Version imprimable du sujet

Écrit par : frankie00 7 May 2018, 06:11

He oui: j'ai fait ce qu'il fallait pas faire et suis allé sur un site qui avait l'air normal et de nouveau et je me le suis chopé de nouveau ce McKeeper.
J'ai éteint dès que MalwareBytes s'est mis à clignoter comme un fou et c'est lui-même qui m'a proposé à éteindre le Mac ce que j'ai fait.
Evidemment il a trouvé des tas de cochonneries en scannant et que je me suis empressé d'éradiquer.
Tout semblait redevenu normal quand je me suis rendu compte qu'ils avaient réussi un nouveau truc: forcer la page d'accueil de Safari à aller sur un moteur de recherche piraté et leur appartenant qui vous aiguille sur leur saleté de MAcKeeper.
Ça s'appelle www(dot)chumsearch(dot)com et d'après le nom c'est nord-américain: canadien ou américain.
Mettez-le vite comme site à proscrire dans les Hosts !
Le problème est que la page qui affiche le bandeau où est située l'adresse URL de la page d'accueil dans les Préférences Safari est grisé donc inaccessible. Donc ils sont devenus très mailns car on peut plus le changer et le bouton qui devrait permettre de le faire est grisé lui aussi, donc inaccessible.
Je sais pas trop quoi faire car j'ai viré les caches, les cookies et l'historique mais rien n'y fait. Toujours le même pb...
Si jamais, il reste toujours la possibilité de réinstaller Safari de façon sélective via Apple non ? Ou par TM ?
Quelqu'un(e) a déjà fait cela ici et pourrait me dire comment on réinstalle COMPLÈTEMENT Safari ?? Apriori ils n'ont pas réécrit un bout de programme pirate patch sur Safari car il n'a pas été modifié.
Merci d'avance.

Écrit par : Eagle Kiss 7 May 2018, 06:36

Il ne suffit pas d'aller sur un site pour que McKeeper s'installe. Il faut qu'à un moment l'utilisateur que tu es valide l'installation.
Je ne sais pas comment virer cette merde, je ne l'ai jamais installé !

Écrit par : Tom25 7 May 2018, 07:04

Je crois que DetectX permet de désinstaller MacKeeper. Peut pas chercher depuis mon iPad, mais tu le trouveras sur MacUpdate.com .

Il y a un mois j'ai refilé une chtouille à ma copine, égidement elle a gueulé en me demandant où j'avais choppé ça. Je lui ai répondu que j'avais croisé une jolie fille dans la rue, mais que je ne n'avais rien fait d'autre que de la regarder !
Y a des trucs sacrément contagieux, on n'imagine pas .

Écrit par : Benzebut 7 May 2018, 08:17

Comme déjà indiqué par Eagle Kiss, MacKeeper ne peut s'installer et devenir actif sur macOS que si l'utilisateur donne son accord à un moment donné. Le reste n'est que préférences, extensions et cookies qu'il est "aisé" d'enlever pour revenir à une configuration de base.
Dans votre cas, il semblerait qu'une extension ait été installée en plus, mais cela ressemble à l'histoire du profil administrateur qui avait été mentionné ces dernières semaines sur le site. Sur quel site vous êtes-vous rendu pour trouver cette nouvelle variante de cette cochonnerie ?
Sinon, le plus simple pour tout enlever, est de remettre sa sauvegarde de TimeMachine juste avant la contamination ...

Écrit par : anonym_d019ede3 7 May 2018, 09:03

Comme je te l'avais déjà indiqué sur un autre sujet, une recherche dans cette section du forum avec le terme "mackeeper" te renvoie à des sujets comme ceux là:

http://forum.macbidouille.com/index.php?showtopic=389503&hl=mackeeper
http://forum.macbidouille.com/index.php?showtopic=342130&hl=mackeeper

Et il y en a d'autres.

Écrit par : frankie00 7 May 2018, 12:03

Oui évidemment que j'ai fait tout ce qu'il faut faire: tu n'as pas bien compris ou je me suis pas expliqué en détail assez.
J'ai tout fait bien, passer MalwareBytes et EtreCheck, vider caches historique et cookies, y compris la désinstallation totale par sudo find / -iname *mackeeper* -exec rm -rf {} \;
Il a rien trouvé de bizarre par ce biais là.
C'est beaucoup plus retors ce qu'ils ont inventé: il remplacent le moteur Google par chumsearch leuquel est directement relié à McKeeper ce qui fait que quand tu fais une recherche tu tombes fatalement sur un de leurs sites.
Et dans les paramètres de Chrome ou Safari ils ont trouvé moyen de "griser" l'endroit (le champ) où tu mets ta page d'accueil ce qui fait que quand tu fais une recherche tu retombes fatalement sur MacKeeper : ce n'est plus ni Yahoo ni Google que tu sollicites lorsque tu tapes un mot ou une phrase dans le champ supérieur de Safari pour faire une recherche . Mais leur bazar, chumsearch, lequel se met en route et qui te ramène obligatoirement vers le site de McKeeper.
Tu as compris ?
Et là aucune parade ne marche: j'ai tout essayé mais en vain.
Si j'arrivais à faire en sorte que le champ dans les préférences, là où tu tapes la page d'accueil ne soit plus grisée mais qu'on puisse rentrer dedans les moteurs connus Yahoo ou Google par exemple, tout s'arrangerait et rentrerait dans l'ordre mais là ils ont trouvé un moyen tordu (lequel je sais pas) de rendre cela impossible ce qui fait qu'on est voué à retomber sur eux dès qu'on fait une recherche.

Malheureusement je peux pas te le montrer de visu donc je sais pas si j'ai clairement décrit le prolbème.

Écrit par : frankie00 7 May 2018, 12:57

Victoire!!!!!!
Avec DetectX tout ce bazar s'est éradiqué et tout est revenu à la normal. 2 passages quand même idem pour MalwareBytes: 2 passages aussi et à la seconde fois il a trouvé une autre saleté.
Donc on le saura: il faut MalwareBytes (payant) aussi DetectX (payant aussi) et EtreCheck (pareil) pour pouvoir se garer maintenant de toutes ces saletés qui fourmillent sur le Net.
Ça devient une industrie hautement rentable, les antivirus!

Écrit par : Tom25 7 May 2018, 13:06

Etrecheck et detectx peuvent utilisés en Freeware en usage perso non ?

Écrit par : Eagle Kiss 7 May 2018, 13:31

Une solution gratuite : ne pas cliquer sur n'importe quoi

Écrit par : Benzebut 7 May 2018, 17:27

J'ai été encore une fois devancé par Eagle Kiss sur la question, mais le meilleur moyen de protéger sa configuration macOS sans passer trop de temps à installer tout plein de logiciels payants et plus que discutables, c'est simplement de faire attention sur les sites consultés et de ne pas installer n'importe quoi. Plus quelques règles de base souvent présentées sur les forums pour garantir sa vie privée.

Surtout qu'en l'état, nous ne savons toujours pas sur quel site frankie00 est allé se promener pour rencontrer tout cela ...

Écrit par : Tom25 7 May 2018, 17:32

D'un autre coté, quel que soit le site visité rien ne justifie de se faire infecter. Et s'il est vrai qu'on peut faire attention, il faut surtout ne ps tourner ça en "c'est de ta faute, tu n'aurais pas dû aller là !".

On entend bien trop souvent ce genre de remarque adressée aux personnes (souvent des filles) qui se sont fait agresser.

Edit : Correction (Castor ci-dessous). "ées" eu lieu de "er" était une erreur grossière de ma part. Mais pour le "faîtes" "Fait" j'ai du chercher et trouver ça que j'avais oublié :
Notez que le participe passé de faire est toujours invariable quand il est suivi d'un infinitif, même quand il est pronominal.

Écrit par : castor74 7 May 2018, 17:59

Pardon, mais là ça fait drôlement mal aux yeux. Qui se sont fait agresser.

Écrit par : ch21 7 May 2018, 20:24

Perso, je suggérerais à frankie00 d'avoir une session "non admin" pour ses surfs

Perso, je visite pas mal de sites ou comme dans Happy Potter on ne doit pas prononcer le nom.
Néanmoins, d'une part j'ai Ghostery installé. Ca limite pas mal les pop-up etc.
D'autre part, je ne clique pas n'importe où pour télécharger ce que je crois être la cible de ma recherche.
Et en plus j'ai Little Snitch qui veille…

Comme ça fait un moment que frankie se fait avoir, je trouve qu'il serait judicieux qu'il installe une session invité. Non ?

Écrit par : anonym_d019ede3 8 May 2018, 00:51

Et même qu'il dispose d'un clone comme je lui dis depuis un moment…

Écrit par : Benzebut 11 May 2018, 13:16

Je ne peux que soutenir la proposition de ch21 dans cette situation. Faire une session invité pour ces visites, activer la navigation privée, monter d'un cran le coupe-feu et toujours nettoyer complément son navigateur après consultation.
Pas un grand fan par contre des logiciels complémentaires ajoutés à macOS soit disant pour le protéger...

Écrit par : frankie00 20 May 2018, 13:00

Oui mais des tas de fonctionnalités très utiles de Etrecheck ne marchent que si on achète la licence.
Et il est tellement bien que je l'ai acheté: j'ai suivi ses recommandations, viré un tas de bazar et il rame plus du tout.
Regagné de la vitesse donc l'achat d'un nouveau MacBook ce sera pour + tard, tant mieux pour ma bourse qui est pas remplie-remplie en ce moment et les derniers Mac coutent chers.
J'attends le prochain modèle avec High Sierra tout équipé à l'intérieur comme ça si je l'achète et que ça marche pas (et les bugs continuent semble-t-il donc la MAJ ce sera + tard!) retour au vendeur!
Donc au final, assurance d'avoir un Mac qui marche avec un High Sierra au point: pas un luxe si on voit les commentaires ici ou ailleurs
Quant à la question "sur quel site suis-je allé pour me choper cette saleté de virus" je me souviens + sauf que j'en ai chopé plusieurs fois.
Une fois l'horrible virus Uschak dit Interpol fabriqué "made in Russia" et en allant sur un site russe car je parle un peu russe et le comprends. Pas assez semble-t-il: j'ai du aller là où il fallait vraiment pas aller.
De toute façon plusieurs fois en faisant une recherche Google anodine genre documentation sur un thème ou auteur ou texte qui avait rien de licencieux ni outlaw, je suis tombé sur un site en tête de la recherche Google qui était précisément vérolé.
Ils sont malins ces s....
DetectX c'est en dernier ressort quand le virus a trafiqué ton ou tes browsers pour t'envoyer systématiquement sur une page d'accueil bizarre et suspecte genre chumsearch.
Moteur de recherche "nouveau" semble-t-il mais qui a la faculté de t"envoyer sur MacKepper et de te lélécharger n'importe quoi, surtout leurs saletés en priorité.

Écrit par : Benzebut 21 May 2018, 17:40

Très surprenants propos. Dans les faits, Uschak n'est pas un virus mais un cheval de Troie comme vous l'avez fort bien décrit dans votre autre poste expliquant comment l'enlever. Or ce type de logiciel ne peut s'installer que si l'utilisateur donne son accord, comme par exemple avec une fausse version de l'extension Flash. Et il semble plus que marginal sur macOS.

Les sites peuvent contenir des virus, mais d'une part ceux-ci concernent principalement Windoze et d'autre part ne sont que généralement que des chevaux de Troie, qui ne pourront s'installer qu'avec votre accord. Donc la question fondamentale reste : sur quel site frankie00 est allé se promener pour rencontrer tout cela ... wink.gif

Écrit par : frankie00 21 May 2018, 18:02

Oui je me souviens effectivement que ça, c'est un attrape-c...
Vous allez sur un site et il vous dit que Flash n'est pas à jour et vous propose d'installer une MaJ de Flash Player, ce qu'il faut systématiquement refuser mais ça je savais pas encore .
Je vous ai dit où j'ai chopé cela: en allant sur un site russe, mais mon russe ne m'a pas permis de comprendre totalement ce qu'ils disaient (de toute façon peut-être que ça n'aurait rien changé!) et je crois que c'est là qu'ils m'ont proposé d'installer FlashPlayer. Et que j'ai accepté et les ennuis ont commencé.
Apparemment il est pas si marginal que ça, ce bidule qui consiste à afficher le logo dont on se méfie pas, celui d'Adobe, et proposer une MAJ.
Si on le sait pas avant que ça peut-être un attrape-c..., on peut facilement se faire avoir.
De toute façon l'imagination des hackers est sans limite alors...

Écrit par : Benzebut 21 May 2018, 20:47

Donc en résumé concernant la situation de frankie00 et de ses méchants virus :
- vous n'avez pas attrapé de virus, malgré le message initial alarmant,
- vous êtes allé sur un site attrape-couillon qui vous a proposé un cheval de Troie et vous l'avez installé,
- pour remédier à cette mésaventure, vous préférez acheter plein de logiciels plutôt que de suivre les conseils donnés sur les forums,

Bref, rien de nouveau pour macOS et l'imagination des hackers est sans limite pour la simple raison qu'il y aura toujours des personnes pour se faire avoir. D’ailleurs, vous devriez mettre à jour votre blog, car les messages tout autant que les conclusions sont désormais erronées concernant ce cas. Vous vous êtes simplement fait avoir par un logiciel malveillant.

Écrit par : ch21 21 May 2018, 20:51

Bah, que ce soit en russe, en anglais ou en Français.
Si un site te propose ou t'oblige à cliquer pour mettre à jour un composant de ton Mac, tu ignores !

Si tu as un fond naïf, tu vérifie sur le site en question pour voir si c'est le cas;
Par ex pour FlashPlayer : https://get.adobe.com/fr/flashplayer/otherversions/

Mais en AUCUN CAS tu acceptes une mise à jour d'un logiciel présent sur ton Mac, si tu n'es pas sur le site du logiciel en question.
Et même là, je dirais qu'il faut faire gaffe avant de mettre son Mot de Passe Admin…

Écrit par : anonym_d019ede3 21 May 2018, 22:10

Ou même plus basiquement comme je l'ai déjà précisé sur un autre sujet: on ne met à jour Flash que par les préférences système. On ne télécharge jamais en dehors du site de l'éditeur genre plateforme standard hors Appstore.

Mais ça je l'ai déjà dit.

Ce qui est probant c'est que je vais même parfois sur des sites douteux dont vous faites part entre autres pour vérifier et que perso je ne me suis JAMAIS retrouvé avec le plus petit pourriciel qui soit.

Écrit par : frankie00 22 May 2018, 07:31

Exact! Avant de télécharger quoi que ce soit qui prétend venir d'Adobe, aller dans les Préférences système, onglet FlashPlayer et item Mises à jour.
Là il vous demande si vous voulez vérifier que votre version est up-to-date.
Tester si c'est bon et refuser systématiquement tout ce qui "ressemble" à des MAJ Adobe sur d'autres sites.
C'est un de leur trick aux hackers et je me suis fait avoir une fois: tant pis.
C'est comme l'enfant ou l'animal qui se brûle une première fois en touchant la flamme: il sait qu'il ne doit pas recommencer.
Evidemment quand oncherche qq chose sur Internet on est souvent pressé, on a passé du temps à chercher qq chose et enfin on tombe dessus... et on ne pense pas toujours aux précautions qu'il faut prendre.

Écrit par : Benzebut 22 May 2018, 12:36

Ou plus simple encore, ne plus avoir Flash sur sa configuration !
Plus de problème de mises à jour et cela évite de s'embarrasser de logiciels inutiles, mais alors vraiment de plus en plus inutiles ...

Écrit par : frankie00 22 May 2018, 14:07

On peut se passer de Flash Player ???

Écrit par : peyret 22 May 2018, 14:47

Oui.... Éliminé depuis 1 an environ....

Écrit par : Benzebut 22 May 2018, 19:08

La bonne question serait plutôt de savoir à quoi sert de nos jours Flash Player sur internet ?...

Écrit par : ch21 22 May 2018, 19:39

Ma banque par ex, entre autres…
Tu me diras ça fonctionne avec Chrome (c'est ce que je fais), mais il y a des tas de sites qui nécessitent Flash. Et je n'ai pas forcément envie d'utiliser Chrome pour ces sites…

Écrit par : Benzebut 23 May 2018, 08:53

Etrange... Je dirai surtout qu'il faudra tenter sans Flash. Le site en ligne de ma banque le demandait également, mais depuis que j'ai enlevé cette extension il y a plus d'un an, le site fonctionne quand même. Seul l'affichage est différent, donc j'ai moins de publicités et d'images qui bougent.
Cela fait bien longtemps que je n'ai plus rencontré de sites qui nécessitent spécifiquement Flash et cela me convient parfaitement. Je n'utilise pas Chrome comme navigateur, donc je ne puis dire ce qu'il en est dans les faits.

Écrit par : anonym_d019ede3 25 May 2018, 00:26

Je suis le premier à dire que c'est une daube, je ne parle pourtant pas des justes fausses MAJ du net en version malwares ou autres.

Cependant, pour de vieux sites type administratifs ou de formations pro, il est manifestement encore nécessaire sans autres conditions de choix.

Ça va devenir de plus en plus rare, mais ce type de sites sont toujours à la traine, et on est obligé, si on en a besoin, de faire avec.

Écrit par : frankie00 25 May 2018, 09:25

Petite précision: si DetectX m'a permis de me débarrasser d'un gros problème sur Safari qui bloquait la page d'accueil en la redirigeant systématiquement vers un site pourri sans qu'il soit possible de re-paramétrer (quand je dis gros c'est un euphémisme), 2 points quand même à signaler:
1° Il est bougrement efficace le bougre et c'est tant mieux. Mais il a tendance à vous mettre comme éléments suspects des applis qui ne le sont pas. Donc lui faites pas systématiquement confiance et vérifier avant que c'est pas CleanMyMac qu'il veut jeter et qui sert bien lui. Et il n'y a pas (pas encore) d'élimination sélective de fichiers: dont c'est tout ou rien.. Méfiez-vous quand même!

2° Il est non un shareware mais un graticiel c-a-d qu'il y a un splash screen qui ne dure que 5 secondes à l'ouverture et que vous pouvez éliminer en leur faisant un don de 10€ via PayPal
Comme ils m'ont sacrément dépanné, je crois que je vais le faire: il agit là où MalwareBytes ou Sophos ne semblent pas pouvoir agir.