VIRUS , spybot or not ...

[spike33127]

Bonjour a tous , hier je surfait sur un forum de jeux vidéo et une personne que l'on appelle "troll" à masqué l'url d'une simple photo avec un lien ver un site pornographique .

comme beaucoup de personne je me suis fait avoir mais alors que c'est une simple blague pour les personne sous xp moi j'ai cliqué est la l'enfer c'est produit : je rappelle que je suis sur macOsx 10.5 avec littlesnitch

sans rien touché , j'ai eu un téléchargement d'une pseudo vidéo de 0ko , puis le terminal qui s'ouvre avec des lignes de codes . le tour ichat qui ouvre plein de fenêtres et enfin mail qui commence a écrire des messages et a tout envoyer !!

j'ai coupé mon imac avec le bouton power devant le désastre ! j'ai rien eu d'anormal quand j'ai rallumer mon mac.

Aujourd'hui j'ai reçu des messages sur mon compte youtube de personnes a qui j'aurait envoyer des messages et aussi de la part de youtube lui même avec ce message :

Hi (account),

According to our records, you have been flagged for the following:

Hate Speech/Bullying
Spam/Flooding of other YouTube channels
Massive Advertising
Explicit Copyright Infringement

Your account also appears to be phished and/or flagged by other users with the following IP addresses:

ATTENTION VOICI UN LIEN VERS CE SITE :

(NDM: je vire l'URL)

EDIT
désolé pour le lien les modérateurs c'est inconscient même avec l'avertissement
je peut vous donner le lien en mp si des personnes savent analyser les virus


j'ai peur que l'on puisse acceder a mes données bancaire , a mes comptes gmail ect ..
y a t-il des personnes ayant des connaissances dans le dommaine de la sécurité sur mac

des conseils ?

merci

edit : j'ai une question si je fait une réinstallation , garderai-je mes programmes , ma bibliothèque ituneset iphoto

 

[bompi]

Si tant est que ce que tu racontes n'est pas un canular, je dirais que le plus simple est de reformater son Mac. Puis de récupérer le système à partir de la sauvegarde TimeMachine ou du dernier clone effectué.

 

[Fìx]

Si tant est que ce que tu racontes n'est pas un canular, je dirais que le plus simple est de reformater son Mac. Puis de récupérer le système à partir de la sauvegarde TimeMachine ou du dernier clone effectué.

Tu l'as ouvert aussi bompi?

 

[spike33127]

Non ce n'est pas un canular malheureusement

j'ai un disque dur pour time machine et des sauvegarde de tout mon mac depuis une semaine

comment faire pour restaurer les fichier système , comment faire un réinstallation avec toute mes données ( itunes iphoto mail ect ...)

EDIT : quel sont les dossier a analyser avec clamxav ?

 

[mikatiger]

Pour réinstaller à partir d'une sauvegarde Time Machine, rien de plus simple.
Il te suffit de démarrer sur le DVD d'installation de Mac OS X (en maintenant la touche alt enfoncée au démarrage puis en choisissant le DVD), puis quand tu arrive sur l'écran d'installation tu cliques sur les menus en haut (je crois que c'est Utilitaires) puis Restaurer à partir d'une sauvegarde Time Machine (ou quelque chose dans ces eaux-là, tu ne devrais pas t'y perdre).

Tu sélectionne la date de la sauvegarde, et c'est parti!

 

[spike33127]

merci MIKATIGER

je fait ceci illico , ( c'est la que l'on est content d'avoir un time machine )

je vous donne des news des que c'est fait

merci encore !!

faite remonter l'info car je n'ai JAMAIS vu sa sur mac , surtout avec le logiciel little snitch sensé me protéger des connections à internet

 

[bompi]

1/ ce n'est donc pas un canular
2/ c'est effectivement un peu risqué de mettre le lien directement (d'où ma correction)
3/ non, je n'avais pas cliqué sur le lien
4/ je me demande si nous n'avons pas déjà parlé de ce type de cochonnerie : on charge un codec dans QT et après le ver est dans le fruit ; dans ce cas, il me semble auss qu'il faut alors entrer son mot de passe administrateur ... Évitable, donc.

NB : il y a une semaine j'ai décidé d'enlever mon compte principal des administrateurs ; c'est plus propre, c'est simple ; le système n'a eu qu'un hoquet (Finder rebondissant), et encore je ne suis pas certain du lien de cause à effet.

 

[Anonyme]

NB : il y a une semaine j'ai décidé d'enlever mon compte principal des administrateurs ; c'est plus propre, c'est simple ; le système n'a eu qu'un hoquet (Finder rebondissant), et encore je ne suis pas certain du lien de cause à effet.

J'avais cru comprendre qu'il était nécessaire de créer une session simple usager (en plus de la session administrateur). C'est ce que j'ai fait sur mon imac et je me sers en tant normal de la session "simple usager". Et lorsque je veux lancer onyx, je vais sur ma session administrateur. Or, tu dis, toi, avoir éliminé ta session "administrateur". Mais alors, qui administre ton ordi ? :mouais:

 

[spike33127]

effectivement quicktime c'est lancé , et on ne ma pas demander de mot de passe admin

quand j'ai lancé le disque j'ai donc demandé une restauration a partire du time machine du 19 juin mais quand il me demande le disque à restaurer , à savoir Macintosh et que je clique sur démarrer il m'affiche tout de même un message d'avertissement du genre :

le volume macintosh sera complètement effacé , les donnés utilisateurs seront perdu blabla ...

je garderais mes programmes , ma musique ect ... ? car la sauvegarde TM fait seulement 150go , je doute donc .

 

[pascalformac]

je suis très intrigué
car
oui il y a des tonnes de saloperies ( y compris pour mac OSX ) qui sont masquées sous des propos divers ( besoin de charger tel plug , aide à instal de flash ou autre)

mais sur mac il faut l'accord d'un admi du mac
Après comme dit bompi c'est un ver dans le fruit ( ici la pomme),
parfois dormant ( et qui se reveille par exemple via le chargement d'un fichier supplementaire)
parfois actif en arriere plan et qui fait ce pour quoi qu'il a été programmé
( de blague , dans le meilleur des cas , à verolage -détournement de données persos et réutilisation pour divers actions , dont spam, piratages de comptes etc)

 

[boddy]

On en parle dans l'Accueil MacGé.
C'est un Cheval de troie.

 

[Mac*Gyver]

etonnante cette histoire :eek:

Ca me fait penser aux dernieres actualites MacG qui concernaient des fabricants d'antivirus et autres antibidules pour Mac.

On devrait obliger tout ceux qui ont ecrit un commentaire en fustigeant ces boites (et yen a un paquet) a aller cliquer sur ce fameux lien. Juste pasque'ils faisaient les kékés

 

[Dos Jones]

Curieux que cela se soit produit en cliquant juste sur un lien et sans qu'il y aient des fenêtres intermédiaires… :mouais: :siffle:

 

[boddy]

hier je surfait sur un forum de jeux vidéo et une personne que l'on appelle "troll" à masqué l'url d'une simple photo avec un lien ver un site pornographique .

j'ai cliqué est la l'enfer c'est produit : je rappelle que je suis sur macOsx 10.5 avec littlesnitch

sans rien touché , j'ai eu un téléchargement d'une pseudo vidéo de 0ko , puis le terminal qui s'ouvre avec des lignes de codes . le tour ichat qui ouvre plein de fenêtres et enfin mail qui commence a écrire des messages et a tout envoyer !!

Si, si, il y a eu fenêtre et clique puis PAF

 

[pascalformac]

Rigoler c'est bien , mais il serait utile de comprendre ce qui s'est passé dans ce cas ici
( Apparement ce fut un accès direct au Terminal , ce qui est très intriguant)

--
j'ai de vagues souvenirs de certaines saloperies ( mac) sensées s'activer en profitant de faille de securité

-
Dans la vaste majorité des cas ces malwares n'agissent que parce qu' admi a donné son accord à un moment

( le truc subtil c'est que l'accord a pu etre donné bien avant le chargement de l'élément déclencheur, avec autre chose genre install de codec ou de lecteur de video d'un site)

 

[bompi]

J'avais cru comprendre qu'il était nécessaire de créer une session simple usager (en plus de la session administrateur). C'est ce que j'ai fait sur mon imac et je me sers en tant normal de la session "simple usager". Et lorsque je veux lancer onyx, je vais sur ma session administrateur. Or, tu dis, toi, avoir éliminé ta session "administrateur". Mais alors, qui administre ton ordi ? :mouais:

J'ai, bien entendu, d'autres comptes administrateurs (un avec bash comme shell par défaut, l'autre avec zsh ).
J'ai donc, depuis un admin, enlevé mon compte principal des administrateurs, voilà tout.

 

[Mac*Gyver]

Quelqu'un de calé peut-il dire a Spike (avant qu'il formate son systeme) que verifier pour savoir ce qui est reellement arrivé??

Yaurais pas un rapport des evenments enregistré par MAC OSX a recuperer?

 

[bompi]

J'ai l'impression qu'il n'a pas de clone de son système, sur lequel démarrer et inspecter son disque interne.

 

[imacg5mortel]

Il devrait aussi changer ses mots de passe etc..., formater son système ne va pas le sécuriser complètement.

 

[pascalformac]

s'il y arrive
car le malware a peut etre une action de recup de mot de passe avec dans la foulée changement de celui ci
(du moins sur sites sans " question secrete" un peu sophistiquée)
cette mésaventure est arrivée à un contact ( en PC)