari / Préférences / Extensions, et là, supprimez toutes les extensions inconnues et/ou qui semblent liées au souci.
Opération similaire à faire dans Firefox ou tout autre navigateur.


Vérifiez notamment la présence d'extensions contenant les termes suivants :
  • Spigot
  • search
  • ebay
  • amazon
  • vsearch
  • searchme ou Searchme
  • Nav Link ou navlink
  • Slick Savings,
  • Amazon Shopping
  • Assistant and Ebay Shopping Assistant
  • genieo
  • Conduit
  • Conduit Search Protec
  • CTloader
  • Trovi
  • Trovi.com


Supprimez toutes ces extensions et celles dont vous ignorez l'origine ou la fonction exacte.
Puis téléchargez EasyFind qui permet de faire des recherches poussées partout sur le disque dur du Mac.
EasyFind, gratuit, s'obtient par le biais de l'application App Store ou ici :
http://www.devontechnologies.com/products/freeware.html
Vous en aurez besoin plus tard, lors de la vérification finale.

Quittez Safari ou tout autre navigateur.

Ensuite, Il faut se rendre dans dans la Bibliothèque principale du Mac, plus précisément dans les dossiers "Application Support", c'est-à-dire ici :
Disque dur / Bibliothèque / Application Support /

et aussi vérifier dans votre Bibliothèque personnelle, soit ici :
Utilisateurs / Votre nom / Bibliothèque / Application Support /

NB : Depuis Mac OS 10.7, votre bibliothèque personnelle n'étant plus visible par défaut, vous y accédez depuis le Finder, à partir du menu "Aller", tout en gardant la touche alt enfoncée. Vous verrez alors apparaître la ligne Bibliothèque; c'est votre Bibliothèque personnelle.
(Il y'a, au minimum, 3 Bibliothèques dans le système OS X, la principale se trouvant à la racine même du disque dur, une seconde se trouvant dans le dossier Système, et enfin une Bibliothèque à la racine du répertoire de chaque Utilisateur. Cette dernière étant cachée par défaut dans les dernières versions de Mac OS X, nommé aujourd'hui simplement OS X.)

Vérifiez également le contenu du dossier, si ce dernier est présent sur votre système :
Utilisateurs / Votre nom / Bibliothèque / Input Methods

Dans chacun de ces endroits, vérifiez la présence éventuelle d'un dossier nommé :
VSearch ou spigot

Ainsi que la présence éventuelle de tout fichier dont le nom contient les termes indiqués plus haut.

Il faut supprimer ces dossiers et fichiers et vider la corbeille en mode sécurisé

Ensuite,
Supprimez les fichiers ou dossiers suivants (faire les vérifications dans les 2 bibliothèques) :
/ Bibliothèque / LaunchAgents / com.vsearch.agent.plist
/ Bibliothèque / LaunchDaemons / com.vsearch.daemon.plist
/ Bibliothèque / LaunchDaemons / com.vsearch.helper.plist
/ Bibliothèque / LaunchDaemons / Jack.plist
/ Bibliothèque / PrivilegedHelperTools / Jack

et enfin dans la Bibliothèque qui se trouve dans le dossier Système :
/ Système / Bibliothèque / Frameworks / VSearch.framework

D'une manière générale, toujours inspecter les contenus des dossiers "LaunchDaemons" qui se trouvent aux emplacements indiqués ci dessous :
Disque dur / Bibliothèque / LaunchDaemons /
et
Disque dur / Système / Bibliothèque / LaunchDaemons /

Ces dossiers contiennent les daemons se lançant automatiquement au démarrage du Mac. Inspectez les soigneusement, et supprimez tout élément dont le nom contient l'un des termes cités plus haut.

NB : Il existe un utilitaire gratuit et très utile pour repérer ce qui tourne comme daemons ou extensions sur le Mac. Il s'agit du freeware EtreCheck, à prendre ici :
http://www.etresoft.com/etrecheck

Videz également les caches de Safari. Cela peut se faire depuis le menu Développement de Safari, si ce dernier est activé depuis les Préférences de Safari, mais aussi en allant directement dans le dossier Caches de votre Bibliothèque.
Vous pouvez également supprimer tous les caches Utilisateurs avec un utilitaire comme Onyx ou Maintenance.
http://joel.barriere.pagesperso-orange.fr

Ensuite, pour vérifier s'il reste des traces suspectes :

Lancez EsayFind et avec ce dernier, faites une recherche sur votre disque dur sur les termes cités plus haut, en validant la recherche des fichiers invisibles, et en ignorant la casse.

Si EsayFind trouve des items liés à ces adwares, faites un clic droit (sur la ligne concernée) pour demander "Afficher dans le Finder".
Une fois l'élément visible dans la fenêtre du Finder, jetez-le et videz la corbeille en mode sécurisé.

Encore une vérification éventuelle :

Redémarrez le Mac, et téléchargez une démo de MacScan :
http://macscan.securemac.com
MacScan bien que n'étant pas un antivirus, vous détectera les Trojans et autres saletés du genre. Faites donc un scan complet du Mac avec MacScan.

Tout devrait être réglé ensuite.

EDIT : Apple vient de publier cette aide :
http://support.apple.com/fr-fr/HT203987

Conseils

Afin de prévenir de futurs problèmes provenant de sites douteux, il est conseillé d'installer WOT et Ghostery dans votre navigateur :

https://www.mywot.com
https://www.ghostery.com

Et petits rappels de prudence :

— Ne téléchargez les logiciels que depuis leurs sources (sites officiels)
— Evitez tous les sites qui proposent tout et n'importe quoi.
Les sites à éviter impérativement sont par exemple: softonic.fr, softonic.com, download.com
— Ne vous laissez pas tenter par une application gratuite inconnue, style convertisseur vidéo miracle.
Sachez que les malwares proviennent le plus souvent de sites de téléchargement illégaux, sites de logiciels piratés, des sites porno, de téléchargement sur les torrents, (films, musique, logiciels... etc.)
— Lorsque le système s'apprête à télécharger ou installer quoi que ce soit, vérifiez soigneusement l'origine de la chose, la fonction de la chose... Lorsque quelque chose n'est pas clairement défini, refusez le téléchargement et l'installation.

Un antivirus sur Mac n'est pas totalement superflu. Il en existe des corrects en gratuits ou payants.

— Gratuit, par exemple :
Sophos

— Payants, par exemple :
Kaspersky
ESET
VirusBarrier

Pour supprimer MacKeeper, qui n'est pas un virus, mais... suivez cette procédure :
http://www.securitemac.com/desinstaller-mackeeper.html


--------------------
MacBook Pro 15’’ 2010 Core i5 2,53 GHz, 4 Go/SSD Samsung 850EVO 500 Go – Mac OSX 10.6.8  Power Macintosh G3 beige de bureau, rev.1 @ 233MHz, 288 Mo/4Go – MacOS 9.1 — + carte PCI IDE/ATA Tempo 66 Acard 6260 avec HD interne Maxtor 80 Go + graveur interne CDRW/DVD LG GCC-4520B + tablette A4 Wacom UD-0608-A + LaCie ElectronBlueIV 19" + HP ScanJet 6100C   Routeur/modem ADSL Trendnet TW100-BRM504 > B-Box 3 + HP LaserJet 4000 N  
La recherche dans MacBidouille vous paraît obscure ? J'ai rédigé une proposition de FAQ. Le moteur logiciel a un peu changé depuis mais ça peut aider quand même.
Les corsaires mettent en berne…
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 17th November 2018 - 18:49