# Infection par Magnipic.info



## prisca22 (21 Décembre 2013)

Bonjour, 

Depuis quelques jours, j'ai remarqué des pop-ups intempestifs et insistants de coupons, pubs et liens sponsorisés en navigant sur Firefox. J'ai essayé de l'éliminer à travers les extensions de Firefox, mais ne l'ai pas trouvé. J'ai Adblock Plus activé. Ce serait un virus ou un malware. En tout cas c'est très agaçant et potentiellement dangereux, j'imagine. 
Je ne sais pas comment je l'ai eu. J'ai visité pas mal de sites commerciaux ces derniers jours pour les dernier cadeaux de Noël, mais toujours des sites connus.

J'ai vu pas mal de tuto pour se débarrasser de ça mais sur PC uniquement.

Merci d'avance pour vos lumières. 

PS : j'ai passé VirusBarrier sans résultat.


----------



## boninmi (21 Décembre 2013)

Tu as fait ça:

MagniPic


?

Dans Firefox, tu as fait Firefox -> Outils -> Modules complémentaires 

et tu as regardé tous les onglets (extensions, plug-ins, ...) ?


----------



## prisca22 (21 Décembre 2013)

Merci pour ta réponse.

C'est ce que j'ai dit : j'ai cherché dans mes extensions, plug-ins, tout les onglets quoi, sans trouver.


----------



## boninmi (21 Décembre 2013)

Firefox -> Préférences -> Contenu -> Bloquer les fenêtre pop up

est coché (sachant que tu peux définir des exceptions) ?

Firefox -> Préférences -> Sécurité -> Prévenir lorsque les sites essaient d'installer des modules complémentaires

est coché ?

etc ...

Si le problème persiste, il faut songer à virer

Maison -> Bibliothèque (fichier caché) -> Préférences -> org.mozilla.firefox.plist

quitte à devoir refaire tes préférences ensuite.


----------



## prisca22 (22 Décembre 2013)

Firefox -> Préférences -> Contenu -> Bloquer les fenêtre pop up est coché (sachant que tu peux définir des exceptions) ?* >>> C'est fait depuis toujours.*

Firefox -> Préférences -> Sécurité -> Prévenir lorsque les sites essaient d'installer des modules complémentaires est coché ? *>>> idem

*Je viens de virer org.mozilla.firefox.plist. Je vais redémarrer et reviens dire le résultat... 

Après redémarrage, les préférences de Firefox restent les mêmes qu'avant d'avoir viré le .plist. J'ai vidé la corbeille et redémarré Firefox encore une fois, mais c'est pareil. Dans la Bibliothèque, la date du .plist est bien celle d'aujourd'hui. Mais malheureusement, ça n'a pas résolu le problème. MagniPic est toujours là.
Par ailleurs, j'ai vu aussi un autre .plist : org.mozilla.firefox.plist.saved si jamais il était intéressant de le virer ???

Une autre idée ?


----------



## pascalformac (22 Décembre 2013)

comme sais tu que c'est un machin magnipic?

en passant firefox c'est un navigateur internet  ce fil sera déplacé vers section internet, p'tete qu'après les fêtes , les modos sont aussi des humains , de chair et de sang 
( surtout de sang )

edit 
et merci d'utiliser les balises de citation , c'est plus clair à la lecture


----------



## prisca22 (22 Décembre 2013)

pascalformac a dit:


> comme sais tu que c'est un machin magnipic?
> 
> en passant firefox c'est un navigateur internet  ce fil sera déplacé vers section internet, p'tete qu'après les fêtes , les modos sont aussi des humains , de chair et de sang
> ( surtout de sang )
> ...



Merci de ta réponse. 
OK pour le déplacement. De toutes les façons, je n'étais pas sûre d'être au bon endroit.

Je sais que c'est magnipic parce que c'est affiché sur le bandeau qui apparaît. J'ai essayé de faire une capture d'écran, mais ne vois pas comment l'inclure ici. Ensuite j'ai essayé un simple copier/coller, mais ça a bogué = trop lourd.  
	

	
	
		
		

		
			





= voici ce que j'ai réussi à copier et coller du bandeau.

Une idée : supprimer addons.mozilla.org des modules complémentaires dans préférences/sécurité/prévenir lorsque les sites... modules complémentaires/exceptions ?

PS : et pour la dernière remarque à propos des balises de citation, il n'y avait qu'une seule personne à me répondre avant que tu n'arrive. Alors je ne pouvais répondre qu'à lui. Maintenant j'ai utilisé les balises...


----------



## pascalformac (22 Décembre 2013)

prisca22 a dit:


> Je sais que c'est magnipic parce que c'est affiché sur le bandeau qui apparaît. J'ai essayé de faire une capture d'écran,


faire des captures partielles ( c'est moins lourd)
et ensuiteheberger en ligne 
il y a d'excellents sites specialisés images  qui en plus ont des outils malins , retaillage , balises pretes pour forums, vignettes  etc
 ( genre imageshack , mais pas eux , eux sont encombrés et y a plein de pub)
perso j'aime bien le sobre tinypic

des posteurs font ca sur sites persos ou nuages persos



> Une idée : supprimer addons.mozilla.org des modules complémentaires dans préférences/sécurité/prévenir lorsque les sites... modules complémentaires/exceptions ?


le hic c'est qu'on ne sait pas comment le bidule est rentré et où il a agit  et comment ( fichiers , scripts masqués)


 ca peut etre que firefox ou niveau session ou niveau OS


> PS : et pour la dernière remarque à propos des balises de citation, il n'y avait qu'une seule personne à me répondre avant que tu n'arrive. Alors je ne pouvais répondre qu'à lui. Maintenant j'ai utilisé les balises...


le forum est aussi pour les autres lecteurs , intervenants ou non, ces jours ci ou dans des mois ou années à venir

car si cette saloperie magnipic.info  se propage beaucoup  sur mac on peut s'attendre  à l'avenir à plein de lectures de ce fil et de tous pays et avec utilisateurs d'autres langues , divers OS etc
et comme sur beaucoup de forums mondiaux la convention est de citer plutot que de faire joujou avec les polices et couleurs  ( pas forcement prises en charge par tous les navigateurs)...


----------



## Locke (22 Décembre 2013)

Curieux ça, c'est typiquement PC, car c'est toujours suite à l'installation d'un logiciel gratuit contenant une option d'installation d'une ToolBar soit disant indispensable.

Ce n'est pas un virus, mais agaçant car ça génère des liens publicitaires non désirés.

Hormis dans le navigateur et ses extensions, pas de trace ailleurs avec SpotLight ?


----------



## pascalformac (22 Décembre 2013)

parfois il est plus rapide et plus simple de ne PAS chercher et de repartir sur des bases saines

il y aurait une facon assez simple de regler la chose si ce n'est que sur firefox de cette session
(probable)

 changer le profile firefox et les prefs firefox et purger le cache firefox

puis sur nouveau profil
remettre les signets de l'ancien profil
reinstaller les extensions à neufs
et basta


----------



## prisca22 (22 Décembre 2013)

@ pascalformac

Bonne idée de passer par les hébergeurs d'images. Mais j'ai réussi à copier le logo de l'horreur quand même.

J'espère que ça ne va se propager chez d'autres sur Mac, mais au cas où, c'est vrai qu'il est bon que tout soit nickel pour la compréhension.

Oui, je ne sais pas comment j'ai attrapé cette saloperie. 

---------- Nouveau message ajouté à 21h27 ---------- Le message précédent a été envoyé à 21h25 ----------




Locke a dit:


> Curieux ça, c'est typiquement PC, car c'est toujours suite à l'installation d'un logiciel gratuit contenant une option d'installation d'une ToolBar soit disant indispensable.
> 
> Ce n'est pas un virus, mais agaçant car ça génère des liens publicitaires non désirés.
> 
> Hormis dans le navigateur et ses extensions, pas de trace ailleurs avec SpotLight ?



Merci pour ta réponse.
Oui, je me suis rendu compte que c'étaient les PC les victimes typiques (comme d'habitude). Je n'ai rien installé de nouveau...

J'ai cherché PARTOUT, avec Spotlight, et sans (recherche simple), sans trouver trace de la chose sur mon Mac. 

---------- Nouveau message ajouté à 21h34 ---------- Le message précédent a été envoyé à 21h27 ----------




pascalformac a dit:


> parfois il est plus rapide et plus simple de ne PAS chercher et de repartir sur des bases saines
> 
> il y aurait une facon assez simple de regler la chose si ce n'est que sur firefox de cette session
> (probable)
> ...



J'ai renoncé à trouver la chose sur mon Mac. J'ai passé Virus Barrier (j'ai mis 2  jours car ça boguait au niveau d'un fichier - bug connu chez VB), mais  suis arrivée au bout. J'ai passé Onyx partout aussi, sans résultat.

Que veux-tu dire par changer le profil de firefox ? Comment faire ? ainsi que remettre les signets etc de l'ancien... ?


----------



## Moonwalker (22 Décembre 2013)

Comment tu l'as attrapé ? En l'installant, banane. 

Y'a rien qui s'installe sur ton Mac à l'insu de ton plein gré.

Firefox : barre de menu > Afficher tous les marques pages

Dans la fenêtre, t'as un bouton en forme d'étoile. Tu sauvegardes tes marques pages, ou tu les exportes en html.

Tu fermes Firefox.

~/Library/Application Support/Firefox/Profiles/xxxxxx.default

Dans la corbeille.

Tu relances Firefox. Même chemin, tu récupères/réimportes tes marques pages.

Au cas ou ton truc serait encore là, tu vas faire un tour dans ~/Library/Application Support/Mozilla/Extensions ou /Library/Application Support/Mozilla/Extensions

NB : ~/Bibliothèque est celle de ta session et /Bibliothèque est le répertoire commun.


----------



## pascalformac (23 Décembre 2013)

prisca22 a dit:


> Que veux-tu dire par changer le profil de firefox ? Comment faire ? ainsi que remettre les signets etc de l'ancien... ?


c'est expliqué sur le web dont dans l'aide firefox

globalement c'est simple 
ca revient à dégager les données firefox de cette session ( pas l'appli)
et relancer firefox qui s'ouvre comme  à la premiere utilisation sur cette session
(car au sens strict c'est une premiere utilisation, y a plus l'ancien profil et données annexes )

et à partir de là on re regle on reinstalle des extensions
 on remet les signets ( seule chose importante , l'historique c'est secondaire, soit en remet le fichier soit en important)


----------



## Polo35230 (23 Décembre 2013)

Je viens mettre mon grain de sel...
Je ne sais pas quel VirusBarrier tu as, mais si c'est VB X6, tu pourrais en profiter pour voir ce qui se passe quand les pop-ups apparaissent.
Dans VB, tu ouvres les historiques, tu sélectionnes "Réseau", "Mode Expert", "Afficher: Tous". Les connexions réseaux s'affichent alors en temps réel.
Ensuite, à chaque fois que tu as un pop-up, tu regardes s'il y a des connexions sortantes. Si tu remarques qu'à chaque fois il y a une connexion sortante vers la même adresse destination, dans l'historique, clique droit sur cette adresse, et fait "ajouter aux adresses bloquées".

Autrement, quand la fenêtre pop-up s'affiche, tu peux aussi relever le nom de domaine dans la barre d'outils, et dans VB, "Surf", "Filtre de bannières publicitaires", rajoute le dans les sites bloqués.
On pourrait aussi rajouter une règle dans le firewall interne du Mac.

Bien sûr, mon raisonnement tient la route uniquement s'il y a des connexions sortantes.
Il ne te débarrassera pas du Malware (ce qui serait quand même mieux), mais il ne sera plus actif.


----------



## prisca22 (23 Décembre 2013)

Polo35230 a dit:


> Je viens mettre mon grain de sel...
> Je ne sais pas quel VirusBarrier tu as, mais si c'est VB X6, tu pourrais en profiter pour voir ce qui se passe quand les pop-ups apparaissent.
> Dans VB, tu ouvres les historiques, tu sélectionnes "Réseau", "Mode Expert", "Afficher: Tous". Les connexions réseaux s'affichent alors en temps réel.
> Ensuite, à chaque fois que tu as un pop-up, tu regardes s'il y a des connexions sortantes. Si tu remarques qu'à chaque fois il y a une connexion sortante vers la même adresse destination, dans l'historique, clique droit sur cette adresse, et fait "ajouter aux adresses bloquées".
> ...



Merci de ton grain de sel 

J'ai effectivement VB X6. J'ai fait ce que tu as suggéré, mais malheureusement, il ne semble pas que le site s'affiche dans les connections sortantes. Il y en a plein, mais en recherchant ce qu'ils sont, il apparaît qu'il s'agit de services d'hébergement comme Akamai Technologies, netDNA, Google, etc... :-(

---------- Nouveau message ajouté à 16h40 ---------- Le message précédent a été envoyé à 16h27 ----------




Moonwalker a dit:


> Comment tu l'as attrapé ? En l'installant, banane.
> 
> Y'a rien qui s'installe sur ton Mac à l'insu de ton plein gré.
> 
> ...



J'ai essayé de faire comme tu m'as indiqué. Sauf que, en virant xxxx.default (le dossier entier) je ne peux plus ouvrir firefox. Je suis allée dans la Bibliothèque de ma Maison.


----------



## Polo35230 (23 Décembre 2013)

Et dans la fenêtre pop-up, tu vois l'url?
Sinon, si tu ne la vois pas, clique sur la fenêtre, et sans le menu "présentation" de Safari, fait "Afficher la barre d'outil". 
Si Frefox: Affichage--Barre d'outis---afficher la barre de navigation
Après, ce sera facile de mettre un filtre dans VB


----------



## pascalformac (23 Décembre 2013)

prisca22 a dit:


> Sauf que, en virant xxxx.default (le dossier entier) je ne peux plus ouvrir firefox. Je suis allée dans la Bibliothèque de ma Maison.


t'es sûr de ca???

tout semble indiquer que tu t'es gourré de biblio
 et t'es allé dans application support de la biblio de l'OS


----------



## prisca22 (23 Décembre 2013)

Je remarque que j'ai aussi des pop-ups "Best Coupon" et "SaveKeep".


----------



## Moonwalker (23 Décembre 2013)

pascalformac a dit:


> t'es sûr de ca???
> 
> tout semble indiquer que tu t'es gourré de biblio
> et t'es allé dans application support de la biblio de l'OS



Sauf qu'il n'y a pas de dossier Firefox par là. On n'est pas sur Spy-chrome. 

Pour FF, ils ont visiblement compliqués les choses. :mouais:

Laisse le dossier en place ne vire que le contenu (perso je sélectionne tous le contenu [cmd A] et je créé un dossier dans lequel je mets le tout).


P.S. : 11111e message:bebe:


----------



## pascalformac (23 Décembre 2013)

je vois pas la complication dont tu parles
je viens de tester en 10.9
  (sur un compte annexe )
  la manip  usuelle de nettoyage de session FF ( deplacer virer plist ,caches et application support FF)

j'ai relancé , et hop nouveau profil


donc dans le cas de prisca y a une anomalie en sup


----------



## Moonwalker (23 Décembre 2013)

pascalformac a dit:


> je vois pas la complication dont tu parles
> je viens de tester en 10.9
> (sur un compte annexe )
> la manip  usuelle de nettoyage de session FF ( deplacer virer plist ,caches et application support FF)
> ...


Fais aussi : ça ne repart pas. Il demande le dossier de profile.

Ah! Je n'ai pas touché aux plist ni aux caches parce que je veux conserver les réglages. Sans doute là est la différence.

Bon, pas grave, il suffit de conserver le dossier xxxxx.default et de virer son contenu qui sera remplacé.


----------



## prisca22 (23 Décembre 2013)

pascalformac a dit:


> t'es sûr de ca???
> 
> tout semble indiquer que tu t'es gourré de biblio
> et t'es allé dans application support de la biblio de l'OS



Eh ben, oui, je suis sûre d'être allée  dans la bonne biblio, rendue visible avec ALT. Je suis allée depuis dans la biblio de mon iMac, et effectivement, comme a dit Moonwalker, il n'y a pas de dossier Firefox, mais Mozilla, sauf qu'en en regardant dedans, rien qui puisse aider.

Autre idée, et si je supprimais les cookies ?


----------



## pascalformac (23 Décembre 2013)

m'enfin nettoyer firefox  d'une session c'est pas compliqué , il suffit de tout dégager  *tout* qui s'y rapporte  dans la biblio et de relancer

et sauf anomalie tout rentre dans l'ordre
d'ailleurs c'est simple
va sur une autre session et là tu veras que  le  feufeu  sera sans aucun magnitruc bidule


----------



## prisca22 (23 Décembre 2013)

Moonwalker a dit:


> Sauf qu'il n'y a pas de dossier Firefox par là. On n'est pas sur Spy-chrome.
> 
> Pour FF, ils ont visiblement compliqués les choses. :mouais:
> 
> ...



WAOU, tu es devenu Vénérable Sage. Respects 

---------- Nouveau message ajouté à 19h51 ---------- Le message précédent a été envoyé à 19h50 ----------




pascalformac a dit:


> m'enfin nettoyer firefox  d'une session c'est pas compliqué , il suffit de tout dégager  *tout* qui s'y rapporte  dans la biblio et de relancer
> 
> et sauf anomalie tout rentre dans l'ordre
> d'ailleurs c'est simple
> va sur une autre session et là tu veras que  le  feufeu  sera sans aucun magnitruc bidule



Comment dégager tout dans la biblio ?

J'ai trouvé un cookie magnipic.info que j'ai viré mais ça n'a rien changé.


----------



## pascalformac (23 Décembre 2013)

mais c'est TRES simple
dossier application support/ firefox
caches/ firefox
preferences/  firefox et  celles des extensions si elles en placent là ( rare)

et hop 
ton ff est comme neuf


----------



## prisca22 (23 Décembre 2013)

pascalformac a dit:


> mais c'est TRES simple
> dossier application support/ firefox
> caches/ firefox
> preferences/  firefox et  celles des extensions si elles en placent là ( rare)
> ...



Je n'ai pas trouvé firefox caches ni firefox preferences...    Dans le dossier Firefox, j'ai Crash Reports et Profiles (qui contient le dossier xxxxxxx.default).


----------



## boninmi (23 Décembre 2013)

Pas de org.mozilla.firefox.plist dans les Preferences ?


----------



## prisca22 (23 Décembre 2013)

boninmi a dit:


> Pas de org.mozilla.firefox.plist dans les Preferences ?



Si, dans préferences oui. Je l'ai déjà viré (cf. la réponse à ton message, le n° 4, ma réponse le n° 5) sans changement.


----------



## pascalformac (24 Décembre 2013)

prisca22 a dit:


> Je n'ai pas trouvé firefox caches ni firefox preferences...    Dans le dossier Firefox, j'ai Crash Reports et Profiles (qui contient le dossier xxxxxxx.default).


je n'ai jamais parlé de _firefox caches_ ni de _ firefox preferences_


j'ai parlé du dossier firefox dans le dossier Caches

maison/bibliotheque/Caches/Firefox

et des preferences firefox dans le dossier Preferences
maison/bibliotheque/Preferences/org.mozilla.firefox.plist

---------- Nouveau message ajouté à 09h54 ---------- Le message précédent a été envoyé à 09h43 ----------




Antik a dit:


> Hélas pour Prisca, je ne viens pas avec une solution à ce problème, je partage plutôt un souci du même genre mais il y a un truc que je ne comprends pas dans ce fil pourquoi cette relation directe Pop up = spyware ?
> J'ai tout réglé le Feufeu (mignon) comme Prisca et j'ai malgré ça des pop up; les mêmes qui reviennent, même en virant les cookies !
> Perso je crains que, comme pour le spam de nos messageries, les superwebmarketeurs trouvent des parades pour franchir les obstacles. Supposition Peut-être qu'on va avoir des réponses, allez savoir


dans ce fil , le cas de prisca est manifestement un malware ( le bandeau magnitrucbidule, et magnitruc bidule est classé saloperie)

dans d'autres cas effectivement  le webmaster peut avoir  trouvé une parade ( par exemple un javascript malin)

c'est toujours le même topo
un outil est développé
des ""gens""  y trouvent une faille , le developpeur corrige, des ""gens ""trouvent une autre faille ,le developpeur corrige,  et on recommence


----------



## prisca22 (24 Décembre 2013)

pascalformac a dit:


> je n'ai jamais parlé de _firefox caches_ ni de _ firefox preferences_
> 
> 
> j'ai parlé du dossier firefox dans le dossier Caches
> ...



Pascal, si tu regardes la manière dont ton post d'avant est écrit, on pourrait très bien penser à ce que j'ai dit : firefox caches et firefox preferences. Cela dit, j'ai bien trouvé le dossier Caches qui contient un dossier Firefox à l'intérieur duquel se trouve un autre dossier Profiles (qui n'a rien dedans). Je vire Profiles alors ?
Aussi, j'ai déjà viré dans le dossier Preferences le fichier ... plist, sans résultat (cf messages 4, 5 et 28).


----------



## pascalformac (24 Décembre 2013)

mais pourquoi tu te compliques la vie?
j'ai déjà donné la manip 
on repete

*dossiers
* application support/ *firefox*
caches/ *firefox*

et les prefs
maison/bibliotheque/Preferences/*org.mozilla.firefox.plist*


----------



## lamainfroide (24 Décembre 2013)

Bonjour,

oserais-je suggérer de supprimer purement et simplement Firefox (avec une appli du genre AppZapper qui supprimera aussi les fichiers connexes) et de le réinstaller ?

En effet, si le dossier ~/Bibliothèque/Application Support/Firefox/Profiles/xxxx.default a déjà été viré alors les fichiers les plus importants (à mes yeux en tout cas) que sont les bookmarks (places.sqlite) et les mots de passes (key3.db et signons.sqlite) de firefox sont perdus.
Autant repartir sur du neuf, non ?

Me goures-je ?

Et là on verra bien si le magnipic fait encore des siennes.


----------



## prisca22 (24 Décembre 2013)

pascalformac a dit:


> mais pourquoi tu te compliques la vie?
> j'ai déjà donné la manip
> on repete
> 
> ...



Désolée d'être si obtuse, mais je préfère poser la question 10 fois plutôt que de me planter.
Je vire donc :
1) dans Application support >> le dossier Firefox ? Si je fais ça, je ne pourrais plus ouvrir Firefox, comme j'ai déjà essayé de virer dans ce même dossier Firefox >> dossier Profiles >>le dossier xxxxx.default
2) dans Caches (qui n'est pas dans app. support) virer le dossier Firefox ?
3) dans Preferences... le fichier org.mozilla.firefox.plist que j'ai déjà viré mais que je veux bien re-virer.


----------



## Moonwalker (24 Décembre 2013)

lamainfroide a dit:


> Bonjour,
> 
> oserais-je suggérer de supprimer purement et simplement Firefox (avec une appli du genre AppZapper qui supprimera aussi les fichiers connexes) et de le réinstaller ?
> 
> ...



AppZapper & Co tu n'en parles pas ici. Ok ? C'est caca ! 

Si on déplace ~/Library/Application Support/Firefox il repart de zéro.


----------



## prisca22 (24 Décembre 2013)

lamainfroide a dit:


> Bonjour,
> 
> oserais-je suggérer de supprimer purement et simplement Firefox (avec une appli du genre AppZapper qui supprimera aussi les fichiers connexes) et de le réinstaller ?
> 
> ...



On ne peut pas virer ~/Bibliothèque/Application Support/Firefox/Profiles/xxxx.default. Ou bien, si, mais après on ne peut plus ouvrir Firefox. Je l'avais viré, mais l'ai récupéré dans la corbeille après m'en être rendue compte. On me disait de virer le dossier en question après avoir copié et exporté les marque pages dans un autre emplacement.


----------



## pascalformac (24 Décembre 2013)

prisca22 a dit:


> On ne peut pas virer ~/Bibliothèque/Application Support/Firefox/Profiles/xxxx.default. O


faux

et j'ai déjà dit  pour une remise au net il faut virer *TOUT* le dossier
~/Bibliothèque/Application Support/*Firefox*/

il y a déjà mille et un fils là dessus


----------



## Moonwalker (24 Décembre 2013)

pascalformac a dit:


> faux
> 
> et j'ai déjà dit  pour une remise au net il faut virer *TOUT* le dossier
> ~/Bibliothèque/Application Support/*Firefox*/
> ...



Et j'ajoute qu'on peut virer le contenu de xxxxx.default car si le dossier lui même pose problème, ce qu'il renferme sera réécrit de neuf.


----------



## pascalformac (24 Décembre 2013)

Moonwalker a dit:


> Et j'ajoute qu'on peut virer le contenu de xxxxx.default car si le dossier lui même pose problème, ce qu'il renferme sera réécrit de neuf.




et  j' ajoute ,mesdames et messieurs, puisque c'est noel on est génereux
que techniquement on peut virer n'importe quel element d'une bibliotheque de compte utilisateur  sans que ca  n'empêche l'ouverture d'une application
c'est même le plus souvent LA grande  technique de reset

( voir  sur le web les milliers de sujets sur réparation de couac  d' une appli dans une session , dont... quelques centaines sur firefox)


----------



## Moonwalker (24 Décembre 2013)

pascalformac a dit:


> et  j' ajoute ,mesdames et messieurs, puisque c'est noel on est génereux
> que techniquement on peut virer n'importe quel element d'une bibliotheque de compte utilisateur  sans que ca  n'empêche l'ouverture d'une application
> c'est même le plus souvent LA grande  technique de reset
> 
> ( voir  sur le web les milliers de sujets sur réparation de couac  d' une appli dans une session , dont... quelques centaines sur firefox)



Et on te dit tous les deux que xxxxx.default fout la merde avec FF 26 sur Mavericks. Si tu l'enlèves, FF 26 ne fonctionne plus.

Mais toi y'en a pas vouloir comprendre.


----------



## pascalformac (24 Décembre 2013)

je m'auto cite ( post 20)



> je viens de tester en 10.9
> (sur un compte annexe )
> la manip  usuelle de nettoyage de session FF ( deplacer virer plist ,caches et application support FF)
> 
> j'ai relancé , et hop nouveau profil


----------



## Moonwalker (24 Décembre 2013)

pascalformac a dit:


> je m'auto cite ( post 20)



Je ne mets pas en doute. Virer ~/Library/Applications Support/Firefox fait le ménage.

Mais virer simplement le dossier xxxx.default pose problème.

Dans le temps, c'est-à-dire à l'époque de FF 3.x, quand ils n'enfermaient pas les bookmarks dans une putain de base sqlite, ce n'était pas le cas. Tu le virais, il t'en écrivait un autre tout neuf.


----------



## pascalformac (24 Décembre 2013)

c'est simple soit ce machin( de l'ordre du trojan)  n'a agi que niveau ff local 
et en ce cas tout virer niveau local  résoud
soit ce bidule s'est aussi glissé ailleurs ( niveau OS ou ailleurs dans la session , un truc masqué dans internet plugin ou planqué en invisible , va savoir) et ce sera plus coton

on ne sait toujours pas ce que donne un test autre session
( je parie sur OK si ce machin n'est pas trop vicelard)


----------



## Moonwalker (24 Décembre 2013)

Mouai

Je commence à douter de la nature de l'affaire.

J'ai fait quelques recherches et ce machin est un truc à Windows. Aucune trace sur Mac. Firefox, ok, mais si on fait un ménage total, il n'y a pas de raison logique qu'on le retrouve encore là.


----------



## pascalformac (24 Décembre 2013)

Moonwalker a dit:


> J'ai fait quelques recherches et ce machin est un truc à Windows. Aucune trace sur Mac. Firefox, ok, mais si on fait un ménage total, il n'y a pas de raison logique qu'on le retrouve encore là.


rien vu sur mac non plus
mais prisca n'est pas vraiment de la catégorie " troll qui vient faire mumuse , un jour d'ennui"
( classique de fête et vacances)

et il y a le descriptif du post 7 qui est intriguant ( avec la capture peu éclairante)


----------



## Moonwalker (24 Décembre 2013)

pascalformac a dit:


> rien vu sur mac non plus
> mais prisca n'est pas vraiment de la catégorie " troll qui vient faire mumuse , un jour d'ennui"
> ( classique de fête et vacances)
> 
> et il y a le descriptif du post 7 qui est intriguant ( avec la capture peu éclairante)



Je ne dis pas qu'il fantasme mais je soupçonne maldonne sur la nature du problème.

Tu prends Firefox, tu le passes à la corbeille. Tu fais le ménages dans les dossiers indiqués, voire dans les plug-ins internet si t'es parano.

Tu télécharges un FF tout neuf sur le site de Mozilla et ça ne devrait plus être là.

Et puis surtout : il n'y a rien qui s'installe par inadvertance sur un Mac. Même si c'est une extension FF on lui a permis de s'installer.


----------



## boninmi (24 Décembre 2013)

prisca22 a dit:


> Désolée d'être si *obtuse*





Moonwalker a dit:


> Je ne dis pas qu'*il* fantasme



Elle.


----------



## Polo35230 (25 Décembre 2013)

Je reviens (lourdement) mettre mon grain de sel... 
Pas simple de se débarrasser d'un malware, mais dans certains cas, on peut quand même essayer d'en limiter les effets.
J'en reviens au pop-ups; En partant du principe q'on peut voir l'URL (ou les URL) dans la barre d'adresse de ces pop-ups, on peut, avec VB X6 bloquer les échanges avec ces sites.
Donc, plus de pop-ups, et peut-être plus de portes d'entrées aussi. On aura alors un malware dormant.

Mais bien sûr qu'il faut s'en débarrasser, et là, sur ce fil, j'ai confiance, il y a les compétences qu'il faut. 
Joyeux Noël à tous!


----------



## Polo35230 (25 Décembre 2013)

Antik a dit:


> Ad6media, régie publicitaire au CPM
> Reste à bloquer ça !


Pour interdire tout échange avec le nom de domaine ad6media.fr, tu as plusieurs solutions.

Soit tu as un firewall du marché, et tu pourras interdire les échanges directement avec ce nom de domaine. C'est la solution la plus simple que pourrait utiliser prisca22 avec VB X6.

Tu peux aussi modifier ton fichier hosts en rajoutant une llgne pour envoyer ad6media.fr sur la boucle locale.

Tu peux également utiliser le firewall interne du Mac en interdisant tout échange avec l'adresse (ou les adresses) IP du site ad6media.fr
Pour cela, dans une fenêtre Terminal, il faut taper la commande:
nslookup ad6media.fr
Tu verras qu'il n'y a qu'une seule adresse: 94.143.115.209
Il faudra alors rajouter une règle dans le firewall du Mac.
Dans une fenêtre Terminal, taper la commande :
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100)
Ensuite, taper la commande ci-dessous pour interdire toute comm avec le ad6media.fr
sudo ipfw add 100 deny ip from 94.143.115.209 to any
Si par la suite, tu veux enlever la règle qui correspond à la ligne 100, il faut faire:
sudo ipfw delete 100


----------



## Moonwalker (26 Décembre 2013)

Comme l'impression que vous allez finir par suggérer une frappe nucléaire préventive.


----------



## Polo35230 (26 Décembre 2013)

Moonwalker a dit:


> Comme l'impression que vous allez finir par suggérer une frappe nucléaire préventive.




La prochaine étape, c'est un filtre sur 0.0.0.0/0
Avec ça, plus d'internet, plus de pb...


----------



## Polo35230 (27 Décembre 2013)

Antik a dit:


> Question : Est-ce qu'un hébergeur peut bloquer la réception de certains noms de domaines vers une machine ? (encore une question de Newbie qui risque d'ouvrir un autre sujet ?)


Ce serait plus juste de dire qu'un hébergeur peut empêcher tout type de communication entre deux entités au travers de filtres ou de règles.
Mais oui, il le peut. Ça s'appelle la censure...
Elle peut s'appliquer sur des noms de domaine, de sous-domaines, d'URL (partielles ou complètes), mais aussi sur des adresses IP ou un ensemble d'adresses IP.



Antik a dit:


> Ce que tu proposes confirmerait que d'activer le coupe-feu (préf/sécurité) d'OsX ne serait pas utile ?


A vrai dire, tout dépend...
Je ne sais pas quel OS tu as, mais sous Snow Leopard, à partir de l'interface graphique du Firewall du Mac, tu ne peux contrôler que les connexions entrantes (c'est à dire venant du web). C'est déjà bien, mais ce n'est pas suffisant...
Quand tu te connectes à un site web, c'est une connexion sortante qui est utilisée pour mettre en relation le client et le serveur. Mais la page que le site web t'envoie contient (potentiellement) des liens qui établissent également des connexions sortantes vers d'autres sites. Parmi ces connexions, il peut y avoir des liens avec des sites commerciaux, mais aussi des sites potentiellement dangereux.
C'est là que le firewall du mac (celui qui est accessible par l'interface graphique) est limité.
C'est là aussi (pour ceux qui veulent tout maîtriser) tout l'intérêt d'avoir un vrai firewall du genre LittleSnitch ou VirusBarrier X6. C'est la meilleure solution, mais elle demande un minimum d'investissement...
Après, via le Terminal et la commande ipfw, on peut tout faire, mais c'est un peu hermétique...



Antik a dit:


> Pas sûr d'opter pour entrer dans Terminal; des manip ésotériques pour mon cerveau. (Comme je l'ai expliqué ailleurs à Maître Moon, j'ai le cerveau gauche un peu faiblard&#8230.


Même quelqu'un qui a le cerveau droit extrêmement développé peut appréhender le fonctionnement d'une commande du Terminal.
L'hémisphère droit dit:
"Faut faire quelque chose pour empêcher mon Mac de causer avec ad6media.fr, mais chais pas" (là, l'hémisphère droit se sous-estime le plus souvent ou il veut pas...).
Il refile alors le bébé à l'hémisphère gauche qui lui répond:
"Pas besoin de réfléchir, c'est facile, lis ce qu'il y a là dessous!"
Le firewall interne du Mac se compose d'une liste de règles qui sont exécutées dans l'ordre séquentiel, de 1 à 65000. Par défaut, il n'y a qu'une seule règle (la 65535 allow ip from any to any) qui fait du firewall une vraie passoire). Devant cette ligne, on va donc rajouter la ligne 100 pour filtrer les comms vers ad6media.fr
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100 au cas ou...)
Ensuite, on tape la commande ci-dessous pour interdire toute comm avec le ad6media.fr
sudo ipfw add 100 deny ip from 94.143.115.209 to any
Si par la suite, on veut rétablir les comms vers ad6media.fr, on fait:
sudo ipfw delete 100


----------



## Moonwalker (28 Décembre 2013)

Si tu veux jouer avec IPFW, il y a ce logiciel qui lui donne une interface graphique : Waterroof.

A noter que depuis Lion, on dispose de l'autre merveille du monde BSD, Packet Filter. Il dispose lui aussi d'un logiciel pour en permettre un emploi plus aisé : IceFloor


Little Snitch c'est effectivement très bien pour couper court aux trucs pas désirés.


----------



## lamainfroide (30 Décembre 2013)

Moonwalker a dit:


> AppZapper & Co tu n'en parles pas ici. Ok ? C'est caca !



Et moi je promets pour la nouvelle année de ne plus parler d'AppZapper & Co.

Oups, j'en ai parlé, je sors.

PS : Ah non, désolé, je sors pas encore, on est toujours en 2013.

En attendant, I will take a walk on the wild side.
Tou toulou toulou toutoulou tou toulou toulou toutouloutouuuu.


----------



## prisca22 (30 Décembre 2013)

boninmi a dit:


> Elle.



 en effet...


----------



## prisca22 (30 Décembre 2013)

Polo35230 a dit:


> Ce serait plus juste de dire qu'un hébergeur peut empêcher tout type de communication entre deux entités au travers de filtres ou de règles.
> Mais oui, il le peut. Ça s'appelle la censure...
> Elle peut s'appliquer sur des noms de domaine, de sous-domaines, d'URL (partielles ou complètes), mais aussi sur des adresses IP ou un ensemble d'adresses IP.
> 
> ...



Pendant quelques jours, je n'ai pas eu de notification de messages ici : j'ai présumé que tout le monde était en famille... Et non ! Je n'ai pas suivi tout ça, mais il me semble qu'il faudrait éliminer communication avec cette ad6media.fr. Est-ce bien ça ?

Par ailleurs, j'ai trouvé ces infos au sujet de ce malware.
*Whois Record*

                                                                                                                                                                                                                                                                                                                                                                                        Reverse Whois:
*                     "Whois Proof LLP"                                                 owns about31,562 other domains *

                                NS History:
                 2                changes                         on                          3                              unique name                 servers                 over                                    1                                   year.         

                       IP History:
                 7                 changes             on                          6                         unique IP addresses over                          1             years.         

                       Whois History:
                 9                records              have             been archived             since             2012-12-31            .         

                             Reverse IP:
                 532 other sites             hosted on this server.         






Join DomainTools to start monitoring this domain name              




              Preview the complete Domain Report for magnipic.info 





Domain ID48821604-LRMS
Domain Name:MAGNIPIC.INFO
Created On:30-Dec-2012 13:45:19 UTC
Last Updated On:21-Nov-2013 06:03:23 UTC
Expiration Date:30-Dec-2013 13:45:19 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:5d517dbb3c0ebe13
Registrant Name:Whois Manager
Registrant Organization:Whois Proof LLP
Registrant Street1O Box 4120
Registrant Street2:
Registrant Street3:
Registrant Cityortland
Registrant State/Province:OR
Registrant Postal Code:97208-4120
Registrant Country:US
Registrant Phone:+1.2024700599
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:


Admin ID:5d517dbb3c0ebe13
Admin Name:Whois Manager
Admin Organization:Whois Proof LLP
Admin Street1O Box 4120
Admin Street2:
Admin Street3:
Admin Cityortland
Admin State/Province:OR
Admin Postal Code:97208-4120
Admin Country:US
Admin Phone:+1.2024700599
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:


Billing ID:5d517dbb3c0ebe13
Billing Name:Whois Manager
Billing Organization:Whois Proof LLP
Billing Street1O Box 4120
Billing Street2:
Billing Street3:
Billing Cityortland
Billing State/Province:OR
Billing Postal Code:97208-4120
Billing Country:US
Billing Phone:+1.2024700599
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:


Tech ID:5d517dbb3c0ebe13
Tech Name:Whois Manager
Tech Organization:Whois Proof LLP
Tech Street1O Box 4120
Tech Street2:
Tech Street3:
Tech Cityortland
Tech State/Province:OR
Tech Postal Code:97208-4120
Tech Country:US
Tech Phone:+1.2024700599
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:


Name Server:HANK.NS.CLOUDFLARE.COM
Name Server:ERIN.NS.CLOUDFLARE.COM
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
Name Server: 
DNSSEC:Unsigned

​

Mais surtout ça : 
*Server Data*

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            Server Type:
         cloudflare-nginx

                        IP Address:
108.162.196.251 Reverse-IP |             Ping |             DNS Lookup |             Traceroute 

                        Whois Server:
         whois.afilias.net

                                        ASN:





                 AS13335                CLOUDFLARENET - CloudFlare, Inc.                (registered Jul 14, 2010)             

                                            IP Location:





                 - New York                - New York City                - Cloudflare Inc.            

                           Response Code:
         200

                       Domain Status:
         Registered And Active Website

Croyez-vous que ça puisse être intéressant comme info ? Si l'adresse IP est celle affiché, je pourrais la bloquer avec VB. Je vais essayer de ce pas.

Zut, de chez Zut ! Il y a eu une mise à jour aujourd'hui sur mon Mac et le système est passé à 10.9.1 et du coup VB ne fonctionne plus ! Je viens de leur demander s'ils ont une m-à-j?


----------



## Polo35230 (30 Décembre 2013)

prisca22 a dit:


> Je n'ai pas suivi tout ça, mais il me semble qu'il faudrait éliminer communication avec cette ad6media.fr. Est-ce bien ça ?


Non, ad6media.fr est le souci d'Antik. C'est une simple, et pas dangereuse régie publicitaire appelée par certaines pages web et générant des pop-ups. Mais la méthode pour interdire les accès vers ce site est la même que pour toi...

Quand tu auras récupéré VB, tu pourras effectivement interdire toute comm avec magnipic.info en filtrant dans VB sur le nom de domaine magnipic.info.
Filtrer sur l'adresse IP 168.162.196.251 peut marcher, mais possible aussi qu'il y ait plusieurs adresses. Donc, le nom de domaine est mieux.
Regarde aussi le post#14 pour relever aussi les nom des domaines des fenêtres pop-ups.
Il faudra aussi les filtrer dans VB.

Ca ne supprimera pas le malware, mais il n'y aura plus de comms vers les sites distants.

l


----------



## Polo35230 (31 Décembre 2013)

Finalement, peut-être Adblock aurait suffit...


----------



## prisca22 (2 Janvier 2014)

Polo35230 a dit:


> Finalement, peut-être Adblock aurait suffit...



J'ai Adblock...


----------



## Moonwalker (2 Janvier 2014)

prisca22 a dit:


> J'ai Adblock...



Mouai, mais as-tu les bons filtres ?


----------



## prisca22 (7 Janvier 2014)

Moonwalker a dit:


> Mouai, mais as-tu les bons filtres ?



Quels filtres ? Je viens de mettre à jour les filtres généraux. Connais-tu d'autres à ajouter ?

Par ailleurs, j'ai fini par pouvoir mettre mon Virus Barrier à jour. Je l'ai passé sur mon DD. Résultat, un élément a été retrouvé que j'ai mis en quarantaine pour pouvoir vous en parler. I s'agit d'une application paraît-il se trouvant dans Bibliothèque > Frameworks > GenieoExtra.framework > Contents > MacOs >* Application* (dont l'icône ressemble à celui de Terminal).

Depuis VB, MagniPic n'invahit plus le bas de mon écran, mais reste plus ou moins discret (énervant quand même) en bas et à gauche de mon écran sans faire de pop-up. C'est marqué "Connecté à content.magnipic.info...". J'ai essayé de cliquer dessus mais il se réfugie de l'autre côté de l'écran. Donc pas cliquable.
Maintenant j'ai un autre bandeau de pop-up (il était là avec magnipic aussi mais comme magnipic était tellement plus envahissant, je n'en ai parlé qu'en passant). En cliqnant sur "i", ça donne "Powered by Best Coupon". Il y a un autre bouton qui permet de suspendre ce pop-up sur le site qu'on est en train de consulter pendant 1 heure, 1 jour, 1 semaine, ou toujours. Je clique évidemment sur toujours. Mais à chaque site consulté, je suis obligée de passer par là.
Je reste quand même infectée par cette M---- ! 

Aussi, le nouveau VB n'a plus l'air de donner accès à des blocages d'IP en particulier. Il n'affiche que 2 onglets = Analyser et Quarantaine.


----------



## Moonwalker (7 Janvier 2014)

Je penses que tu as trouvé le troublions.

The Safe Mac » Malicious Genieo installers persist

The Safe Mac » Adware Removal Guide : Genieo

Et je vais le redire ici :


Ne téléchargez Flashplayer que sur le site d'Adobe.


Voilà le bon lien : Adobe - Installer Adobe Flash Player

Mettez-le dans vos signez et quand on vous demande de télécharger Flash n'utilisez que celui-là.


----------



## prisca22 (7 Janvier 2014)

Moonwalker a dit:


> Je penses que tu as trouvé le troublions.
> 
> The Safe Mac » Malicious Genieo installers persist
> 
> ...



Je pense n'avoir jamais installé FlashPlayer autrement qu'à partir du site d'Adobe... En tout cas, j'ai désinstallé le FlashPlayer présent et réinstallé la chose à partir du site d'Adobe.

Mais le bêtes sont toujours là.


----------



## Moonwalker (8 Janvier 2014)

prisca22 a dit:


> Je pense n'avoir jamais installé FlashPlayer autrement qu'à partir du site d'Adobe... En tout cas, j'ai désinstallé le FlashPlayer présent et réinstallé la chose à partir du site d'Adobe.
> 
> Mais le bêtes sont toujours là.



Les "bêtes" ne s'installent pas toutes seules. Mais bon, c'est ta machine, c'est ton problème.

Sur les liens que j'ai donné, t'as les instructions et surtout le chemin vers les fichiers à supprimer.

Pour accéder aux répertoires /Private et /usr passer par le menu Aller > Aller au dossier du Finder.


----------



## macomaniac (8 Janvier 2014)

[SCRIBE]

&#9826;​
J'avais commencé de suivre avant Noël les échanges suscités par le message de *prisca* (que je salue - _Honneur à la Priscilla Donna!_), puis, sous l'effet de dissipation propre aux atmosphères festives, j'ai _perdu le fil_ - c'est bien le cas de le dire .

Je viens de reprendre cette lecture pour m'apercevoir que ce fil avait hébergé une étonnante inter-activité impliquant pas moins de _six chevaliers servants_ rivalisant d'ingéniosité en vue de sauver une _demoiselle en détresse_ (*boninmi*, *Pascal*, *Locke*, *Moonwalker*, *Polo* & *Antik* - à qui je souhaite collectivement une Bonne Année). Moi que ma non-participation aux débats dote d'un 'regard neuf' et d'un 'c&#339;ur pur' (quand bien même l'_imbécillité_ - forcément heureuse - est la s&#339;ur jumelle de l'_innocence_ ), c'est avec une sorte d'_émerveillement_ que je viens de suivre les marches et contre-marches de nos preux, lesquels, confrontés au perfide enchanteur «Genieo», si habile à dissimuler sa véritable nature sous des apparences trompeuses, ont eu fort à faire pour aller au-delà de l'apparence des _Moulins_à_Vent_ qui arrêtèrent si fort le malheureux _Don Quichotte_ dans sa quête au service de _Dulcinée_...

Car il semble que notre enchanteur ne réside pas dans les aîtres où sa malice s'exerce (le territoire de «Firefox») ; quant à lui couper le 'téléphone' avec l'extérieur (comme ingénieusement proposé par *Polo*), on peut se demander si la man&#339;uvre obligerait l'enchanteur à se tenir tranquille dans son coin sans jouer les trublions à domicile.

J'ai l'impression (sans aucun mérite de ma part, mais grâce à cette faculté de survol rétrospectif des _épigones_) que les derniers liens donnés par *Moonwalker* (dont je tiens à saluer au passage la bonne fortune qui lui échut dans l'espace de ce fil d'accéder à la _Vénérable Sagesse_ - d'où s'ensuivit un port de blason) donnent les adresses permettant de débusquer l'enchanteur dans ses repaires (sachant que comme l'_Hydre_ il se répartit en de multiples têtes de pont).

&#9828;​
Si je me borne donc, ici, à un rôle de scribe copieur du manuscrit d'autrui [ce qui pourrait d'avérer un raccourci ultérieurement commode à d'autres victimes de l'enchanteur «Geneio»] - voici la cartographie indiquant les chemins à suivre pour décapiter le monstre :


/Applications/Genieo


/Applications/Uninstall Genieo


/Library/LaunchAgents/com.genieoinnovation.macextension.plist


/Library/LaunchAgents/com.genieoinnovation.macextension.client.plist


/Library/LaunchAgents/com.genieo.engine.plist


/Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client


/private/etc/launchd.conf


/usr/lib/libgenkit.dylib


/usr/lib/libimckit.dylib


/usr/lib/libimckitsa.dylib


/Library/Frameworks/GenieoExtra.framework

&#9831;​
&#9758; comme indiqué par *Moonwalker*, pour aller au répertoire */usr* qui est invisible, utiliser la combinaison de touches : *&#8679;&#8984;G* dans le Finder (correspondant à son menu : _Aller/Aller au dossier..._) et taper dans le champ de saisie : _/usr_ pour se rendre dans l'espace de ce répertoire où on trouve le sous-dossier _/lib_ requis. De même pour le répertoire */private*, dans l'espace duquel on trouve le sous-dossier _/etc_ requis.


&#9758; l'auteur de cette cartographie d'éradication de l'enchanteur «Genieo» (sur le site : thesafemac.com) préconise d'opérer en 2 temps :


Déplacer à la corbeille les items 1-10 exclusivement (sans chercher à la vider, dans la mesure où les processus dont ils sont la base sont actuellement actifs depuis le lancement de la session) ;


Re-démarrer le Mac (de manière à ré-ouvrir une session sans que les processus relevant de «Genieo» aient pu être réactivés) ;


Aller seulement à l'adresse de l'item n° *11* (le dernier) et le mettre à son tour à la corbeille.


Vider la corbeille et re-démarrer.


&#9758; Un mot-de-passe admin sera demandé ça et là pour pouvoir déplacer tel ou tel item à la corbeille.

&#9825;​
[/SCRIBE]


----------



## lamainfroide (8 Janvier 2014)

Tout ceci en termes charmants est fort bien dit.

Qui plus est, la manière d'éradiquer le fâcheux trublion est fort claire.
J'en suis à être déçu de ne pas l'avoir en mon royaume pour pouvoir le fendre par le milieu (le non désiré parasite).


----------



## Moonwalker (8 Janvier 2014)

prisca22 a dit:


> Je pense n'avoir jamais installé FlashPlayer autrement qu'à partir du site d'Adobe... En tout cas, j'ai désinstallé le FlashPlayer présent et réinstallé la chose à partir du site d'Adobe.



Effectivement, à la lueur d'un autre post, je pense savoir comment tu t'es faite vérolée.
[Sorti du contexte, c'est affreux ce que je viens d'écrire  ]

http://forums.macg.co/internet-reseau/safari-5-1-crash-install-winrar-1238264.html


----------



## prisca22 (8 Janvier 2014)

macomaniac a dit:


> [SCRIBE]
> 
> &#9826;​
> J'avais commencé de suivre avant Noël les échanges suscités par le message de *prisca* (que je salue - _Honneur à la Priscilla Donna!_), puis, sous l'effet de dissipation propre aux atmosphères festives, j'ai _perdu le fil_ - c'est bien le cas de le dire .
> ...




Merci preux chevalier pour ces lignes super marrantes. Ça fait du bien d'avoir de l'humour... 

Le problème est que j'ai viré l'application qui était en quarantaine chez VB. Et vidé la corbeille. Il y avait d'autres fichiers attrapés par VB que j'avais viré auparavant (je ne me souviens pas vraiment desquels). Je n'ai pas l'appli en question dans LaunchAgents.
Faudrait-il que je suive ton parcours (un peu infernal) ? Si oui, pourrais-tu expliquer un peu mieux la marche à suivre. Par exemple, je n'ai pas (et n'ai jamais eu) Genieo dans mon dossier Applications. Donc Uninstall ??? Est-ce que par ailleurs, il faut suivre ton chemin pas à pas ? J'ai effectivement trouvé /Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client. Pas trouvé  /usr/lib/libgenkit.dylib les autres oui. Est-ce qu'il faut virer chacun de ces éléments ? ​


----------



## macomaniac (8 Janvier 2014)

Salut *prisca*.

Eh oui! Il faut faire le tour complet en suivant le guide. Avec un seul mot d'ordre : éradication méthodique de tout ce qui correspond à une étiquette de la liste. Le procédé est d'aller successivement à chacune des 11 adresses et alors : si le fichier attendu (d'après le tableau) est là : hop! corbeille et adresse suivante où tu fais de même ; si le fichier attendu n'est pas là (car tu as déjà fait pas mal de ménage), hop! adresse suivante et derechef même procédure.

Bref, tu te prends pour une exterminatrice de _cafards_ inflexible (et pas pour une observatrice à la binoculaire de la morphologie des _blattes_) .

Une fois que tu as fait le tour complet des 11 adresses en ayant fait place nette de tout ce qui peut l'être (et de rien d'autre que ce qui est listé, n'est-ce pas?) - tu re-démarres et tu vérifies dans ton navigateur si l'_enchanteur malin_ continue de jouer des tours ou non.


----------



## prisca22 (9 Janvier 2014)

macomaniac a dit:


> Salut *prisca*.
> 
> Eh oui! Il faut faire le tour complet en suivant le guide. Avec un seul mot d'ordre : éradication méthodique de tout ce qui correspond à une étiquette de la liste. Le procédé est d'aller successivement à chacune des 11 adresses et alors : si le fichier attendu (d'après le tableau) est là : hop! corbeille et adresse suivante où tu fais de même ; si le fichier attendu n'est pas là (car tu as déjà fait pas mal de ménage), hop! adresse suivante et derechef même procédure.
> 
> ...



Ô Chevalier émérite, merci de ces précisions. Je vais suivre le parcours d'éradication espéré de ladite bête infernale. Mais, VB est en train d'analyser le DD qui comporte les backups de TM. Et ça depuis avant hier. J'ai laissé allumé mon ordi pendant la nuit, peansant que l'analyse serait terminée au matin, mais je pense que quand l'écran se met en veille, le compteur cesse de tourner : et donc, ça n'a servi à rien de le laisser allumé. Comme je voudrais être certaine que la bé-bête ne se trouvé là aussi, je préfère le laisser terminer. Je dis ça parce que si je redémarre, VB s'arrête et il faudra recommencer l'analyse à partir de 0. C'est dommage que VB ne donne pas la possibilité de suivre l'évolution de l'analyse par une ligne qui témoigne de l'avancement de la chose ou du moins le nombre total de fichiers à analyser pour permettre de voir où nous en sommes.
A moins d'avoir une autre idée quant à VB, j'attends que ça termine avant de faire le ménage.


----------



## prisca22 (9 Janvier 2014)

Bon, ça y est. VB a termine son analyse du DD de TM. Il a trouvé 408  fichiers. Les voici (certains sont répétés plusieurs fois, je ne ferai  pas la répétition )
- Chronoposto Suivi Votre colis.2exe -- W32/Jorik.Androm.phu (dans dossier 
       Téléchargement) (52 fois)
- Chronoposto Suivi Votre colis.exe -- W32/Jorik.Androm.phu (dans dossier 
        Téléchargement)  (53 fois)
- Application -- OSX/Genio.b (dans dossier MacOS)
         (19 fois)
- com.genieoinnovation.macextension.client -- OSX/Genio.B (2 fichers alternés : 1 
        ressemble à Terminal,  l'autre à un document lambda) (18 fois) (l'icône document 
        vient du dossier PrivilegeHelperTools; l'icoône Terminal de LauchServices)
- com.geneioinnovation.macextension.client.plist -- OSX/Genio.B (dans dossier 
         LaunchDaemons) (19 fois)
- com.genieo.macextension.plist -- OSX/Genio.B (alternativement, comme ci-dessus, dans 
         dossier en.lproj et aussi dans dossier LauchAgents)  (19 fois)
- gen_ext_bundle -- OSX/Genio.B (dans dossier gen_ext_bundle.framework>Versions>A 
         (19 fois)
- gen_ext_bundle_stub - OSX/Genio.C (dans dossier du même nom >Contents>MacOS> 
        gen_ext_bundle_stub (19 fois)
- info.plist -- OSC/Genie.A (57 fois) (alternativement dans dossier 
         GenieoExtra.framework>Contents>Resources>Payload>Contents>puis info.plist puis
         dans dossier GenieoExtra.framework>Contents>info.plist
- Laposte.exe -- W32/Zbot.eto (dans dossier Téléchargements Mail) (38 fois)
- libimckit.dylib -- OSX/Genio.E (dans dossier usr>lib>libimckit.dylib (19 fois)
- libimckitsa.dylig -- OSX/Genio.A (dans dossier usr>lib>libimckitsa.dylig (19 fois)
- Payload (icône qui ressemble à Terminal) -- OSX/Genio.B (dans dossier 
         Frameworks>GenieoExtra.framework>Contents>Resources> 
         Payload.bundle>Contents>MacOS>Payload (19 fois)

Concernant  les "genieo", je pense que j'ai dû avoir été infectée le 19 décembre et  que chaque fois marquée correspond à la sauvegarde d'une journée. Cela  va jusqu'au 7 janvier, ce qui fait sens, vu que j'ai viré l'appli ce  jour-là.
La Poste est plus vieux = 2010 (septembre à décembre) et 2011 (janvier à septembre)
Chronopost dure depuis Juin 2013 jusqu'au 7 janvier 2014 !
Il  me semble que les W32 sont bien des virus, non ? Comment Virus Barrier n'a rien détecté ? 

J'attends vos lumières pour les virer.


----------



## Moonwalker (9 Janvier 2014)

Ben, t'en a ramassé de la saleté. Il faut apprendre à être prudente et ne pas télécharger n'importe quoi.

Evite Softonic, c'est un distributeur de malwares.

Tu utilises la version gratuite de VB ?

T'as pas une option Réparer ? Si oui ça sert justement à liquider la merde.

Sinon tu suis le chemin des fichiers et tu les supprime via l'interface de Time Machine.

Mais comme ce n'est qu'un disque de sauvegardes Time Machine, je ne m'emmerderais pas et j'effacerais tout.

Et le Mac, il va comment ?


----------



## macomaniac (9 Janvier 2014)

Salut *prisca*. 

Libre à toi de faire l'école buissonnière dans tes sauvegardes, mais considère bien que la seule question importante est :



Moonwalker a dit:


> Et le Mac, il va comment ?



&#9876;

[À présent, en admettant que la sauvegarde «TimeMachine» présente une image actuelle de l'OS du Mac, voici ce qui se dégage :]​

Concernant *Genieo*, tu peux constater que le repérage de ton logiciel «VirusBarrier» (à propos de ta sauvegarde) recoupe les entrées du tableau que j'ai donné précédemment pour les _LaunchAgents_ (items 3 et 4), le _PriviledgedHelperTools_ (item 6), 2 des 3 librairies _.dylib_ (items 9 et 10 du tableau) et le _Framework_ (item 11).

Certains fichiers sont listés qui manifestement n'ont qu'une existence incluse dans le dossier du _framework_ et non indépendante.

Certaines entrées de mon tableau ne sont pas repérées (par exemple l'_application_ *Genieo*), pour la raison que tu as déjà fait le ménage la concernant.

Le seul fichier prétendu par «VirusBarrier» qui constituerait un extra par rapport au tableau serait un : _com.genieoinnovation.macextension.client.plist_ qui relèverait du répertoire des '_LaunchDaemons_' de la _/Library_ (Bibliothèque Générale) - fichier attendu dans le répertoire connexe des '_LaunchAgents_' => ce qui me laisse penser qu'il y a quelque part erreur de lecture (mais sait-on jamais?).

Par contre, «VirusBarrier» ne repère pas  le fichier de config : _launchd.conf_ à l'adresse : _/private/etc_

[NB. Ce que tu appelles un fichier 'Terminal' est un fichier _exécutable_ arborant l'icône d'un rectangle anthracite avec le sigle vert : exec en haut à gauche. Par contre, je ne vois pas ce que des items 'postaux' auraient à voir avec la problème «*Genieo*» qui est le sujet de ce fil. Laisse-les en pâture à «VirusBarrier».]

&#9988;​
&#9758; au vu de ce bilan, je ne peux que *répéter* pour la *3è fois* (_bis repetita placent, sed perseverare diabolicum_ :bebe  - va, *sur ton Mac*, respectivement à chacune des adresses suivantes [je ne peux pas le faire à ta place et ça va te prendre au maximum 3 minutes] :


/Applications/Genieo
/Applications/Uninstall Genieo
/Library/LaunchAgents/com.genieoinnovation.macextension.plist
/Library/LaunchAgents/com.genieoinnovation.macextension.client.plist
/Library/LaunchAgents/com.genieo.engine.plist
/Library/PrivilegedHelperTools/com.genieoinnovation.macextension.client
/private/etc/launchd.conf
/usr/lib/libgenkit.dylib
/usr/lib/libimckit.dylib
/usr/lib/libimckitsa.dylib
/Library/Frameworks/GenieoExtra.framework

et en extra (on ne sait jamais) à :


/Library/LaunchDaemons/com.genieoinnovation.macextension.client.plist

et - *de deux choses l'une* :


soit l'item attendu est présent &#8658; alors tu le sélectionnes avec le pointeur et tu fais &#8984;&#8592; (mettre le fichier à la corbeille / lorsqu'un mot-de-passe admin est demandé pour ce faire, tu le renseignes). Après quoi tu passes à l'adresse suivante et tu recommences ;


soit l'item attendu n'est pas présent &#8658; tu passes directement à l'adresse suivante et tu recommences.


Une fois l'apurage fait de *1* à *12*, tu re-démarres ton Mac. Une fois le re-démarrage effectué, tu peux vider la corbeille et tester ton navigateur.


&#9832;&#65038;​


----------



## boninmi (9 Janvier 2014)

Et quand tu seras sûre d'avoir éradiqué le malware de *ton Mac *(disque* MacintoshHD*) en suivant les indications de *macomaniac*, efface le disque *Time Machine* (Applications -> Utilitaires -> Utilitaire de Disque, sélectionner le disque Time Machine, et bouton Effacer) et fais une nouvelle sauvegarde Time Machine, propre, comme dit *Moonwalker*.


----------



## prisca22 (9 Janvier 2014)

Moonwalker a dit:


> Ben, t'en a ramassé de la saleté. Il faut apprendre à être prudente et ne pas télécharger n'importe quoi.
> 
> Evite Softonic, c'est un distributeur de malwares.
> 
> ...



Merci Moonwalker. Je ne savais pas que Softonic distribue de malware ! Je lui faisais plutôt confiance. Je le saurai dorénavant.  

Ma version de VB est bien payante. Il y a des options faire confiance / réparer / ou mettre en quarantaine lorsqu'elle trouve qqchose. J'efface tout le DD de TM et je recommence ?

---------- Nouveau message ajouté à 23h00 ---------- Le message précédent a été envoyé à 22h58 ----------




macomaniac a dit:


> Salut *prisca*.
> 
> Libre à toi de faire l'école buissonnière dans tes sauvegardes, mais considère bien que la seule question importante est :
> 
> ...



Ce sera mon programme pour demain. Merci. 

---------- Nouveau message ajouté à 23h01 ---------- Le message précédent a été envoyé à 23h00 ----------




boninmi a dit:


> Et quand tu seras sûre d'avoir éradiqué le malware de *ton Mac *(disque* MacintoshHD*) en suivant les indications de *macomaniac*, efface le disque *Time Machine* (Applications -> Utilitaires -> Utilitaire de Disque, sélectionner le disque Time Machine, et bouton Effacer) et fais une nouvelle sauvegarde Time Machine, propre, comme dit *Moonwalker*.



Merci Bonimi. C'est ce que je ferai demain. Je vous tiendrai tous au courant.


----------



## Moonwalker (9 Janvier 2014)

prisca22 a dit:


> Merci Moonwalker. Je ne savais pas que Softonic distribue de malware ! Je lui faisais plutôt confiance. Je le saurai dorénavant.
> 
> Ma version de VB est bien payante. Il y a des options faire confiance / réparer / ou mettre en quarantaine lorsqu'elle trouve qqchose. J'efface tout le DD de TM et je recommence ?


Ouaip. Je n'y téléchargeais que très rarement mais je ne pensais pas qu'ils étaient tombés si bas. Il y a une forte probabilité que tes malwares viennent de là-bas.

Ils avaient déjà été signalés par la patrouille au mois d'avril mais là c'est le pompon.

Ils se prétendent sûrs mais ils mentent : récidivistes en mai, octobre et en décembre.

Eviter CNET Download également.

Personnellement, je ne télécharge que sur le site du développeur de l'application, comme cela je suis sûr d'avoir la version la plus récente.

Pour une nouvelle application, je passe d'abords chez MacUpdate lire les avis (car parfois il peut y avoir un bug) et je clique sur le bouton qui dirige vers le site du développeur.

Pour Time Machine, oui, tant qu'à faire, autant repartir de zéro quand tu auras fait le ménage sur ton Mac.

Suis les instructions de Macomaniac  . Passe un dernier coup de Virus Barrier sur ton DD interne. Liquide ce qu'il d'indiquera (Réparer) et recommence de belles et propres sauvegardes Time Machine sur un DD re-formaté.


Autre chose. Pour Virus Barrier, il faut te mettre en mode *Analyse en temps réel*. Sinon il ne détectera rien que tu ne lui soumets par directement. J'ai demandé à un ami de faire un test de VB sur un logiciel venu de Softonic, et ça n'a pas coupé, le genieo a été détecté dès l'ouverture du dmg.


----------



## prisca22 (10 Janvier 2014)

Moonwalker a dit:


> Ouaip. Je n'y téléchargeais que très rarement mais je ne pensais pas qu'ils étaient tombés si bas. Il y a une forte probabilité que tes malwares viennent de là-bas.
> 
> Ils avaient déjà été signalés par la patrouille au mois d'avril mais là c'est le pompon.
> 
> ...




OK, je n'ai pas eu le temps aujourd'hui. J'ai eu un deuil dans la famille :-(  Je vais faire tout ce ménage dès que possible. 
Par ailleurs, mon VB est bien en Analyse en temps réel, bien sûr. Mais il n'a pas détecté la chose.   J'avais même un indicateur sur ma barre de menus indiquant l'activité de VB, qui n'existe plus dans cette dernière version.


----------



## Moonwalker (10 Janvier 2014)

prisca22 a dit:


> OK, je n'ai pas eu le temps aujourd'hui. J'ai eu un deuil dans la famille :-(  Je vais faire tout ce ménage dès que possible.
> Par ailleurs, mon VB est bien en Analyse en temps réel, bien sûr. Mais il n'a pas détecté la chose.   J'avais même un indicateur sur ma barre de menus indiquant l'activité de VB, qui n'existe plus dans cette dernière version.



C'est bizarre pour VB, chez mon ami cela a crié tout de suite. 

Dans les liens que j'ai mis, ils indiquent avoir ajouté genieo aux définitions malwares.


> Intego VirusBarrier users with up-to-date virus definitions will detect the components of this threat as OSX/Genio.


----------



## prisca22 (14 Janvier 2014)

macomaniac a dit:


> [SCRIBE]
> 
> &#9826;​
> J'avais commencé de suivre avant Noël les échanges suscités par le message de *prisca* (que je salue - _Honneur à la Priscilla Donna!_), puis, sous l'effet de dissipation propre aux atmosphères festives, j'ai _perdu le fil_ - c'est bien le cas de le dire .
> ...




Bonjour tout le monde. J'ai été indisponible ces jours-ci : deuil dans la famille...

J'ai suivi les indications de Macomaniac de 1 à 11/12 à la lettre. Redémarré quand il fallait etc. Mais catastrophe, c'est toujours là. Dans des sites comme Kiabi (où tout ça est très actif, j'ai "content.static7.superfish.com", qui est remplacé par *"content.magnipic.info"* en bas et à gauche (qui ne sont pas actifs comme des pop-ups, mais sont juste là, en tout cas, apparemment), puis "*Save Keep*" en Pop-Up avec des offres similaires, puis en bas à droite, un pop-up nommé "*COUPONS*" avec le nom du site où l'on se trouve. Ici on propose des réductions de XX euros ou XX% etc... Wouin 

PS : j'ai revérifié 3 fois les éléments à virer qui ne sont plus là. Ai redémarré 2 fois


----------



## prisca22 (14 Janvier 2014)

prisca22 a dit:


> Bonjour tout le monde. J'ai été indisponible ces jours-ci : deuil dans la famille...
> 
> J'ai suivi les indications de Macomaniac de 1 à 11/12 à la lettre. Redémarré quand il fallait etc. Mais catastrophe, c'est toujours là. Dans des sites comme Kiabi (où tout ça est très actif, j'ai "content.static7.superfish.com", qui est remplacé par *"content.magnipic.info"* en bas et à gauche (qui ne sont pas actifs comme des pop-ups, mais sont juste là, en tout cas, apparemment), puis "*Save Keep*" en Pop-Up avec des offres similaires, puis en bas à droite, un pop-up nommé "*COUPONS*" avec le nom du site où l'on se trouve. Ici on propose des réductions de XX euros ou XX% etc... Wouin
> 
> PS : j'ai revérifié 3 fois les éléments à virer qui ne sont plus là. Ai redémarré 2 fois




J'ai trouvé une extension Firefox save.keep, que j'ai aussitôt viré. Depuis ça va mieux...


----------



## macomaniac (14 Janvier 2014)

Bonsoir *Priscilla*.

*mes condoléances pour ton deuil*



En ce qui concerne «Genieo», je pense que tu l'as déplumé. Il n'est pas du tout certain que l'adresse que tu vois s'afficher : _"content.magnipic.info"_ provienne de ressources résiduelles de «Genieo», mais peut-être tout bonnement d'un autre '_adware_' que tu aurais récolté et qui fait de la publicité pour icelui.


Si je glisse malicieusement ici cet : '_autre adware_', c'est qu'apparemment tu en as récolté plus d'un (sans vouloir instiller de frisson appréhensif). La preuve, ce '_Save Keep_' qui est venu se fourrer dans les extensions de ton «Firefox».


Le problème, c'est qu'en l'absence d'un logiciel spécialisé dans la traque à l'_adware_ (comme il s'en trouve pour _Windows_, pour la simple raison qu'ils y pullulent, alors que je n'en connais pas pour Mac, où les plaignants sont des plus rares) - il est difficile d'identifier nominalement les coupables. Et par suite de les traquer dans la distribution sournoise de leurs fichiers. 


Tu pourrais quand même déjà, par précaution, réviser la liste des extensions de ton «Firefox», afin de vérifier qu'il n'y en a aucune à l'intitulé bizarre ou qui ne te rappelle aucune décision d'installation de ta part ; et, toujours dans «Firefox», voir si tu n'as pas installé de barre d'outils (_toolbar_) optionnelle par exemple, qui pourrait susciter des avertissements dans la fenêtre de navigation (je pense à : '_Xfinity toolbar_' notamment).


En guise d'outil 'traqueur', j'attire ton attention néanmoins sur un petit utilitaire dont personnellement je fais un usage soutenu : iFileX (gratuit). [Ce n'est pas un traqueur qui, comme un anti-virus, possède à l'avance en bibliothèque une liste de suspects et s'en va opérer un coup de filet massif pour vérifier s'il n'y en as un de pris dans la nasse. Non, c'est un logiciel de recherche d'après un mot ou un groupe de mot renseigné à la volée (non sensible à la casse), mais qui, à la différence encore de _Spotlight_ qui s'en va chercher dans une base de données pré-établie et nulle part ailleurs et n'accède pas aux contenu des bundles, scanne intégralement au présent la collection entière des fichier de l'OS, quel que soit son niveau dans l'arborescence ou son état libre/inclus, ou encore sa qualité flaggé/non flaggé <«iFileX» opère en droits _root_>, pour repérer les occurrences correspondant aux termes renseignés (en ce sens, il fonctionne comme «Sherlock» dans Mac OS 9). Très véloce. La liste résultante propose aussi le chemin du fichier, ce qui permet de se faire une idée de sa nature en fonction du réperoire d'inhérence.]

Donc si tu renseignais successivement dans «iFileX» des termes comme : _genieo_, _magnipic_, _save keep_ (attaché / non attaché), _coupon_, _spigot_ etc. [tous les termes bizarres que tu vois affichés sur les bannières publicitaires de ton navigateur] - tu te ferais très vite une idée de l'état des lieux sur ton Mac.


----------



## prisca22 (14 Janvier 2014)

macomaniac a dit:


> Bonsoir *Priscilla*.
> 
> *mes condoléances pour ton deuil*
> 
> ...



Je vais de ce pas installer iFileX.  J'ai depuis scruté les extensions de Firefox, sans rien voir de suspect. Comme mon TM est infecté depuis le 18 ou 19 décembre, faut-il que j'efface tout le DD et fasse une sauvegarde intégrale ? Ou que j'efface depuis le 18/12 ?


----------



## ronparchita (26 Février 2014)

macomaniac a dit:


> Bonsoir *Priscilla*.
> 
> [*]En guise d'outil 'traqueur', j'attire ton attention néanmoins sur un petit utilitaire dont personnellement je fais un usage soutenu : iFileX (gratuit).
> Donc si tu renseignais successivement dans «iFileX» des termes comme : _genieo_, _magnipic_, _save keep_ (attaché / non attaché), _coupon_, _spigot_ etc. [tous les termes bizarres que tu vois affichés sur les bannières publicitaires de ton navigateur] - tu te ferais très vite une idée de l'état des lieux sur ton Mac. [/LIST]



Grand merci 
Ca parait assez simple d'utilisation encore que je n'ai pas bien compris ce que signifiait les (FS)
Je me suis fait piégé et installé ce genieo
Apres quelques tatonnements, je ne voyais rien dans la fenetre ou on entre le nom  j'ai lancé une fois et effacé chaque ligne du resultat. Relancé, ça a indiqué le nombre d'éléments trouvés mais pas de liste. J'ai vu la poubelle qui débordait, mais impossible de la vider. J'ai donc lancé ONIX qui lui y est arrivé. J'ai relancé une recherche et cette fois trouvé plusieurs fichiers dont un plist. J'ai mis tout ça à la poubelle et j'ai pu vider la poubelle. J'ai relancé une troisieme recherche et j'ai vu apparaitre un petit fichier avec un executable, un moyen fichier en volume d'un desinstallateur et un troisiemme fichier de desinstallateur. J'ai lancé le plus gros et l'icone dans la fenêtre appli a disparu. J'ai lancé FireFox puis dans aide je suis allé sur info de depannage. J'ai reinstallé une version "neuve", j'ai eu ensuite une fenetre qui m'a demandé si je voulais reinstallé Geneio. J'ai choisi non bien sur, et Firefox se lance sans qu'apparaisse cette fenetre ridicule.
J'ai relancé iFileX pour une autre recherche mais cette fois, rien n'est apparu. Ca marche pas mal ce traqueur de fichiers, encore merci.


----------



## prisca22 (18 Mars 2014)

Bonjour à tous, 

Juste une petite mise à jour. J'ai passé Virus Barrier l'autre jour pour cause de compte de messagerie compromis paraît-il (selon mon fournisseur d'accès : Free), mais là n'est pas la question. Résultat : un reste de genieo qui se trouvait encore là, alors que j'avais systématiquement TOUT viré selon les indications précises et précieuses de macomaniac. Il s'agit du fichier libimckitsa.dylib. J'ai demandé à VB de le réparer, mais je l'ai quand même trouvé dans le fichier caché usr, comme macomaniac a dit. Je l'ai reviré. Je n'avais pas eu de manifestations de genieo comme auparavant. 
Je conseille donc à tous de revérifier avec votre anti-virus pour voir s'il reste quelque chose.


----------



## ronparchita (18 Mars 2014)

prisca22 a dit:


> Bonjour à tous,
> 
> Juste une petite mise à jour. J'ai passé Virus Barrier l'autre jour pour cause de compte de messagerie compromis paraît-il (selon mon fournisseur d'accès : Free), mais là n'est pas la question. Résultat : un reste de genieo qui se trouvait encore là, alors que j'avais systématiquement TOUT viré selon les indications précises et précieuses de macomaniac. Il s'agit du fichier libimckitsa.dylib. J'ai demandé à VB de le réparer, mais je l'ai quand même trouvé dans le fichier caché usr, comme macomaniac a dit. Je l'ai reviré. Je n'avais pas eu de manifestations de genieo comme auparavant.
> Je conseille donc à tous de revérifier avec votre anti-virus pour voir s'il reste quelque chose.



Bonjour,

J'ai verifié si ce fichier existait sur MT Lion avec iFilex et j'ai eu une reponse négative. Donc à priori c'est bon pour moi


----------



## prisca22 (18 Mars 2014)

ronparchita a dit:


> Bonjour,
> 
> J'ai verifié si ce fichier existait sur MT Lion avec iFilex et j'ai eu une reponse négative. Donc à priori c'est bon pour moi




Je viens de repasser VB en choisissant la protection* MAX*, et voilà que l'origine de la chose est révélée. C'est par l'installation de Paint Brush que la bête est entrée. 
Résultat de VB : installpaintbrush.dmg dans installer.app/Contents la bête étant OSX/Genio.A, Genio.gen, Genio.B, Genio.C et Genio.A. Et c'était encore dans mon dossier Téléchargements.

Avant de le virer, j'ai passé IFilex, qui ne l'a pas trouvé. Alors, je deviens un peu sceptique pour IFilex...


----------



## Moonwalker (18 Mars 2014)

prisca22 a dit:


> Je viens de repasser VB en choisissant la protection* MAX*, et voilà que l'origine de la chose est révélée. C'est par l'installation de Paint Brush que la bête est entrée.
> Résultat de VB : installpaintbrush.dmg dans installer.app/Contents la bête étant OSX/Genio.A, Genio.gen, Genio.B, Genio.C et Genio.A. Et c'était encore dans mon dossier Téléchargements.
> 
> Avant de le virer, j'ai passé IFilex, qui ne l'a pas trouvé. Alors, je deviens un peu sceptique pour IFilex...



VB analyse les dmg en les décompressant en mémoire. iFilex est un outil de recherche de fichiers. Si tu n'ouvres pas toi-même le dmg, il ne peut pas savoir ce qu'il y a dedans.


----------

