Internet : Pubs intempestives, mots soulignés en vert et fenêtres surgissantes, Comment se débarrasser des adwares malveillants ?

[baron]

Des fenêtres de pub surgissent sans arrêt au long de la navigation ; des mots sont soulignés en vert dans les fenêtres de votre navigateur préféré ; votre page d'accueil dans Safari, Firefox, Chrome ou Opera a été changée…
Vous êtes victimes d'un logiciel de pub malveillant — notamment appelé adware —, installé sans faire gaffe, et vous ne parvenez pas à vous en débarrasser !

Dans ce cas, vous pouvez aller sur le site suivant :
• http://www.thesafemac.com/art/ et y télécharger ce fichier :
• http://www.thesafemac.com/downloads/TSMART.zip (lien direct de téléchargement).
C'est un AppleScript qui mettra à la Corbeille les fichiers malveillants installés par mégarde.

Mise à jour du 8 septembre 2014 : ce script n'est plus développé et a été remplacé par AdwareMedic (par le même développeur) :
• AdwareMedic - Page d'accueil du téléchargement.

Mise à jour du 16 juillet 2015 :
Le logiciel a été repris par Malwarebytes.
On peut le télécharger sur le site :
• https://www.malwarebytes.org/antimalware/mac/

Lien direct pour télécharger le logiciel (Mac OSX 10.8 et supérieur — 8,4 Mo) :
• MBAM-Mac-1.1.3.72.dmg

N.B. Ceux qui utilisent encore Mac OSX 10.7 doivent télécharger une version antérieure du logiciel :
• Download Malwarebytes Anti-Malware for Mac 1.0.2.8

+++++++

Pour ceux qui ne liraient pas l'anglais, voici un résumé du mode d'emploi :

Une fois le fichier téléchargé, il faut l'ouvrir et éventuellement le copier dans le dossier Applications. Ensuite, on peut lancer le programme (si votre programme anti-virus s'y oppose, vous pouvez faire un clic-droit sur le fichier téléchargé et l'ouvrir sans désactiver l'anti-virus).

Dans la fenêtre qui apparaît, cliquer sur le bouton Scan. Après une ou deux minutes, si le logiciel a trouvé des fichiers malveillants, il vous en présentera la liste. Si vous voyez un point d’exclamation orange, c’est qu’il réclame une attention particulière ; passez la souris dessus pour voir ce qu’il en est.

Quoi qu'il en soit, lisez bien les divers messages qui s'afficheront et prenez le temps de choisir ce que vous y répondez. Vous devriez ainsi être débarrassé de ces crasses.

Par précaution, il est recommandé de faire d'abord une sauvegarde de son disque (Attention, elle contiendra donc aussi les fichiers indésirables…) et quitter les autres applications (ainsi s'il faut redémarrer, on ne perdra pas de documents ouverts).

Le script vérifiera d'abord s'il n'y a pas une mise-à-jour disponible. On dit oui.
Ensuite, on répond oui aussi au message qui demande s'il peut fermer les navigateurs (browsers) ouverts.
A la fin un petit texte en anglais apparait disant que les fichiers infectés trouvés ont été placés dans la corbeille.
On peut ainsi vérifier ce que le script veut supprimer avant de vider la Corbeille.
Par précaution, on peut ensuite redémarrer le Mac et passer une deuxième fois le script.

Quoi qu'il en soit, lisez bien les divers messages qui s'afficheront et prenez le temps de choisir ce que vous y répondez. Vous devriez ainsi être débarrassé de ces crasses.

+++++++

Et pour être précis, voici une traduction complète de la page :

The Safe Mac — Adware Removal Tool

Cet outil est une application AppleScript prévue pour retirer tous les “adwares" (publiciels malveillants) connus sur Mac. Si vous voulez vous assurer de pouvoir faire confiance à ce script, vous pouvez ouvrir l’application avec l’Editeur AppleScript (dossier Applications > Utilitaires) et contrôler ou exécuter manuellement le code AppleScript.

Soyez bien conscient que l’usage de ce script se fait à vos propres risques. Il ne devrait causer aucun problème, mais il ne peut jamais y avoir aucune certitude… Même les outils professionnels d’éradication des maliciels ont pu endommager certains systèmes ou causer des pertes de données. Je suis fermement convaincu que ça n’arrivera pas avec cet outil mais je ne puis le garantir. Assurez-vous d’avoir de bonnes sauvegardes avant d’utiliser un outil tel que celui-ci.
Télécharger maintenant (TSMART.zip)

Comment utiliser cet outil
Une fois ouvert, son usage est plutôt simple. Il fait quasiment tout pour vous, avec juste quelques questions au passage.

Premièrement, le script va vérifier s’il y a des mises-à-jour. S’il y a une nouvelle version du script, il vous proposera de la télécharger. Vous pouvez choisir de continuer à utiliser le script dont vous disposez ainsi, mais dites-vous bien qu’il est probablement toujours dans votre intérêt d’utiliser sa version la plus récemment mise à jour.

Ensuite, il vous demandera la permission de fermer tous les navigateurs web. Si vous êtes justement en train de rédiger un long message sur quelque forum à propos de ces saletés de publiciels et que vous ne vouliez pas le perdre, vous pouvez décliner la permission et relancer le script plus tard. [Idem si un long téléchargement est toujours en cours.] Si vous êtes d’accord de fermer tous les navigateurs, le script le fera pour vous.

A partir de là, le script va commencer à retirer tous les publiciels malveillants qu’il trouve. Leurs composants seront placés dans la Corbeille plutôt que d’être directement effacés, en sorte que vous puissiez contrôler ce qu’il veut effacer. Vous les trouverez dans un dossier nommé “TSMART” suivi de la date du jour.

Il y a juste quelques cas où le script devra vous demander ce qu’il faut faire. Dans le cas de GoPhoto.it, votre fichier de préférences Firefox (prefs.js) peut être infecté de plusieurs centaines de kilo-octets de code JavaScript lié à GoPhoto.it. Effacer ce fichier vous débarrassera de ce publiciel mais vous fera aussi perdre certaines de vos préférences Firefox. Dès lors, le script vous demandera quoi faire. Si vous choisissez de ne pas effacer le fichier prefs.js, vous pourrez toujours lancer à nouveau le script plus tard pour l’effacer [après avoir pris note de vos préférences, par exemple en faisant des copies d’écran dans Firefox], ou vous pouvez récupérer une version propre de ce fichier à partir d’une sauvegarde, ou enlever manuellement le code malicieux.

Certaines variantes du publiciel Genieo installent des fichiers qui, s’ils sont improprement retirés, peuvent provoquer un plantage de la machine et empêcher son redémarrage. Dès lors, si le coupable principal est détecté — le fichier launchd.conf — et qu’il contient certains réglages liés à Genieo, le script va procéder précautionneusement. Vous pouvez choisir d’effacer ce fichier, ou sinon de l’éditer manuellement. Dans les deux cas, vous devrez ensuite redémarrer l’ordinateur pour que les changements prennent effet. (Le script le fera pour vous, après vous en voir demandé la permission, si vous avez choisi de le laisser retirer ce fichier.) Après cela, vous pouvez relancer le script une deuxième fois pour qu’il enlève les composants restants, lesquels ne peuvent être enlevés en toute sécurité tant qu’un fichier launchd.conf infecté est dans le Système.

Dernière chose — soyez attentifs aux messages que vous voyez, plutôt que de trop vite passer au-dessus, et tout ira bien.

Questions fréquentes

• Le script a fini mais mon navigateur ouvre toujours une mauvaise page au lancement

Le script va tenter le cas échéant de définir la page d’Apple comme page d’accueil pour Safari mais pour les autres navigateurs, vous devrez procéder manuellement.

• J’ai toujours des pubs après avoir fait tourner le script
Il se peut qu’elles ne soient pas liées à un publiciel. Ce sont peut-être des pubs normales pour le site en question, ou votre réseau peut avoir été compromis. Voyez :
http://www.thesafemac.com/arg-other-causes/

S’il semble que votre routeur wifi puisse être la cause du probème, voyez :
http://www.thesafemac.com/how-to-manage-a-...ireless-router/

• Ne le prenez pas mal mais je préfère ne pas me fier à votre script. Puis-je opérer manuellement ?
Bien sûr ! Il vous suffit de consulter The Safe Mac’s Adware Removal Guide:
http://www.thesafemac.com/arg

(copyright 2011-2014 by Thomas Reed.
For questions or comments, please contact me.)

Ce message a été modifié par ewok - 29 Dec 2015, 12:09.

Raison de l'édition : Nouvelle version du produit