Version imprimable du sujet
Cliquez ici pour voir ce sujet dans son format original
Forums MacBidouille _ Switch / Débutants _ "uninstaller - searchpage a quitté de manière imprévue" (Résolu)
Écrit par : bulldogve 24 Oct 2017, 10:07
Bonjour à tous,
Lorsque je démarre mon imac, j ai systématiquement la fenêtre "uninstaller a quitté de manière imprévue" qui s 'affiche. Si je clique sur "relancer," rien ne se passe. Pour la fermer, il faut que je clique sur "ignorer". Ensuite tout va bien mais je voudrais supprimer cette fenêtre au démarrage
Merci de votre aide
|
Écrit par : radioman 24 Oct 2017, 10:50
si tu redémarres ta machine mais en décochant "Rouvrir toutes les fenêtres …/… " au moins une fois, puis re-redémarrer en laissant coché
ça donne quoi ?
Écrit par : bulldogve 24 Oct 2017, 11:20
Je viens de tester mais cela ne change rien. 
Écrit par : radioman 24 Oct 2017, 11:37
c'est quoi la dernière appli que tu as désinstallé (et pour laquelle le désinstalleur à crashé) ?
il faudrait la ré-installer puis re-désintaller pour voir
Écrit par : Lionel 24 Oct 2017, 14:40
Il n'est pas dans les logiciels à ouverture avec la session?
Écrit par : trouspinette 24 Oct 2017, 16:09
Hello,
Aurais tu installé un outil en provenance de :
http://support.sparktrust.com/customer/en/portal/articles/2505611-is-sparktrust-maccleaner-pro-compatible-with-os-x-10-11-?b_id=11808
Si c'est le cas, je ne leur accorde AUCUNE confiance => certificat du site "Non vérifié" :-( Surtout pour une boite qui dit s'occuper de sécurité !
Écrit par : bulldogve 24 Oct 2017, 20:51
Non je n' ai pas mis cela 
Écrit par : trouspinette 24 Oct 2017, 22:21
Ouf ;-)
Comme j'avais vu un bout en arrière plan...
Tu n'as pas répondu à radioman => Tu as dû [dés]installer quelque chose, qui ne s'est pas terminé correctement : un souvenir des actions ?
Écrit par : bulldogve 24 Oct 2017, 22:33
oui j ai désinstallé mais je ne sais plus quoi !! 
Écrit par : trouspinette 25 Oct 2017, 11:30
Voici ce que tu vas faire.
Pour isoler le programme responsable, tu vas utiliser le Terminal (/Applications/Utilitaires).
Respecte bien ensuite la syntaxe.
1 - Chercher le process
ps -ef | grep uninstaller | grep -v grep
2 - Tu vas récupérer une liste avec le n° de process, et ensuite on va lister les fichiers ouverts liés à ce process.
Pour que tu comprennes mieux, regarde cette vidéo d'un enregistrement Terminal :
https://asciinema.org/a/vhR2H6RzXo5dFymklcEvxLRsh
Écrit par : bulldogve 25 Oct 2017, 22:04
je suis nul. je n arrive pas à rentrer la commande ps -ef | grep uninstaller | grep -v grep
quand je tape et je fais entrer, il ne prend rien en compte
|
Écrit par : baron 26 Oct 2017, 03:16
Bash-3.2$ ne fait pas partie de la commande. 
La seule chose à taper (ou copier, c'est plus facile), c'est :
Écrit par : bulldogve 26 Oct 2017, 06:25
oui j ai essayé une fois collé je fais entrée et il me remet la ligne nom de la machine et nom d utilisateur 
Écrit par : teddy7545 26 Oct 2017, 06:43
C'est normal, c'est juste qu'il n'a trouvé aucun process actif nommé uninstaller.
Pour t'en convaincre et te montrer que tu n'es pas nul 
refait le test avec :
Cette fois ci il va forcément trouvé une réponse du genre :
mais qui n'est rien d'autre que le retour de la commande terminal grep elle même dans la deuxième partie de la commande (la dernière partie de la commande étant donc destinée à supprimer le retour de la commande terminal grep elle même qui contient "uninstaller")
Du coup le process que tu cherches n'est soit plus actif au moment ou tu le cherches, soit nommé autrement.
En même temps dans la vue d'écran que tu nous a montré au départ, il est bien dit que l'application a quitté de manière imprévue (ce qui expliquerait assez bien qu'on le trouve pas)
Va falloir utiliser une autre ruse pour le trouver.
Peut être un examen du journal dans la console à l'heure du redémarrage ou utiliser la ligne de commande précédente (ou une autre qui scruterait plutôt que de juste interroger une fois) dans un shellscript qui se lancerait juste au login.
Écrit par : bulldogve 26 Oct 2017, 06:56
oui effectivement la commande ps -ef | grep uninstaller foncttionne 
Écrit par : teddy7545 26 Oct 2017, 09:20
La précédante fonctionnait aussi mais dans le terminal lorsque la commande ne renvoit rien il n'y a pas de message (ça indique tout de même que la commande a terminé normalement) sinon il y aurait une erreur. 
Écrit par : bulldogve 28 Oct 2017, 18:29
Si j ai bien compris, pas d anomalie mais la fenêtre reste affichée ?
Écrit par : teddy7545 28 Oct 2017, 20:09
Non, il y a bien un programme qui tente de s'exécuter mais au moment où tu test, il n'est plus actif...et donc tu ne le trouves pas.
Après relecture de ton premier post et un petit test chez moi, j'ai une proposition pour débusquer l'intrus...
Quand tu as la fenêtre de défaut tu clique sur "Signaler..." ... puis "Afficher les détails" dans la fenêtre suivante.
Tu copie les dix premières lignes du texte qui sera affiché (tu les sélectionne puis Comand-C) et tu cliques sur ne pas envoyer.
Tu peux alors nous coller le texte ici (et tu devrais aussi voir le path/chemin de l'intrus)
Avec ça on devrait y voir plus clair.
Écrit par : bulldogve 28 Oct 2017, 20:57
Voici le détail.
En 3 ans , c'est le premier bug qui me pose problème. En tout cas merci de vous décarcasser pour le résoudre
Path: /Users/USER/Library/SPI/uninstaller.app/Contents/MacOS/uninstaller
Identifier: com.searchpage.uninstaller
Version: 1.0 (1)
Code Type: X86-64 (Native)
Parent Process: ??? [1]
Responsible: uninstaller [432]
User ID: 501
Date/Time: 2017-10-28 21:52:05.046 +0200
OS Version: Mac OS X 10.12.6 (16G29)
Report Version: 12
Anonymous UUID: E479C079-BFB6-5DA5-4A90-C8AE05D1BDA0
Time Awake Since Boot: 61 seconds
System Integrity Protection: enabled
Crashed Thread: 0 Dispatch queue: com.apple.main-thread
Exception Type: EXC_BAD_INSTRUCTION (SIGILL)
Exception Codes: 0x0000000000000001, 0x0000000000000000
Exception Note: EXC_CORPSE_NOTIFY
Termination Signal: Illegal instruction: 4
Termination Reason: Namespace SIGNAL, Code 0x4
Terminating Process: exc handler [0]
Thread 0 Crashed:: Dispatch queue: com.apple.main-thread
0 com.searchpage.uninstaller 0x0000000109ce2f50 0x109cdc000 + 28496
1 com.searchpage.uninstaller 0x0000000109ce3347 0x109cdc000 + 29511
2 com.searchpage.uninstaller 0x0000000109ce352c 0x109cdc000 + 29996
3 com.apple.CoreFoundation 0x00007fffa701b45c __CFNOTIFICATIONCENTER_IS_CALLING_OUT_TO_AN_OBSERVER__ + 12
4 com.apple.CoreFoundation 0x00007fffa701b35b _CFXRegistrationPost + 427
5 com.apple.CoreFoundation 0x00007fffa701b0c2 ___CFXNotificationPost_block_invoke + 50
6 com.apple.CoreFoundation 0x00007fffa6fd8523 -[_CFXNotificationRegistrar find:object:observer:enumerator:] + 1827
7 com.apple.CoreFoundation 0x00007fffa6fd755c _CFXNotificationPost + 604
8 com.apple.Foundation 0x00007fffa89fc677 -[NSNotificationCenter postNotificationName:object:userInfo:] + 66
9 com.apple.AppKit 0x00007fffa4c4074f -[NSApplication _postDidFinishNotification] + 297
10 com.apple.AppKit 0x00007fffa4c404b4 -[NSApplication _sendFinishLaunchingNotification] + 208
11 com.apple.AppKit 0x00007fffa4b03819 -[NSApplication(NSAppleEventHandling) _handleAEOpenEvent:] + 552
12 com.apple.AppKit 0x00007fffa4b0346b -[NSApplication(NSAppleEventHandling) _handleCoreEvent:withReplyEvent:]
Écrit par : teddy7545 28 Oct 2017, 22:00
Bon il y a du bon et du plus étonnant ...
L'application qui démarre est donc uninstaller.app situé dans /Users/USER/Library/SPI/
Tu as vraiment un compte qui s'appelle USER ou c'est toi qui à changé pour masquer le nom de ton compte?
De mon côté je n'ai pas de répertoire SPI dans mon répertoire ~/Library
Dans ton texte on trouve aussi Identifier: com.searchpage.uninstaller
En recherchant sur internet ça ressemble à un moteur de recherche mais c'est aussi cité comme un malware 
Peux tu mettre ici le résultat de la commande suivant dans le terminal ? :
Ca donnera la liste de tous les fichiers contenus dans le répertoire ...
As tu aussi déjà essayé de passer un petit coup de Malwarebytes ? Ca peut pas faire de mal déjà ....
Écrit par : bulldogve 28 Oct 2017, 22:54
non je n'ai pas masqué le nom de mon compte.
j avais passé un coup d anti malawares
sinon voici le résultat de la commande:
total 8
drwxr-xr-x 4 pr staff 136 18 oct 22:10 .
drwx------@ 81 pr staff 2754 24 oct 09:38 ..
drwxr-xr-x 3 pr admin 102 18 oct 21:54 uninstaller.app
-rwxr-xr-x 1 pr admin 218 18 oct 21:54 uninstallerwatcher.sh
iMac-de
Écrit par : teddy7545 28 Oct 2017, 23:02
Dans la commande que tu as tapé tu as utilisé le compte pr
C'est volontaire ? Y a t'il un compte nommé USER ou non dans ton ordi?
Si oui peux tu mettre aussi le résultat de la commande originale dans le terminal ? :
Écrit par : bulldogve 28 Oct 2017, 23:20
Résultat
je n ai pas de compte USER
Écrit par : teddy7545 28 Oct 2017, 23:34
Ok merci pour tes tests ... je comprend pas trop pourquoi le chemin indiqué dans le log de défaut indique USER mais il semble bien que cela soit bien ton compte ...
Si tu as d'autres comptes utilisateur tu peux aussi essayer toujours la même commande en remplaçant le nom du compte pour vérifier si ce répertoire existe aussi dans les autres comptes de ton ordinateur.
Sur tes navigateurs, as tu un moteur de recherche search.com ?
Quel(s) navigateur(s) utilises tu ?
Sinon l'as tu déjà vu auparavant ?
C'est un adware que semble s'installer avec certains installateur de programme.
Tu obtiens la fenêtre de défaut uniquement au démarrage de l'ordinateur ?
L'as tu aussi quand tu fermes puis tu réouvre ta session ? ou quand tu ouvres une autre session ?
Une solution pourrait être de supprimer dans un premier temps ce répertoire SPI mais si ça supprime l'application ça n'enlève pas forcément ce qui l'appelle et éventuellement d'autre fichiers associées ...
La question est donc comment faire une suppression propre et complète.
Sinon tu peux éventuellement déplacer sur ton bureau le répertoire SPI et le compresser en zip puis redémarrer pour voir ce que ça donne.
Dans safari y a t'il des extensions installées ? (Dans Safari>préférence>Extensions)
Écrit par : baron 29 Oct 2017, 00:14
La question est donc comment faire une suppression propre et complète.
A la fin de cette page, on trouve une procédure manuelle ou un utilitaire pour le faire :
• https://www.securemacos.com/search-page-injection-spi-malware-on-mac-os/
Il faut quand même bien lire, la procédure n'a pas l'air toute simple…
Écrit par : teddy7545 29 Oct 2017, 00:26
Bien joué baron... 
J'avais trouvé quelques procédures aussi mais pas aussi détaillées ...
On retrouve bien dans la tienne le répertoire que j'avais identifié ~/Library/SPI/ mais aussi les autres fichiers qu'il faut aussi éliminer pour tout nettoyer proprement :
~/LaunchAgents/spid-uninstall.plist
/Applications/spi.app
Écrit par : bulldogve 29 Oct 2017, 15:25
Alors j ai été chercher le fichier spi et l ai mis dans la corbeille.
Le problème est depuis résolu.
C'était un mal pour un bien car grâce à votre aide, cela m 'a permis de comprendre un peu plus de chose sur mon ordi .
Je vous joints l image et ce qu'il y avait dans le dossier
Merci
|
|
Écrit par : teddy7545 29 Oct 2017, 16:27
Ok déjà une bonne chose, tu as donc supprimé
~/Library/LaunchAgents/spid.plist
~/LaunchAgents/spid-uninstall.plist
Existent t'ils encore ou le répertoire ~/Library/SPI/ a t'il aussi disparu ...
A lire le script que tu avais, il surveillait l'existence de spi.app et déclenchait l'application Uninstaller si il ne le voyait plus.
Ce script était probablement lancé au démarrage par un launchagent ...A voir le nettoyage a bien été fait ou non (automatiquement ou manuellement).
Toujours dans le terminal peux tu taper la commande suivante avant de les effacer :
Dans les résultat de cette commande j'ai exclus tout ce qui est apple mais il peut y avoir d'autres launchagent pour des application légitime ... celles qui t'intéressent sont celle qui auront un nom relatif à spi ou searchpage ou quelque chose de similaire.
Écrit par : bulldogve 29 Oct 2017, 17:29
oups ,il me restait les deux fichiers que je viens de supprimer:
~/Library/LaunchAgents/spid.plist
~/LaunchAgents/spid-uninstall.plist
Par contre je n ai plus: ~/Library/SPI/
et plus de launchagent indésirable semble-t- il.
Écrit par : teddy7545 29 Oct 2017, 17:41
Bon tant mieux ...
Dernière petite chose peut être, conformément à l'explication https://www.securemacos.com/search-page-injection-spi-malware-on-mac-os/, vérifie que tu n'a pas le Proxy encore activé ...et https://www.securemacos.com/how-to-turn-off-web-proxy-on-mac-os/.
Vérifie encore une fois que tous les fichiers précédents sont bien supprimé (et non revenus) puis redémarre le mac ...
Écrit par : bulldogve 29 Oct 2017, 17:49
j ai vérifié pas de serveur proxy activé
Écrit par : teddy7545 29 Oct 2017, 17:54
Parfait tu sembles donc bel et bien débarrassé de cette s.......ie
Te reste plus qu'à marquer le sujet résolu.
Je te propose aussi d'ajouter dans le titre "uninstaller (searchpage) a quitté de manière imprévue"
Ca sera surement utile à d'autres et plus facile à trouver ainsi.
Écrit par : ciscodrd 7 Nov 2017, 00:04
Bonjour à tous,
Je me permets de vous écrire car je rencontre exactement le même problème que bulldogve mais je n'ai pas d'application spi.app... Je n'ai pas non plus de dossier SPI...
Je vous remercie d'avance pour votre aide.
Écrit par : teddy7545 7 Nov 2017, 00:22
Bonsoir,
Bienvenu sur le forum pour ton premier message.
Tu as exactement la même fenêtre qui apparait ?
Ca se produit bien à chaque démarrage de ton mac ? (et uniquement au démarrage) ?
Le message indique bien "Uninstaller" ?
Si tu as la même fenêtre que bulldogve alors suis le http://forum.macbidouille.com/index.php?s=&showtopic=405622&view=findpost&p=4175762 et mets le résultat détaillé en retour comme il l'avait fait dans le message 19.
Ca devrait nous permettre d'identifier quel est l'application qui s'exécute et nous verrons ensuite comment l'éliminer.
Écrit par : ciscodrd 14 Nov 2017, 20:59
Bonsoir,
Désolé pour mon retour tardif...
J'ai exactement la même fenêtre qui apparait oui. Cela se produit à chaque ouverture de ma session. Le message indique bien qu' "uninstaller a quitté de manière imprévue."
Voilà ce que j'ai :
Path: /Users/USER/Library/SPI/uninstaller.app/Contents/MacOS/uninstaller
Identifier: com.searchpage.uninstaller
Version: 1.0 (1)
Code Type: X86-64 (Native)
Parent Process: ??? [1]
Responsible: uninstaller [757]
User ID: 501
Date/Time: 2017-11-14 20:48:12.174 +0100
OS Version: Mac OS X 10.12.5 (16F73)
Report Version: 12
Anonymous UUID: E596F9ED-36B3-D8BA-F387-24E44D7DBB62
Sleep/Wake UUID: 25FF8EFA-45D5-46F7-9F45-259E4D4DB2B5
Time Awake Since Boot: 1000 seconds
Time Since Wake: 62 seconds
System Integrity Protection: enabled
Crashed Thread: 0 Dispatch queue: com.apple.main-thread
Exception Type: EXC_BAD_INSTRUCTION (SIGILL)
Exception Codes: 0x0000000000000001, 0x0000000000000000
Exception Note: EXC_CORPSE_NOTIFY
Termination Signal: Illegal instruction: 4
Termination Reason: Namespace SIGNAL, Code 0x4
Terminating Process: exc handler [0]
Thread 0 Crashed:: Dispatch queue: com.apple.main-thread
0 com.searchpage.uninstaller 0x000000010517ef50 0x105178000 + 28496
1 com.searchpage.uninstaller 0x000000010517f347 0x105178000 + 29511
2 com.searchpage.uninstaller 0x000000010517f52c 0x105178000 + 29996
3 com.apple.CoreFoundation 0x00007fffad58e54c __CFNOTIFICATIONCENTER_IS_CALLING_OUT_TO_AN_OBSERVER__ + 12
4 com.apple.CoreFoundation 0x00007fffad58e44b _CFXRegistrationPost + 427
5 com.apple.CoreFoundation 0x00007fffad58e1b2 ___CFXNotificationPost_block_invoke + 50
6 com.apple.CoreFoundation 0x00007fffad54c782 -[_CFXNotificationRegistrar find:object:observer:enumerator:] + 2018
7 com.apple.CoreFoundation 0x00007fffad54b76b _CFXNotificationPost + 667
8 com.apple.Foundation 0x00007fffaef8d907 -[NSNotificationCenter postNotificationName:object:userInfo:] + 66
9 com.apple.AppKit 0x00007fffab1b374f -[NSApplication _postDidFinishNotification] + 297
10 com.apple.AppKit 0x00007fffab1b34b4 -[NSApplication _sendFinishLaunchingNotification] + 208
11 com.apple.AppKit 0x00007fffab076819 -[NSApplication(NSAppleEventHandling) _handleAEOpenEvent:] + 552
12 com.apple.AppKit 0x00007fffab07646b -[NSApplication(NSAppleEventHandling) _handleCoreEvent:withReplyEvent:] + 661"
Je n'ai évidemment pas de compte appelé "USER", ni de dossier "SPI"...
Merci pour votre aide !
Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)