OSX Pirrit - Admin nascosti e Server

[wilco1211]

Salve. Nei giorni scorsi ho avuto la consapevolezza di avere "ospiti" non invitati e nemmeno graditi sul mio MacBook Pro fine 2008 (Mavericks). Mi ero veramente spaventato per l'aggressività del malware/adware che inizialmente speravo di poter risolvere con qualche antivirus gratis (sono ricorso a Sophos e ancor prima a Bitdefender). Poi ho provato con Etrecheck.Infine ho letto gli interventi sul Forum e ho cercato di arrangiarmi. La conferma che fosse Pirrit l'ho avuta ricorrendo alla verifica da eseguire in Terminale. Sono stati preziosi i suggerimenti colti nei citati interventi del Forum di qualche giorno fa. Utile mi è stato imparare il modo di svuotare il Cestino in modo sicuro e "forzato" anche quando lo svuotamento normale non funziona; utili sono stati gli interventi consigliati (cercando di interpretare come si devono eseguire gli Script in Terminale - cosa che non sapevo e nemmeno ora e che non avevo mai fatto prima). Poi ci ho messo del mio: sono andato a pescare nel disco fisso tutto quello che riportava i "Nomi" della lista degli Amministratori Nascosti (codice 401) che poi ho provveduto a cestinare manualmente (i "divieti" li ho aggirati con tasto dx/ottieni informazioni, aprendo il lucchetto con la psw di Amministratore. Una volta forzati tutti i divieti sono riuscito a cestinare e poi a svuotare in modo sicuro. Il lavoro di pulizia è stato lungo. Molto lungo. L'ho perfezionato anche facendo una ricerca di tutti gli items riportanti i predetti "Nomi" di amministratori scorrazzanti nel mio Mac, facendo ricorso alla App "Find any File" (da App Store: 7.99€ ben spesi): questa App scova veramente tutto e quindi sei sicuro di poter fare una pulizia completa. Facendo questa pulizia ho verificato che il Nome dell'Amministratore che aveva il controllo di tutte queste Cartelle era sempre lo stesso e coincideva con uno degli Amministratori Nascosti (circa 20; non tutti attivi. Si attivavano, mi è sembrato, 1 alla volta ad ogni riavviamento del Mac). Importante anche saper fare uso del modo per entrare in certi ambiti del Sistema che sono più tutelati/protetti di altri: /Private (tramite Finder / Vai /Vai alla cartella); Libreria dell'Utente (Finder / Vai + Alt => e così compare nella lista). Della presenza di ospiti non graditi mi ero accorto anche andando in Monitoraggio Attività. Qui dopo aver ordinato alfabeticamente per Utente ti rendi conto se c'è qualcuno oppure no. Devono essere presenti sicuramente il tuo nome e Root più pochi altri. Ho eliminato anche tutto quello che, pur non avendo alcuno dei nomi degli Amministratori nascosti aveva comunque la stessa Struttura e Data di creazione. Tra questi c'era anche un'App (mi pare di ricordare si chiamasse Urek). Nell'occasione sono intervenuto massicciamente anche nell'eliminazione di "quasi" tutto ciò che potesse riguardare FlashPalyer (di cui avevo autorizzato l'aggiornamento imprudentemente - ma lo so solo ora- invece di rimandare ed andare a scaricare direttamente dal sito di Adobe).
Per completare il lavoro mi servirebbe di riuscire ad eliminare gli Amministratori nascosti (che rilevo ancora in Terminale facendo la ricerca col comando del 401) anche se non sono più in attività (e spero che restino così). Il metodo di renderli "visibili" in Preferenza di Sistema/Utenti e Gruppi trovato sul forum della Apple, non ha funzionato.
inoltre vorrei avere qualche input per una maniera per eliminare i server abbinati a ciascun Amministratore Nascosto che Find any File individua ancora ma non riesce a rimuovere e io non riesco a trovare: la location viene indicata come /Private/var/tmp/ ma quando vado non c'è traccia di ciò che cerco. Preciso comunque che il contenuto indicato è pari a 0.
Un'ultima richiesta riguarderebbe il vostro parere sui seguenti items:
com.macromedia.Flash Player.plugin.sb
situato in:
/System/Library/StagedFrameworks/Safari/WebKit.framework/Versions/A/Resources/PlugInSandboxProfiles

Flash Player
File Unix Eseguibile
situato in:
/Library/PreferencePanes/Flash Player.prefPane/Contents/MacOS

Grazie


Allegato ultimo report Etracheck:



EtreCheck version: 2.9.12 (265)
Report generated 2016-06-08 19:21:14
Download EtreCheck from https://etrecheck.com" onclick="window.open(this.href);return false;
Runtime 3:42
Performance: Good

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: Other problem
Description:
Pirrit adware malware

Hardware Information: ⓘ
MacBook Pro (15-inch, Late 2008)
[Technical Specifications] - [User Guide] - [Warranty & Service]
MacBook Pro - model: MacBookPro5,1
1 2.66 GHz Intel Core 2 Duo CPU: 2-core
4 GB RAM Upgradeable - [Instructions]
BANK 0/DIMM0
2 GB DDR3 1067 MHz ok
BANK 0/DIMM1
2 GB DDR3 1067 MHz ok
Bluetooth: Old - Handoff/Airdrop2 not supported
Wireless: en1: 802.11 a/b/g/n
Battery: Health = Replace Soon - Cycle count = 1026

Video Information: ⓘ
NVIDIA GeForce 9400M - VRAM: 256 MB
Color LCD 1440 x 900
NVIDIA GeForce 9600M GT - VRAM: 512 MB

System Software: ⓘ
OS X Mavericks 10.9.5 (13F1808) - Time since boot: about 5 hours

Disk Information: ⓘ
HGST HTS721010A9E630 disk0 : (1 TB) (Rotational)
EFI (disk0s1) <not mounted> : 210 MB
Macintosh HD (disk0s2) / : 999.35 GB (505.70 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB

MATSHITADVD-R UJ-868 ()

USB Information: ⓘ
Apple Inc. Built-in iSight
Apple Inc. BRCM2046 Hub
Apple Inc. Bluetooth USB Host Controller
Apple, Inc. Apple Internal Keyboard / Trackpad
Apple Computer, Inc. IR Receiver

Gatekeeper: ⓘ
Mac App Store and identified developers

Kernel Extensions: ⓘ
/Library/Extensions
[loaded] com.sophos.kext.sav (9.4.52 - SDK 10.9 - 2016-06-05) [Support]
[loaded] com.sophos.nke.swi (9.4.52 - SDK 10.9 - 2016-06-05) [Support]

System Launch Agents: ⓘ
[not loaded] 6 Apple tasks
[loaded] 141 Apple tasks
[running] 37 Apple tasks

System Launch Daemons: ⓘ
[not loaded] 42 Apple tasks
[loaded] 141 Apple tasks
[running] 65 Apple tasks

Launch Agents: ⓘ
[running] com.canon.MFManager.plist (2014-02-04) [Support]
[running] com.epson.epw.agent.plist (2008-01-10) [Support]
[running] com.sophos.uiserver.plist (2016-06-04) [Support]

Launch Daemons: ⓘ
[not loaded] com.adobe.agsservice.plist (2015-10-19) [Support]
[loaded] com.adobe.fpsaud.plist (2016-05-10) [Support]
[not loaded] com.apple.aelwriter.plist
[not loaded] com.microsoft.office.licensing.helper.plist (2015-11-19) [Support]
[not loaded] com.securemac.MacScanDaemon.plist (2016-06-03) [Support]
[running] com.sophos.common.servicemanager.plist (2016-06-07) [Support]

User Launch Agents: ⓘ
[loaded] com.adobe.AAM.Updater-1.0.plist (2016-02-19) [Support]
[loaded] com.adobe.ARM.[...].plist (2010-01-15) [Support]
[failed] com.apple.CSConfigDotMacCert-@me.com-SharedServices.Agent.plist
[not loaded] com.apple.FolderActions.enabled.plist
[not loaded] com.apple.FolderActions.folders.plist
[loaded] com.macpaw.CleanMyMac.helperTool.plist (2010-02-06) [Support]

User Login Items: ⓘ
EEventManager Applicazione (/Applications/Epson Software/Event Manager.app/Contents/Resources/Assistants/Event Manager/EEventManager.app)
EEventManager Applicazione (/Applications/Epson Software/Event Manager.app/Contents/Resources/Assistants/Event Manager/EEventManager.app)
ConnectService Applicazione (/Library/Application Support/ArcSoft/Connect Service/ConnectService.app)

Other Apps: ⓘ
[running] com.epson.EventManager.29776
[running] com.etresoft.EtreCheck.81696
[running] com.evernote.EvernoteHelper
[running] com.sophos.autoupdate
[running] com.sophos.configuration
[running] com.sophos.intercheck
[running] com.sophos.mcs
[running] com.sophos.notification
[running] com.sophos.scan
[running] com.sophos.sxld
[running] com.sophos.webd
[running] org.tempel.findanyfile.183600
[loaded] 441 Apple tasks
[running] 336 Apple tasks

Internet Plug-ins: ⓘ
AdobeAAMDetect: 3.0.0.0 - SDK 10.9 (2016-02-18) [Support]
FlashPlayer-10.6: 21.0.0.242 - SDK 10.6 (2016-06-08) [Support]
Default Browser: 537 - SDK 10.9 (2014-09-19)
CANONiMAGEGATEWAYDL: 2.0.1.10 (2005-06-14) [Support]
AdobePDFViewer: 9.5.5 (2013-05-18) [Support]
Flash Player: 21.0.0.242 - SDK 10.6 (2016-06-08) [Support]
CANONiMAGEGATEWAYLI: 2.0.1.6 (2005-06-14) [Support]
JavaAppletPlugin: 14.8.0 - SDK 10.9 (2012-03-01) Check version
SharePointBrowserPlugin: 14.6.2 - SDK 10.6 (2016-03-24) [Support]
Silverlight: 5.0.61118.0 - SDK 10.6 (2014-02-04) [Support]
iPhotoPhotocast: 7.0 (2010-04-02)

Safari Extensions: ⓘ
Awesome Screenshot - Diigo - http://www.diigo.com/" onclick="window.open(this.href);return false; (2012-04-30)

3rd Party Preference Panes: ⓘ
Flash Player (2016-05-10) [Support]
MacFUSE (2008-12-19) [Support]

Time Machine: ⓘ
Skip System Files: NO
Mobile backups: ON
Auto backup: YES
Volumes being backed up:
Macintosh HD: Disk size: 999.35 GB Disk used: 493.64 GB
Destinations:
Time Machine [Local]
Total size: 499.78 GB
Total number of backups: 7
Oldest backup: 01/02/16 19:55
Last backup: 15/05/16 21:39
Size of backup disk: Too small
Backup size 499.78 GB < (Disk used 493.64 GB X 3)

Top Processes by CPU: ⓘ
26% mdworker(3)
3% fontd
3% WindowServer
2% kernel_task
1% InterCheck

Top Processes by Memory: ⓘ
441 MB kernel_task
201 MB SophosScanD
188 MB InterCheck
176 MB com.apple.IconServicesAgent
127 MB Safari

Virtual Memory Information: ⓘ
603 MB Free RAM
3.41 GB Used RAM (1007 MB Cached)
0 B Swap Used

Diagnostics Information: ⓘ
Jun 8, 2016, 02:54:53 PM /Library/Logs/DiagnosticReports/SophosWebIntelligence_2016-06-08-145453_[redacted].crash
/Library/Sophos Anti-Virus/SophosWebIntelligence.bundle/Contents/MacOS/SophosWebIntelligence
Jun 8, 2016, 02:18:06 PM Self test - passed
Jun 7, 2016, 07:34:48 PM ~/Library/Logs/DiagnosticReports/Xcode_2016-06-07-193448_[redacted].crash
com.apple.dt.Xcode - /Developer/Applications/Xcode.app/Contents/MacOS/Xcode

[utente eliminato]

speravo di poter risolvere con qualche antivirus gratis (sono ricorso a Sophos e ancor prima a Bitdefender).

Intanto che arrivi qualche esperto.
Mai installare antivirus su OSX.

Utile mi è stato imparare il modo di svuotare il Cestino in modo sicuro e "forzato" anche quando lo svuotamento normale non funziona

Ok, ma non esagerare col modo sicuro e forzato.
Fallo quando c'è realmente bisogno e non per il resto delle volte.

Benvenuto fra noi,
se vuoi presentarti alla community puoi farlo da viewforum.php?f=30" onclick="window.open(this.href);return false;

[faxus]

Ciao Wilco1211, benvenuto.

Ho dato un'occhiata agli script finora disponibili per Pirrit e onestamente non mi convincono.
Non sono corrispondenti tra di loro e contengono degli errori, anche di battitura.
Aspetterei che vengano stabilizzati e completati.

Nel frattempo funziona bene il metodo manuale.
E elimina subito CleanMyMac e Sophos che sono peggio del malware.

Pe trovare i file di cui hai indirizzo ma non li vedi, usa Terminale per mostrare i file invisibili.

Codice: Seleziona tutto

defaults write com.apple.finder AppleShowAllFiles TRUE && killall Finder

Dopo l'uso ripeti con FALSE al posto di TRUE
Per mostrare gli utenti nascosti prova con

Codice: Seleziona tutto

sudo dscl . create /Users/nomedellutente IsHidden 0

al posto di nomedellutente metti il nome che conosci
Se non lo conosci prova con

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

Per svuotare il cestino da quei file

Codice: Seleziona tutto

sudo rm -rf ~/.Trash/*

Segui bene questo topic
viewtopic.php?f=36&t=37916&start=15" onclick="window.open(this.href);return false;

Fammi sapere, tiseguo

[wilco1211]

Salve.
Ho fatto quanto suggerito però non è stato risolutivo. Gli amministratori nascosti vengono ancora rilevati col comando dato in Terminale (dscl . -list /Users UniqueID | grep 401) ma poi non riesco a vederli da nessuna parte. E pure la ricerca dei server (per l'eliminazione) non ha dato il risultato sperato. Find any File e anche EasyFind li rilevano, forniscono la posizione ma poi non si lasciano vedere nel Finder.
Ho trovato una Cartella in /Private/Var/Tmp che si chiama SysDiagnose.....tar.gz . E' compresso e se lo estendo trovo al suo interno file riportanti i nomi degli amministratori nascosti. Li ho eliminati dai file espansi ma mi sono reso conto che restano nella cartella compressa. Devo fare qualcosa o posso lasciarli lì? ora mi ritrovo anche 3 Cartelle espanse (operazione ripetuta da me 3 volte): posso eliminarle? Posso eliminare anche quella compressa?
ecco. Questo è lo stato dell'arte.
Grazie

[fragrua]

Butta tutto quello che hai aggiunto tu e lascia quello che già era presente. Questa è già una buona regola.

[bendis]

Per mostrare gli utenti nascosti prova con

Codice: Seleziona tutto

sudo dscl . create /Users/nomedellutente IsHidden 0

al posto di nomedellutente metti il nome che conosci
Se non lo conosci prova con

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

scusa faxus, non ho capito bene il codice da incollare per vedere gli utenti nascosti cioè va incollata solo la seconda stringa o prima va messo sudo e poi dscl . -list /Users UniqueID | grep 401 ?

vorrei fare anchio un controllo per vedere se ho ancora qualcosa di nascosto nel mac...

[faxus]

I comandi sono quelli indicati.
Vanno copiati così come sono.

Se vuoi posta pure un check.

Fai bene a controllare, ma senza paranoie

[bendis]

risultano ancora come utenti nascosti:
Buddhology
parolee
unestimableness
waygoose
Zenonian

come si eliminano?

[bendis]

ho provato a fare la ricerca con easyfind e mi trova di nuovo un file per ciascun nome ovvero server.Zenonian ecc. situato in /private/var/tmp e che pesa 0 bytes però se ci vado non c'è
ci sono solo 2 cartelle che avevo tentato di eliminare ma che si sono ricreate e cioè launchd (con divieto di accesso) e systemstats
sembrano entrambe vuote

ho usato il comando per vedere i file nascosti e l'unico file in più che si vede è .DS_Store

[faxus]

Ma hai letto bene il topic cui ti avevo indirizzato?

viewtopic.php?f=36&t=37916&start=15" onclick="window.open(this.href);return false;

[bendis]

Ma hai letto bene il topic cui ti avevo indirizzato?

viewtopic.php?f=36&t=37916&start=15" onclick="window.open(this.href);return false;

sì, l'ho aperto io!

[faxus]

Loops... Hahaha, sono veramente distratto!
Scusa tanto...

Sto cercando una soluzione.
Come dicevo in altri topic gli script disponibili hanno degli errori.
Provo a correggerli, se posso.
Poi li posto

[bendis]

Loops... Hahaha, sono veramente distratto!
Scusa tanto...

Sto cercando una soluzione.
Come dicevo in altri topic gli script disponibili hanno degli errori.
Provo a correggerli, se posso.
Poi li posto

ok, grazie! sei sempre molto gentile e disponibile!

una domanda nel frattempo: questi hidden user che ancora esistono sono ancora potenzialmente pericolosi o senza tutta l'immondizia che mi avevano installato e che ho eliminato sono innocui?

[faxus]

Riporta tra i tag Code l'uscita del comando

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

[bendis]

Riporta tra i tag Code l'uscita del comando

Codice: Seleziona tutto

dscl . -list /Users UniqueID | grep 401

non ho capito scusa, devo reincollare quel comando su terminale?