iMaccanici Assistenza Mac

Buongiorno a tutti,
credo di avere qualche malware o virus perchè il mio mac si comporta stranamente.

Apre i browser da solo, Safari e Firefox, poi oggi mi è comparso sul desktop questa cosa come vedete da allegato.

Da quando ho il mac non mi è mai successa una cosa simile, ma forse adesso ho installato / scaricato qualcosa di sbagliato.
Come potrei capire se c'è qualcosa che non va e, magari disinstallare qualcosa di sospetto ?

Grazie per l'aiuto !

Scarica EtreCheck e posta il suo resoconto qui. Probabilmente hai uno o più adware.

Segui queste istruzioni: https://www.imaccanici.org/article.php/EtreCheck" onclick="window.open(this.href);return false;

Se la situazione non è troppo complicata EtreCheck stesso sarà in grado di rimuovere gli adware presenti.
Comunque come primo passo tu posta il resoconto così lo guardano anche gli altri iMaccanici.

Codice: Seleziona tutto

EtreCheck version: 3.4.6 (460)
Report generated 2017-11-12 11:27:50
Download EtreCheck from https://etrecheck.com
Runtime: 3:25
Performance: Good

Click the [Lookup] links for more information from Apple Support Communities.
Click the [Details] links for more information about that line.
Click the [Remove/Report] links to remove adware or update the whitelist of legitimate software.

Problem: No problem - just checking

Hardware Information: ?
    MacBook Pro (15-inch, Mid 2010) 
    [Technical Specifications] - [User Guide] - [Warranty & Service]
    MacBook Pro - model: MacBookPro6,2
    1 2.4 GHz Intel Core i5 (i5) CPU: 2-core
    4 GB RAM Upgradeable - [Instructions]
        BANK 0/DIMM0
            2 GB DDR3 1067 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1067 MHz ok
    Handoff/Airdrop2: not supported
    Wireless:  en1: 802.11 a/b/g/n
    Battery: Health = Normal - Cycle count = 320

Video Information: ?
    Intel HD Graphics - VRAM: 288 MB
    NVIDIA GeForce GT 330M - VRAM: 256 MB
        Color LCD 1440 x 900

Disk Information: ?
    Hitachi HTS545032B9SA02 disk0: (320,07 GB) (Rotational)
    [Show SMART report]
        (disk0s1) <not mounted>  [EFI]: 210 MB
        (disk0s2) <not mounted>  [CoreStorage Container]: 319.21 GB
        (disk0s3) <not mounted>  [Recovery]: 650 MB

    MATSHITADVD-R   UJ-898  ()

USB Information: ?
     EHCI Root Hub Simulation 
         hub_device 
            Apple Inc. Keyboard Hub 
                Apple Inc. Apple Keyboard 
            Apple Inc. BRCM2070 Hub 
                Apple Inc. Bluetooth USB Host Controller 
            Apple Internal Memory Card Reader 
            Apple Inc. Apple Internal Keyboard / Trackpad 
     EHCI Root Hub Simulation 
         hub_device 
             USB2.0 Hub 
                MOTU UltraLite mk3 
                 USB2.0 Hub 
                    Native Instruments Traktor Kontrol F1 
                    Native Instruments Traktor Kontrol X1 
                Native Instruments Komplete Audio 6 
                Logitech USB Laser Mouse 
            Apple Computer, Inc. IR Receiver 
            Apple Inc. Built-in iSight 

Virtual disks: ?
    HD (disk1 - Journaled HFS+) /  [Startup]: 318.84 GB (249.38 GB free)
        Physical disk: disk0s2 319.21 GB Online

System Software: ?
    OS X Yosemite 10.10.5 (14F27) - Time since boot: about one hour

Gatekeeper: ?
    Mac App Store and identified developers

Possible adware: ?
    Unknown file: /Library/LaunchAgents/com.costoscapular.bt.plist
    	/Library/costoscapular.bt/costoscapular.bt.app/Contents/MacOS/costoscapular.bt
    Adware: /Library/LaunchAgents/macsearch.plist
    Unknown file: ~/Library/LaunchAgents/com.QuickLookSearches.plist
    	~/Library/Application Support/com.QuickLookSearches/QuickLookSearches r
    Unknown file: ~/Library/LaunchAgents/com.amene-Bizonia.plist
    	~/Library/carbuncled/qajAwDZo/mvQfJNbK/BrxBJNXl/amene-Bizonia
    Unknown file: ~/Library/LaunchAgents/com.fibrochondritis.iu.plist
    	~/Library/fibrochondritis.iu/fibrochondritis.iu.app/Contents/MacOS/fibrochondritis.iu
    Adware: ~/Library/LaunchAgents/com.pcv.hlpramcn.plist
    Unknown file: ~/Library/LaunchAgents/com.polytrophic.plist
    	~/Library/polytrophic/polytrophic
    7 possible adware files found. [Remove/Report]

Kernel Extensions: ?
        /Applications/ExpressVPN.app
    [not loaded]    com.expressvpn.splittunnel (1.0.2 - SDK 10.12) [Lookup]

        /Library/Extensions
    [loaded]    com.motu.driver.FireWireAudio (1.6 73220 - SDK 10.6) [Lookup]
    [not loaded]    com.motu.driver.MicroBookAudio (1.6 73220 - SDK 10.6) [Lookup]
    [not loaded]    com.motu.driver.PCIAudio (1.6 73220 - SDK 10.6) [Lookup]
    [not loaded]    com.motu.driver.USBMidiKext (1.6 73220 - SDK 10.6) [Lookup]

System Launch Agents: ?
    [not loaded]    4 Apple tasks
    [loaded]    150 Apple tasks
    [running]    57 Apple tasks

System Launch Daemons: ?
    [not loaded]    47 Apple tasks
    [loaded]    132 Apple tasks
    [running]    82 Apple tasks

Launch Agents: ?
    [loaded]    com.Arturia.ArturiaSoftwareCenterAgent.plist (Arturia - installed 2017-11-07) [Lookup]
    [loaded]    com.costoscapular.bt.plist (? 8e21b69e 41109ad0 - installed 2017-11-05) [Lookup]
    [running]    com.motu.MOTULauncher.plist (? ? ? - installed 2017-07-21) [Lookup]
    [loaded]    macsearch.plist (? 7d29d131 4f77794f - installed 2017-11-05) Adware!  [Remove/Report]
        /Library/Application Support/Agent/macsearch

Launch Daemons: ?
    [loaded]    com.adobe.fpsaud.plist (? 2afb3af7 564efddb - installed 2017-10-20) [Lookup]
    [loaded]    com.microsoft.autoupdate.helpertool.plist (Microsoft Corporation - installed 2016-08-03) [Lookup]
    [loaded]    com.microsoft.office.licensingV2.helper.plist (Microsoft Corporation - installed 2016-04-11) [Lookup]
    [loaded]    com.native-instruments.NativeAccess.Helper2.plist (Native Instruments GmbH - installed 2017-11-06) [Lookup]

User Launch Agents: ?
    [loaded]    com.QuickLookSearches.plist (? 53a05326 2b2636ba - installed 2017-11-05) [Lookup]
    [running]    com.amene-Bizonia.plist (? 2e50059 e1925981 - installed 2017-11-08) [Lookup]
    [loaded]    com.fibrochondritis.iu.plist (? 6025c411 41109ad0 - installed 2017-11-08) [Lookup]
    [loaded]    com.google.keystone.agent.plist (Google, Inc. - installed 2017-11-05) [Lookup]
    [running]    com.pcv.hlpramcn.plist (Techyutils Software Private Limited - installed 2017-11-05) Adware!  [Remove/Report]
        ~/Library/Application Support/amc/helperamc.app/Contents/MacOS/helperamc
    [running]    com.polytrophic.plist (? fecdd873 b342a111 - installed 2017-11-08) [Lookup]
    [loaded]    com.skype.skype.shareagent.plist (Skype Communications S.a.r.l - installed 2017-11-05) [Lookup]

Internet Plug-ins: ?
    FlashPlayer-10.6: 27.0.0.183 (installed 2017-11-05) [Lookup]
    Flash Player: 27.0.0.183 (installed 2017-11-05) [Lookup]
    QuickTime Plugin: 7.7.3 (installed 2017-11-05)
    Default Browser: 600 (installed 2015-07-17)

3rd Party Preference Panes: ?
    Flash Player (installed 2017-10-20) [Lookup]

Time Machine: ?
    Time Machine not configured!

Top Processes by CPU: ?
         7%   	kernel_task
         5%   	WindowServer
         1%   	System Events
         1%   	mdworker
         1%   	mdworker

Top Processes by Memory: ?
    481 MB    	kernel_task
    467 MB    	softwareupdated
    288 MB    	firefox
    129 MB    	plugin-container
    110 MB    	Finder

Top Processes by Energy Use: ?
      6.54	WindowServer
      1.62	taskgated
      1.48	System Events
      0.54	launchservicesd

Virtual Memory Information: ?
    1.43 GB   	Available RAM
    45 MB     	Free RAM
    2.57 GB   	Used RAM
    1.39 GB   	Cached files
    0 B       	Swap Used

Software installs (last 30 days): ?
    ExpressVPN:  (installed 2017-11-05)
    MacKeeper:  (installed 2017-11-05)
    MacKeeper:  (installed 2017-11-05)
    MOTU Audio:  (installed 2017-11-05)
    Adobe Flash Player:  (installed 2017-11-05)
    Microsoft Office 2016 per Mac:  (installed 2017-11-06)
    Microsoft Word for Mac:  (installed 2017-11-06)
    Microsoft PowerPoint for Mac:  (installed 2017-11-06)
    Microsoft Office 2016 Volume License Serializer:  (installed 2017-11-06)
    Microsoft AutoUpdate:  (installed 2017-11-06)
    Microsoft AutoUpdate:  (installed 2017-11-06)
    Microsoft Office 2016 Volume License Serializer:  (installed 2017-11-06)
    Reaktor 6:  (installed 2017-11-06)
    Molekular:  (installed 2017-11-06)
    Kontakt 5:  (installed 2017-11-06)
    Reaktor 5:  (installed 2017-11-06)
    Kontakt 5:  (installed 2017-11-06)
    Mini V3:  (installed 2017-11-07)
    Molekular:  (installed 2017-11-08)
    Reaktor 5:  (installed 2017-11-08)

    Install information may not be complete.

Diagnostics Events (last 3 days for minor events): ?
    2017-11-12 10:13:05    Firefox.app Crash [Open]

resonate ha scritto:

Codice: Seleziona tutto

Possible adware: ?
    Unknown file: /Library/LaunchAgents/com.costoscapular.bt.plist
    	/Library/costoscapular.bt/costoscapular.bt.app/Contents/MacOS/costoscapular.bt
    Adware: /Library/LaunchAgents/macsearch.plist
    Unknown file: ~/Library/LaunchAgents/com.QuickLookSearches.plist
    	~/Library/Application Support/com.QuickLookSearches/QuickLookSearches r
    Unknown file: ~/Library/LaunchAgents/com.amene-Bizonia.plist
    	~/Library/carbuncled/qajAwDZo/mvQfJNbK/BrxBJNXl/amene-Bizonia
    Unknown file: ~/Library/LaunchAgents/com.fibrochondritis.iu.plist
    	~/Library/fibrochondritis.iu/fibrochondritis.iu.app/Contents/MacOS/fibrochondritis.iu
    Adware: ~/Library/LaunchAgents/com.pcv.hlpramcn.plist
    Unknown file: ~/Library/LaunchAgents/com.polytrophic.plist
    	~/Library/polytrophic/polytrophic
    7 possible adware files found. [Remove/Report]


Launch Agents: ?
    
    [loaded]    macsearch.plist (? 7d29d131 4f77794f - installed 2017-11-05) Adware!  [Remove/Report]
        /Library/Application Support/Agent/macsearch

Launch Daemons: ?
    [loaded]    com.adobe.fpsaud.plist (? 2afb3af7 564efddb - installed 2017-10-20) [Lookup]
    [loaded]    com.microsoft.autoupdate.helpertool.plist (Microsoft Corporation - installed 2016-08-03) [Lookup]
    [loaded]    com.microsoft.office.licensingV2.helper.plist (Microsoft Corporation - installed 2016-04-11) [Lookup]
    [loaded]    com.native-instruments.NativeAccess.Helper2.plist (Native Instruments GmbH - installed 2017-11-06) [Lookup]

User Launch Agents: ?
    
    [running]    com.pcv.hlpramcn.plist (Techyutils Software Private Limited - installed 2017-11-05) Adware!  [Remove/Report]
        ~/Library/Application Support/amc/helperamc.app/Contents/MacOS/helperamc
    


Software installs (last 30 days): ?
    ExpressVPN:  (installed 2017-11-05)
    MacKeeper:  (installed 2017-11-05)
    MacKeeper:  (installed 2017-11-05)
    MOTU Audio:  (installed 2017-11-05)
    Adobe Flash Player:  (installed 2017-11-05)
    Microsoft Office 2016 per Mac:  (installed 2017-11-06)
    Microsoft Word for Mac:  (installed 2017-11-06)
    Microsoft PowerPoint for Mac:  (installed 2017-11-06)
    Microsoft Office 2016 Volume License Serializer:  (installed 2017-11-06)
    Microsoft AutoUpdate:  (installed 2017-11-06)
    Microsoft AutoUpdate:  (installed 2017-11-06)
    Microsoft Office 2016 Volume License Serializer:  (installed 2017-11-06)
    Reaktor 6:  (installed 2017-11-06)
    Molekular:  (installed 2017-11-06)
    Kontakt 5:  (installed 2017-11-06)
    Reaktor 5:  (installed 2017-11-06)
    Kontakt 5:  (installed 2017-11-06)
    Mini V3:  (installed 2017-11-07)
    Molekular:  (installed 2017-11-08)
    Reaktor 5:  (installed 2017-11-08)

    Install information may not be complete.

Diagnostics Events (last 3 days for minor events): ?
    2017-11-12 10:13:05    Firefox.app Crash [Open]

EtreCheck ti ha rilevato del malware. Disinstallalo cliccando su Remove direttamente da EtreCheck.
Poi ripetilo per un controllo.
Hai anche delle installazioni recenti (di novembre) di altra porcheria, tra cui MacKeeper. Più tardi guardo in modo più approfondito il tutto, ci sono un paio di altre cose sospette.
Per ora comincia da quanto indicato.

Grazie !

Per favore cambia il titolo.
Non esistono virus per OS X/macOS.

Il malware esiste temporaneamente.
In genere pochi giorni, fino a che Apple non distribuisce un aggiornamento di sicurezza.
Adware, ce n'è, invece per chi frequenta siti di streaming e download irregolare col naso all'insù.

Metti un titolo come:
Adware o peggio, in un MBP con Yosemite?

Infatti sei pieno di adlware.
E Mackeeper l'autore della raccolta
Lo dovrai rimuovere con lo stesso EtreCheck, ovunque trovi [Remove]

Ed in particolare

/Library/LaunchAgents/com.costoscapular.bt.plist
/Library/costoscapular.bt/costoscapular.bt.app/Contents/MacOS/costoscapular.bt
/Library/LaunchAgents/macsearch.plist
~/Library/LaunchAgents/com.QuickLookSearches.plist
~/Library/Application Support/com.QuickLookSearches/QuickLookSearches r
~/Library/LaunchAgents/com.amene-Bizonia.plist
~/Library/carbuncled/qajAwDZo/mvQfJNbK/BrxBJNXl/amene-Bizonia
~/Library/LaunchAgents/com.fibrochondritis.iu.plist
~/Library/fibrochondritis.iu/fibrochondritis.iu.app/Contents/MacOS/fibrochondritis.iu
~/Library/LaunchAgents/com.pcv.hlpramcn.plist
~/Library/LaunchAgents/com.polytrophic.plist
~/Library/polytrophic/polytrophic

Eseguirai anche una ricerca con quei nomi con EasyFind
http://www.devontechnologies.com/products/freeware/" onclick="window.open(this.href);return false;
Per eliminare anche altro fosse presente correlato.

Elimina Mackeeper
Questo che segue è un elenco standard dell'installazione di Mackeeper.
Fai un controllo su eventuali residui, ma soprattutto esegui il comando di Terminale.
Poi, se vuoi evitare in futuro installazioni accidentali immetti con Terminale, GasMask o Hosts gli indirizzi nel file hosts che trovi alla fine.

Devi fare un controllo nelle cartelle che ti indico e gettare nel cestino i file indicati ed in genere tutto quello che ha nome Mackeeper e Zeobit

In Applicazioni/Mackeeper.app

Poi nella libreria del tuo utente (~/Library) (se non la trovi premi il tasto alt e clicca sul menù Vai del Finder)
~ Library/Application Support/MacKeeper Helper
~ Library/Caches/com.zeobit.MacKeeper
~ Library/Caches/com.zeobit.MacKeeper.Helper
~ Library/Caches/com.mackeeper.MacKeeper
~ Library/Caches/com.mackeeper.MacKeeper.Helper
~ Library/Caches/LaunchAgents/com.zeobit.MacKeeper.Helper.plist
~ Library/LaunchAgents/com.zeobit.MacKeeper.plugin.Backup.agent.plist
~ Library/LaunchAgents/com.mackeeper.MacKeeper.Helper.plist
~ Library/Logs/MacKeeper.log
~ Library/Logs/MacKeeper.log.signed
~ Library/Preferences/com.zeobit.MacKeeper.plist
~ Library/Preferences/com.zeobit.MacKeeper.Helper.plist
~ Library/Preferences/com.mackeeper.MacKeeper.plist
~ Library/Preferences/com.mackeeper.MacKeeper.Helper.plist

Poi nella Libreria di Macintosh HD:
/Library/Application Support > MacKeeper
/Library/LaunchDaemons/com.zeobit.MacKeeper.AntiVirus.plist
/Library/LaunchDaemon/com.zeobit.MacKeeper.plugin.AntiTheft.daemon.plist

Poi, dal menù Vai del Finder, Vai alla cartella /private/tmp/ e rimuovi com.mackeeper.MacKeeper.Installer.config
Poi ancora /private/var/db/receipts/ e rimuovi:
com.mackeeper.MacKeeper.affid.pkg.plist
com.mackeeper.MacKeeper.affid.pkg.bom
com.mackeeper.MacKeeper.pkg.plist
com.mackeeper.MacKeeper.pkg.bom

Poi apri Terminale e copia, incolla ed esegui premendo accapo il seguente comando

Codice: Seleziona tutto

sudo rm /Library/Preferences/.3FAD0F65-FC6E-4889-B975-B96CBF807B78

Dai la password senza aspettarti di visualizzarla, ancora accapo, poi scrivi exit, accapo, chiudi Terminale.

Poi inserisci nel file hosts
127.0.01 makeeper.com
127.0.01 makeeper.it
127.0.01 makeeperapp.makeeper.com
127.0.01 makeeperapp2.makeeper.com
127.0.01 makeeperapp3.makeeper.com

Fatto TUTTO questo scarica OnyX
http://www.titanium.free.fr/onyx.html" onclick="window.open(this.href);return false;
Ed esegui solo quanto vedi spuntato nell’immagine

Poi riavvia il sistema.

Infine, per essere sicuro che non hai installato del vecchio malware senza aver fatto gli aggiornamenti di sicurezza, esegui questi due comandi con Terminale.
Uno per volta, quindi posta i risultati, se del secondo non ci fossero, confermalo:

Codice: Seleziona tutto

dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

Vabbè, torno a guardare e vedo che ƒaxus è stato esaustivo, come al solito.

Esegui, una volta fatte tutte le altre operazioni ed aver riavviato, gli ultimi due comandi da Terminale suggeriti.
Magari non trovano nulla di nocivo, ma è solo per avere delle informazioni certe ed essere sicuri.

Scusa Kundalini, ho visto che avevi risposto prima tu al momento di pubblicare.

Ma andavo di corsa e avevo delle istruzioni ulteriori.
Non ho editato il post...

Non restare a guardare, tu, Jethro o io non importa chi risponde

faxus ha scritto:Scusa Kundalini, ho visto che avevi risposto prima tu al momento di pubblicare.

Ma andavo di corsa e avevo delle istruzioni ulteriori.
Non ho editato il post...

Non restare a guardare, tu, Jethro o io non importa chi risponde

Non ti scuso, perché non hai niente da farti scusare. Mica siamo in competizione

. Anche io ero di fretta, sono stato piuttosto sintetico. Tornatoci sopra, dopo, ho letto che erano state fornite istruzioni più che dettagliate; vediamo se i due comandi da Terminale forniscono risposte a quel che si può sospettare, anche se non è sicuro. Servono a quello, dopotutto.

A volte vorrei avere delle giornate di 26 o 27 ore, per riuscire a fare tutto ciò che mi interessa.
Utopia.

Kundalini ha scritto:A volte vorrei avere delle giornate di 26 o 27 ore, per riuscire a fare tutto ciò che mi interessa.
Utopia.

Un problema che non affliggeva Michelangelo o Da Vinci, tanto per citarne un paio.

Godiamoci quello che riusciamo a fare ché già è tanto.

speriamo di reincarnarci in The Flash

Kundalini ha scritto:A volte vorrei avere delle giornate di 26 o 27 ore, per riuscire a fare tutto ciò che mi interessa

Guardate che sugnu tubista pure io!

iMaccanici Assistenza Mac

Malware o virus

Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus

Re: Malware o virus