pagina web indesiderata durante navigazione internet

[faxus]

Eh... Uff... Che brutto sospetto.

Usa Terminale.
Lo trovi in Applicazioni /Utility, oppure cmd+spazio scrivi ter e dai accapo.
Vedrai comparire delle parole, segni e il tuo nome utente, il prompt, a cui segue una barretta per inserire testo.
È pronto per eseguire un ordine.
Copia e incolla dopo la barretta (non scrivere tu) con attenzione questo testo:

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Dai ⏎ per eseguirlo.

Poi

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

dai ⏎.

Copia entrambi i risultati, qui sul post, come testo, per favore.
Poi scrivi exit, accapo, cmd+Q per uscire correttamente da Terminale

[Bonnie3]

Interessantissimo questo topic, non sapevo dell'esistenza di questo adware...
Mi chiedo anche io come faccia a replicarsi senza autorizzazione da parte dell'utente, o almeno, ho sempre saputo che sui mac funziona cosi.
O sono diventati più furbi gli adware o più stupidi noi...e non so perché sono più convinta della seconda

[faxus]

... come faccia a replicarsi senza autorizzazione da parte dell'utente...

Il punto è questo.

Questo adware dalle caratteristiche di malware di tipo virus su Windows fa una cosa inaudita.
Installa degli utenti amministratori(*) e delle cartelle nei /private che hanno lo scopo di generare file casuali di adware.
(il tutto, ovviamente, con la complicità di un utente amministratore malaccorto.
Oppure incluso in un software scaricato da siti non controllabili o da un software equivoco, per esempio un antivirus...)

In teoria si può debellare con uno script ad hoc.
I pratica, se per caso non hai questo malware, fai un casino perché vai ad eliminare file funzionali nei /private.

Lo so perché cercando di affinare uno script che funzionava male, l'ho testato.
Ovviamente avevo fatto qualche minuto prima del test un backup.
Che ho dovuto prontamente installare, perché avevo il sistema diventato inutilizzabile...

(*) Gli utenti amministratori farlocchi sono nascosti con un ID inferiore a 500, altrimenti sarebbero individuati al login.
È quello lo scopo del comando del mio ultimo post.
La ricerca dell'esistenza di utenti <500 e nella serie 401+

[Bonnie3]

Quindi fondamentalmente bisognerebbe anche capire se e cosa l'utente abbia installato da quando ha avuto il problema almeno per capire come abbia fatto accidentalmente a darne un'autorizzazione...da qualche parte devono pure arrivare
Attendiamo notizie...!

[faxus]

Quindi fondamentalmente bisognerebbe anche capire se e cosa l'utente abbia installato da quando ha avuto il problema almeno per capire come abbia fatto accidentalmente a darne un'autorizzazione...da qualche parte devono pure arrivare :roll:
Attendiamo notizie...!

Se è per questo sappiamo già tutto.

Si trova su siti di streaming.
Prima si richiede la disattivazione degli antiads.
Poi chiedono di installare un plugin media (o anche fakeFlash) per la visione.
Chi scarica ha disattivato il Gatekeeper e non analizza il pacchetto.
Essendo un plugin non si meraviglia che chieda di essere autorizzato.

Questo è lo standard.
Poi può agire in altri modi,
Per esempio scarica il pacchetto con l'installer e poi resta lì, camuffato, in attesa di clic
Altre volte scarica in background e si presenta come finestra di avviso per un aggiornamento.

Tutte cose che ingannano utenti che non conoscono bene il sistema.
Sostanzialmente abituati (male) a Windows

[Bonnie3]

Capito.
Bene, allora non ci resta che aspettare

[Gattinara]

Quesito: ho appena reinstallato il SO (Sierra 10.12.3, nello specifico) dopo aver inizializzato il disco;
malgrado non abbia importato alcun dato utente né scaricato/installato alcun applicativo il florilegio che appare dopo aver compitato il primo comando è il medesimo di Davide, ovvero:

Codice: Seleziona tutto

_applepay
_assetcache
_astris
_avbdeviced
_captiveagent
_coreaudiod
_coremediaiod
_ctkd
_cvmsroot
_datadetectors
_devicemgr
_displaypolicyd
_distnote
_dovecot
_dovenull
_dpaudio
_findmydevice
_gamecontrollerd
_hidd
_iconservices
_kadmin_admin
_kadmin_changepw
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbfast
_krbtgt
_launchservicesd
_lda
_locationd
_mbsetupuser
_mobileasset
_netbios
_netstatistics
_nsurlsessiond
_nsurlstoraged
_ondemand
_postgres
_screensaver
_softwareupdate
_timezone
_trustevaluationagent
_usbmuxd
_warmd
_webauthserver
_wwwproxy
_xserverdocs

e, parimenti, la risultanza del secondo consiste essere (esclusivamente) il mio nome utente... qualche lume?

[faxus]

È tutto a posto, Gattinara.

Così deve essere

[Gattinara]

Grazie assai :)

[maurettino]

Eh... Uff... Che brutto sospetto.

Usa Terminale.
Lo trovi in Applicazioni /Utility, oppure cmd+spazio scrivi ter e dai accapo.
Vedrai comparire delle parole, segni e il tuo nome utente, il prompt, a cui segue una barretta per inserire testo.
È pronto per eseguire un ordine.
Copia e incolla dopo la barretta (non scrivere tu) con attenzione questo testo:

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Dai ⏎ per eseguirlo.

Poi

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

dai ⏎.

Copia entrambi i risultati, qui sul post, come testo, per favore.
Poi scrivi exit, accapo, cmd+Q per uscire correttamente da Terminale

ecco fatto:

Last login: Mon Feb 13 14:15:06 on ttys000
iMacdimosicilia:~ maurosicilia$ dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'
_applepay
_assetcache
_astris
_avbdeviced
_captiveagent
_coreaudiod
_coremediaiod
_ctkd
_cvmsroot
_datadetectors
_devicemgr
_displaypolicyd
_distnote
_dovecot
_dovenull
_dpaudio
_findmydevice
_gamecontrollerd
_hidd
_iconservices
_kadmin_admin
_kadmin_changepw
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbfast
_krbtgt
_launchservicesd
_lda
_locationd
_mbsetupuser
_mobileasset
_netbios
_netstatistics
_nsurlsessiond
_nsurlstoraged
_ondemand
_postgres
_screensaver
_softwareupdate
_timezone
_trustevaluationagent
_usbmuxd
_warmd
_webauthserver
_wwwproxy
_xcsbuildagent
_xcscredserver
_xserverdocs
Guest
iMacdimosicilia:~ maurosicilia$ dscl . -list /Users UniqueID | grep 401
iMacdimosicilia:~ maurosicilia$

Per completezza d'informazione ti dico che da un sito di streaming di film, ho scaricato ed installato giorni fa una sorta di lettore di film (macOS media player si chiamava se non erro o qualcosa del genere) che mi era stato proposto dal sito come aggiornamento di flash media player o qualcosa del genere. Chiaramente poi nei giorni successivi l'ho messo nel cestino e cancellato.

[faxus]

Maurettino, non hai Pirrit.
Ed è una buona notizia.

Ma non è positiva in tutto perché hai dell'evidente porcheria installata subdolamente.
Elimina tutti i file consigliati da EtreCheck e ripostalo uno nuovo, per verifica.

Per favore, postalo bene, come testo, mi raccomando!

[maurettino]

Maurettino, non hai Pirrit.
Ed è una buona notizia.

Ma non è positiva in tutto perché hai dell'evidente porcheria installata subdolamente.
Elimina tutti i file consigliati da EtreCheck e ripostalo uno nuovo, per verifica.

Per favore, postalo bene, come testo, mi raccomando!

grazie.
Ma come faccio ad eliminare esattamente tutti i file consigliati da etrecheck? qual'è la procedura esatta. Considera che non sono un esperto e vorrei eliminarli senza fare danni .

[faxus]

... come faccio ad eliminare esattamente tutti i file consigliati da etrecheck? qual'è la procedura esatta. Considera che non sono un esperto e vorrei eliminarli senza fare danni .

Cliccaci sopra, dove c'è l'indicazione [remove].

Oppure fallo con Malwarebyte.
Poi riposta EtreCheck come testo per favore, per un controllo

[maurettino]

... come faccio ad eliminare esattamente tutti i file consigliati da etrecheck? qual'è la procedura esatta. Considera che non sono un esperto e vorrei eliminarli senza fare danni .

Cliccaci sopra, dove c'è l'indicazione [remove].

Oppure fallo con Malwarebyte.
Poi riposta EtreCheck come testo per favore, per un controllo

l'ho fatto con malwarebyte,

ecco il risultato da te richiesto:



EtreCheck version: 3.1.5 (343)
Report generated 2017-02-13 20:27:31
Download EtreCheck from https://etrecheck.com" onclick="window.open(this.href);return false;
Runtime 3:01
Performance: Good

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: Other problem

Hardware Information: ⓘ
iMac (21.5-inch, Late 2012)
[Technical Specifications] - [User Guide] - [Warranty & Service]
iMac - model: iMac13,1
1 2,7 GHz Intel Core i5 (i5-3330S) CPU: 4-core
8 GB RAM Upgradeable - [Instructions]
BANK 0/DIMM0
4 GB DDR3 1600 MHz ok
BANK 1/DIMM0
4 GB DDR3 1600 MHz ok
Bluetooth: Good - Handoff/Airdrop2 supported
Wireless: en1: 802.11 a/b/g/n

Video Information: ⓘ
NVIDIA GeForce GT 640M - VRAM: 512 MB
iMac 1920 x 1080

System Software: ⓘ
macOS Sierra 10.12.3 (16D32) - Time since boot: less than an hour

Disk Information: ⓘ
APPLE HDD HTS541010A9E662 disk0 : (1 TB) (Rotational)
[Show SMART report]
EFI (disk0s1) <not mounted> : 210 MB
Macintosh HD (disk0s2) / [Startup]: 999.35 GB (812.66 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB

USB Information: ⓘ
Apple Inc. FaceTime HD Camera (Built-in)
Apple Inc. BRCM20702 Hub
Apple Inc. Bluetooth USB Host Controller

Thunderbolt Information: ⓘ
Apple Inc. thunderbolt_bus

Gatekeeper: ⓘ
Mac App Store and identified developers

Kernel Extensions: ⓘ
/Applications/Toast 10 Titanium/Toast Titanium.app
[not loaded] com.roxio.BluRaySupport (1.1.6 - 2013-06-16) [Support]
[not loaded] com.roxio.TDIXController (1.7 - 2013-06-16) [Support]

/System/Library/Extensions
[not loaded] com.deepseasoftware.driver.CDSDAudioCaptureSupport (1.2 - 2017-02-08) [Support]

System Launch Agents: ⓘ
[not loaded] 7 Apple tasks
[loaded] 184 Apple tasks
[running] 89 Apple tasks

System Launch Daemons: ⓘ
[not loaded] 42 Apple tasks
[loaded] 170 Apple tasks
[running] 100 Apple tasks

Launch Agents: ⓘ
[failed] com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist (2017-01-11) [Support]
[loaded] com.google.keystone.agent.plist (2017-01-14) [Support]
[loaded] com.oracle.java.Java-Updater.plist (2016-01-09) [Support]

Launch Daemons: ⓘ
[loaded] com.adobe.ARMDC.Communicator.plist (2017-01-11) [Support]
[loaded] com.adobe.ARMDC.SMJobBlessHelper.plist (2017-01-11) [Support]
[loaded] com.adobe.fpsaud.plist (2016-12-16) [Support]
[failed] com.apple.enthinge.plist (2017-02-01) - /Library/enthinge: Executable not found!
[failed] com.apple.tiavorurn.plist (2017-02-02) - /Library/tiavorurn: Executable not found!
[loaded] com.google.keystone.daemon.plist (2017-01-25) [Support]
[running] com.malwarebytes.HelperTool.plist (2017-02-08) [Support]
[loaded] com.oracle.java.Helper-Tool.plist (2015-10-07) [Support]

User Launch Agents: ⓘ
[failed] com.adobe.ARM.[...].plist (2013-06-05) [Support] - /Applications/Adobe Reader.app/Contents/MacOS/Updater/Adobe Reader Updater Helper.app/Contents/MacOS/Adobe Reader Updater Helper: Executable not found!
[loaded] com.apple.AddressBook.ScheduledSync.PHXCardDAVSource.FD1DF685-7290-4144-ABD0-363D6A8DFE41.plist (2017-02-08)
[failed] com.mackeeper.MacKeeper.Helper.plist (2016-02-23) [Support] - /Applications/MacKeeper.app/Contents/Services/MacKeeper Helper.app/Contents/MacOS/MacKeeper Helper: Executable not found!

User Login Items: ⓘ
iTunesHelper Applicazione (2017-01-26)
(/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
SpeechSynthesisServer Applicazione
(/System/Library/Frameworks/ApplicationServices.framework/Versions/A/Frameworks/SpeechSynthesis.framework/Versions/A/SpeechSynthesisServer.app)

Internet Plug-ins: ⓘ
AdobePDFViewerNPAPI: 15.023.20056 - SDK 10.11 (2017-01-19) [Support]
FlashPlayer-10.6: 24.0.0.194 - SDK 10.9 (2017-01-12) [Support]
QuickTime Plugin: 7.7.3 (2016-12-22)
AdobePDFViewer: 15.023.20056 - SDK 10.11 (2017-01-19) [Support]
Flash Player: 24.0.0.194 - SDK 10.9 (2017-01-12) [Support]
JavaAppletPlugin: Java 8 Update 66 build 17 (2016-01-09) Check version

User internet Plug-ins: ⓘ
Google Earth Web Plug-in: 7.1 (2013-10-07) [Support]

3rd Party Preference Panes: ⓘ
Flash Player (2016-12-16) [Support]
Java (2016-01-09) [Support]
Paragon NTFS for Mac ® OS X (2014-06-26) [Support]

Time Machine: ⓘ
Skip System Files: NO
Mobile backups: OFF
Auto backup: NO - Auto backup turned off
Volumes being backed up:
Macintosh HD: Disk size: 999.35 GB Disk used: 186.68 GB
Destinations:
VERBATIM HD [Local]
Total size: 499.76 GB
Total number of backups: 9
Oldest backup: 31/12/13, 15:08
Last backup: 20/09/16, 00:45
Size of backup disk: Too small
Backup size 499.76 GB < (Disk used 186.68 GB X 3)

Top Processes by CPU: ⓘ
3% com.apple.WebKit.WebContent
3% WindowServer
2% kernel_task
1% Safari
1% hidd

Top Processes by Memory: ⓘ
758 MB kernel_task
377 MB mdworker(15)
172 MB Finder
147 MB Safari
115 MB assistantd

Virtual Memory Information: ⓘ
4.86 GB Available RAM
2.83 GB Free RAM
3.14 GB Used RAM
2.03 GB Cached files
0 B Swap Used

Diagnostics Information: ⓘ
Feb 13, 2017, 08:18:03 PM Self test - passed
Feb 13, 2017, 08:02:53 PM ~/Library/Logs/DiagnosticReports/Finder_2017-02-13-200253_[redacted].crash
com.apple.finder - /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder
Feb 13, 2017, 08:02:13 PM ~/Library/Logs/DiagnosticReports/Finder_2017-02-13-200213_[redacted].crash
Feb 13, 2017, 01:32:34 AM /Library/Logs/DiagnosticReports/TomTom MySports Connect_2017-02-13-013234_[redacted].hang
/Applications/TomTom MySports Connect.app/Contents/MacOS/TomTom MySports Connect

[faxus]

Ma dove hai raccattato tutte quelle porcherie, che successivamente hai disinstallato a coda di gatto?

Hahaha... Mi ci vuole un po' di tempo.
O più tardi o domattina ti elenco le cose da eliminare e come.
Compreso Mackeeper e Adobe Reader