Malware ... aiuto!

Mac OS X e le sue Applicazioni

Moderatore: ModiMaccanici

R0ME0
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: sab, 22 mar 2014 11:11
Messaggi: 78
Oggetto del messaggio: Malware ... aiuto!

Messaggio Inviato: dom, 14 apr 2019 14:21

Ciao a tutti. Un malware fastidioso mascherato da aggiornamento flashplayer mi si è installato sull' iMac. Si tratta di weknow.ac all'apertura dei miei browser ( safari e chrome ) che improvvisamente parlano inglese e non mi permette più alcune operazioni. Vengo reindirizzato automaticamente al browser Search e non riesco a trovare il modo di liberarmene, in più il malware mi ha tolto la possibilità di resettare safari e chrome. Ho provato diverse guide... eliminati i profili, estensioni... ma niente: weknow è sempre qui, pronto ad agire su ogni accesso ad internet. Qualcuno può aiutarmi? Grazie in anticipo.
Chappy
Maccanico Pro
Maccanico Pro
Avatar utente
Iscritto il: dom, 22 feb 2015 11:54
Messaggi: 2520
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: dom, 14 apr 2019 14:23

Fai girare un free trial di Detect X https://sqwarq.com/detectx/
Esegui una scansione ed elimina il malware :)
"L'espressione migliore di educazione è quella di correggere in privato e congratulare in pubblico."
Hammarby
Unix Expert
Unix Expert
Avatar utente
Iscritto il: gio, 29 ott 2009 14:28
Messaggi: 4022
Località: Stockholm, SE
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: dom, 14 apr 2019 15:29

Ognuno è come Dio lo ha fatto, ahimé...
...e spesso peggio.

Cervantes
R0ME0
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: sab, 22 mar 2014 11:11
Messaggi: 78
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: dom, 14 apr 2019 16:09

Eh nulla. Sembra proprio che non c'è soluzione. Neppure la scansione con Detectx ha funzionato. :(
Kundalini
Expert
Expert
Avatar utente
Iscritto il: ven, 05 lug 2013 20:33
Messaggi: 701
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: dom, 14 apr 2019 16:29

R0ME0 ha scritto:
dom, 14 apr 2019 16:09
Eh nulla. Sembra proprio che non c'è soluzione. Neppure la scansione con Detectx ha funzionato. :(
Augurandoti che non sia come dice Hammarby, per Chrome prova questi comandi da Terminale:

Codice: Seleziona tutto

defaults write com.google.Chrome HomepageIsNewTabPage -bool false

Codice: Seleziona tutto

defaults write com.google.Chrome NewTabPageLocation -string "https://www.google.com/"

Codice: Seleziona tutto

defaults write com.google.Chrome HomepageLocation -string "https://www.google.com/"

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderSearchURL

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderNewTabURL

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderName
Copiali uno per volta e premi ⏎ dopo ogni comando. Dovrebbero liberarti da Search su Chrome. Fai sapere se funzionano su quel browser. Per Safari devo cercare, ricordo una discussione con una serie di comandi postati da faxus.
Se funziona, non aggiustarlo.


MBP 13" late 2010 macOS 10.12.6 Sierra
HD originale deceduto, sostituito con SSD Samsung EVO 850 da 250 GB
Motherboard riparata, aprile 2016
Upgrade RAM a 8 GB, gennaio 2018
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26207
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: dom, 14 apr 2019 22:50

R0ME0 ha scritto:
dom, 14 apr 2019 16:09
... Neppure la scansione con Detectx ha funzionato. :(
Avresti dovuto postare il risultato della scansione...
R0ME0
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: sab, 22 mar 2014 11:11
Messaggi: 78
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: lun, 15 apr 2019 11:03

Kundalini ha scritto:
dom, 14 apr 2019 16:29
R0ME0 ha scritto:
dom, 14 apr 2019 16:09
Eh nulla. Sembra proprio che non c'è soluzione. Neppure la scansione con Detectx ha funzionato. :(
Augurandoti che non sia come dice Hammarby, per Chrome prova questi comandi da Terminale:

Codice: Seleziona tutto

defaults write com.google.Chrome HomepageIsNewTabPage -bool false

Codice: Seleziona tutto

defaults write com.google.Chrome NewTabPageLocation -string "https://www.google.com/"

Codice: Seleziona tutto

defaults write com.google.Chrome HomepageLocation -string "https://www.google.com/"

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderSearchURL

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderNewTabURL

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderName
Copiali uno per volta e premi ⏎ dopo ogni comando. Dovrebbero liberarti da Search su Chrome. Fai sapere se funzionano su quel browser. Per Safari devo cercare, ricordo una discussione con una serie di comandi postati da faxus.
Ti ringrazio! Appena torno a casa da lavoro, provvo immediatamente e scrivo qui il risultato.
R0ME0
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: sab, 22 mar 2014 11:11
Messaggi: 78
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: lun, 15 apr 2019 11:09

faxus ha scritto:
dom, 14 apr 2019 22:50
R0ME0 ha scritto:
dom, 14 apr 2019 16:09
... Neppure la scansione con Detectx ha funzionato. :(
Avresti dovuto postare il risultato della scansione...
Avevo risposto a Chappy col risultato della scansione, ma devo aver sbagliato ad inviare perchè non vedo la mia risposta. Dalla scansione sono venuti fuori alcuni file dal nome "commerce..qualcosa" stesso nome di una cartella che avevo precedentemente eliminato dalle applicazioni ( seguendo un tutorial che mi avvisava di possibili applicazioni installate "a tradimento" dal malware). Ad ogni modo, ho eliminato quei file dalla scansione di Detectx... e il problema persiste.
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26207
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: lun, 15 apr 2019 18:41

R0ME0 ha scritto:
lun, 15 apr 2019 11:09
... e il problema persiste.
Inutile perdersi in discussioni vane.

Hai un'altissima probabilità di avere installato Slayer.
Se avessi postato il risultato della finestra di DetectX forse avremmo potuto fare altro.

In mancanza di quello, reinstalla da zero con le indicazioni per Slayer.
Come aveva esattamente postato Hammarby
Chappy
Maccanico Pro
Maccanico Pro
Avatar utente
Iscritto il: dom, 22 feb 2015 11:54
Messaggi: 2520
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: lun, 15 apr 2019 22:28

Alla fine, tra una prova e l'altra l'avrò beccato anch'io... :roll:

Immagine

in realtà ho usato unblockensites per viaggiare su library genesis e trovare qualche pdf non reperibile in biblioteca.
"L'espressione migliore di educazione è quella di correggere in privato e congratulare in pubblico."
R0ME0
Apprendista Maccanico
Apprendista Maccanico
Avatar utente
Iscritto il: sab, 22 mar 2014 11:11
Messaggi: 78
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: lun, 15 apr 2019 23:39

Kundalini ha scritto:
dom, 14 apr 2019 16:29
R0ME0 ha scritto:
dom, 14 apr 2019 16:09
Eh nulla. Sembra proprio che non c'è soluzione. Neppure la scansione con Detectx ha funzionato. :(
Augurandoti che non sia come dice Hammarby, per Chrome prova questi comandi da Terminale:

Codice: Seleziona tutto

defaults write com.google.Chrome HomepageIsNewTabPage -bool false

Codice: Seleziona tutto

defaults write com.google.Chrome NewTabPageLocation -string "https://www.google.com/"

Codice: Seleziona tutto

defaults write com.google.Chrome HomepageLocation -string "https://www.google.com/"

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderSearchURL

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderNewTabURL

Codice: Seleziona tutto

defaults delete com.google.Chrome DefaultSearchProviderName
Copiali uno per volta e premi ⏎ dopo ogni comando. Dovrebbero liberarti da Search su Chrome. Fai sapere se funzionano su quel browser. Per Safari devo cercare, ricordo una discussione con una serie di comandi postati da faxus.
Fantastico! Ha funzionato! Chrome è finalmente libero! Grazie infinite. Se riesci a risolvermi anche per Safari sarebbe grandioso!
Chappy
Maccanico Pro
Maccanico Pro
Avatar utente
Iscritto il: dom, 22 feb 2015 11:54
Messaggi: 2520
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: mar, 16 apr 2019 01:08

Hanno funzionato anche per il mio chrome quei comandi.

Una domanda, che differenza c'è tra defaults e brew?
"L'espressione migliore di educazione è quella di correggere in privato e congratulare in pubblico."
faxus
Pro-Expert 
Pro-Expert 
Avatar utente
Iscritto il: lun, 02 giu 2014 15:12
Messaggi: 26207
Località: Due Sicilie
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: mar, 16 apr 2019 07:11

Chappy ha scritto:
mar, 16 apr 2019 01:08
... che differenza c'è tra defaults e brew?
Defaults è una utilità di Terminale (un comando).

Brew (Homebrew) è un gestore di pacchetti.
Nello specifico di software mancante nell'ambiente OS X/macOS
Kundalini
Expert
Expert
Avatar utente
Iscritto il: ven, 05 lug 2013 20:33
Messaggi: 701
Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: mar, 16 apr 2019 20:51

R0ME0 ha scritto:
lun, 15 apr 2019 23:39

...Fantastico! Ha funzionato!...


Mi fa piacere.
R0ME0 ha scritto:
lun, 15 apr 2019 23:39
...Grazie infinite...
Ringrazio per i ringraziamenti :D , ma ci tengo a dire che non è solo farina del mio sacco; buona parte del merito va a Mauripucci, che se non ricordo male per primo ha postato la soluzione, citandone anche la fonte, in questa discussione viewtopic.php?f=9&t=44843&start=15#p493235
Io mi sono limitato a segnarmela nei miei appunti, nel caso ve ne fosse bisogno in un'eventualità futura, come in effetti è stato.
R0ME0 ha scritto:
lun, 15 apr 2019 23:39
Se riesci a risolvermi anche per Safari sarebbe grandioso!
Eh, magari bastassero 6 comandi per risolvere la situazione.
Una volta, fino a Mavericks, era presente nel menù di Safari la voce Ripristina. Ora non più.

Ipotizzando che il tuo Mac non sia vittima di Shlayer, visto che con Chrome le cose sono andate a buon fine e l'utente non dovrebbe essere infettato, hai diverse alternative, a mio parere.

1) se hai un backup con Time Machine potresti ripristinare Safari da lì (Time Machine > Applicazioni > Safari > Ripristina) avendo l'accortezza di andare indietro nel tempo ad un momento in cui Safari funzionava regolarmente. Certo dovresti esser sicuro di una data di TM con Safari sano.

2) reinstallare tutto il sistema, sovrascrivendolo (senza inizializzazione del disco) da Recovery; non perderesti i dati e non toccheresti l'utente. Questo naturalmente sempre nell'ipotesi che non si trattasse di Shlayer, con corruzione dell'utente appunto, altrimenti l'operazione non è utile.

3) ho ritrovato i comandi della discussione che ricordavo, caricati da faxus. Era questa viewtopic.php?f=10&t=45138&p=496637&hil ... be#p496604
Al netto dei suggerimenti per eliminare MacKeeper, ci sono le istruzioni per ricostruire Safari. Operazione che io personalmente non ho mai eseguito, sempre meglio avere un backup a portata di mano, secondo me.

Tra l'altro in quella discussione si possono pure trovare i comandi per Chrome che avevo indicato ieri :wink:

4) ripetere DetectX e caricare la risposta di come è adesso il tuo Mac. Magari si riesce ad individuare la ragione del malfunzionamento di Safari.
Se funziona, non aggiustarlo.


MBP 13" late 2010 macOS 10.12.6 Sierra
HD originale deceduto, sostituito con SSD Samsung EVO 850 da 250 GB
Motherboard riparata, aprile 2016
Upgrade RAM a 8 GB, gennaio 2018
Chappy
Maccanico Pro
Maccanico Pro
Avatar utente
Iscritto il: dom, 22 feb 2015 11:54
Messaggi: 2520
Contatta:

Top

Oggetto del messaggio: Re: Malware ... aiuto!

Messaggio Inviato: mer, 17 apr 2019 00:53

Purtroppo il problema dei pop-up su google chrome persiste sul mio MacBook.
Inoltre riporto un'anomalia del forum, questo messaggio è stato postato 15 minuti fa circa e ritrovo l'ora del messaggio di un'ora abbondante indietro.
Per un momento ho creduto che la mia umile dimora fosse diventata una macchina del tempo.
"L'espressione migliore di educazione è quella di correggere in privato e congratulare in pubblico."
Rispondi