Salve. Nei giorni scorsi ho avuto la consapevolezza di avere "ospiti" non invitati e nemmeno graditi sul mio MacBook Pro fine 2008 (Mavericks). Mi ero veramente spaventato per l'aggressività del malware/adware che inizialmente speravo di poter risolvere con qualche antivirus gratis (sono ricorso a Sophos e ancor prima a Bitdefender). Poi ho provato con Etrecheck.Infine ho letto gli interventi sul Forum e ho cercato di arrangiarmi. La conferma che fosse Pirrit l'ho avuta ricorrendo alla verifica da eseguire in Terminale. Sono stati preziosi i suggerimenti colti nei citati interventi del Forum di qualche giorno fa. Utile mi è stato imparare il modo di svuotare il Cestino in modo sicuro e "forzato" anche quando lo svuotamento normale non funziona; utili sono stati gli interventi consigliati (cercando di interpretare come si devono eseguire gli Script in Terminale - cosa che non sapevo e nemmeno ora e che non avevo mai fatto prima). Poi ci ho messo del mio: sono andato a pescare nel disco fisso tutto quello che riportava i "Nomi" della lista degli Amministratori Nascosti (codice 401) che poi ho provveduto a cestinare manualmente (i "divieti" li ho aggirati con tasto dx/ottieni informazioni, aprendo il lucchetto con la psw di Amministratore. Una volta forzati tutti i divieti sono riuscito a cestinare e poi a svuotare in modo sicuro. Il lavoro di pulizia è stato lungo. Molto lungo. L'ho perfezionato anche facendo una ricerca di tutti gli items riportanti i predetti "Nomi" di amministratori scorrazzanti nel mio Mac, facendo ricorso alla App "Find any File" (da App Store: 7.99€ ben spesi): questa App scova veramente tutto e quindi sei sicuro di poter fare una pulizia completa. Facendo questa pulizia ho verificato che il Nome dell'Amministratore che aveva il controllo di tutte queste Cartelle era sempre lo stesso e coincideva con uno degli Amministratori Nascosti (circa 20; non tutti attivi. Si attivavano, mi è sembrato, 1 alla volta ad ogni riavviamento del Mac). Importante anche saper fare uso del modo per entrare in certi ambiti del Sistema che sono più tutelati/protetti di altri: /Private (tramite Finder / Vai /Vai alla cartella); Libreria dell'Utente (Finder / Vai + Alt => e così compare nella lista). Della presenza di ospiti non graditi mi ero accorto anche andando in Monitoraggio Attività. Qui dopo aver ordinato alfabeticamente per Utente ti rendi conto se c'è qualcuno oppure no. Devono essere presenti sicuramente il tuo nome e Root più pochi altri. Ho eliminato anche tutto quello che, pur non avendo alcuno dei nomi degli Amministratori nascosti aveva comunque la stessa Struttura e Data di creazione. Tra questi c'era anche un'App (mi pare di ricordare si chiamasse Urek). Nell'occasione sono intervenuto massicciamente anche nell'eliminazione di "quasi" tutto ciò che potesse riguardare FlashPalyer (di cui avevo autorizzato l'aggiornamento imprudentemente - ma lo so solo ora- invece di rimandare ed andare a scaricare direttamente dal sito di Adobe).
Per completare il lavoro mi servirebbe di riuscire ad eliminare gli Amministratori nascosti (che rilevo ancora in Terminale facendo la ricerca col comando del 401) anche se non sono più in attività (e spero che restino così). Il metodo di renderli "visibili" in Preferenza di Sistema/Utenti e Gruppi trovato sul forum della Apple, non ha funzionato.
inoltre vorrei avere qualche input per una maniera per eliminare i server abbinati a ciascun Amministratore Nascosto che Find any File individua ancora ma non riesce a rimuovere e io non riesco a trovare: la location viene indicata come /Private/var/tmp/ ma quando vado non c'è traccia di ciò che cerco. Preciso comunque che il contenuto indicato è pari a 0.
Un'ultima richiesta riguarderebbe il vostro parere sui seguenti items:
com.macromedia.Flash Player.plugin.sb
situato in:
/System/Library/StagedFrameworks/Safari/WebKit.framework/Versions/A/Resources/PlugInSandboxProfiles
Flash Player
File Unix Eseguibile
situato in:
/Library/PreferencePanes/Flash Player.prefPane/Contents/MacOS
Grazie
Allegato ultimo report Etracheck:
EtreCheck version: 2.9.12 (265)
Report generated 2016-06-08 19:21:14
Download EtreCheck from
https://etrecheck.com" onclick="window.open(this.href);return false;
Runtime 3:42
Performance: Good
Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.
Problem: Other problem
Description:
Pirrit adware malware
Hardware Information: ⓘ
MacBook Pro (15-inch, Late 2008)
[Technical Specifications] - [User Guide] - [Warranty & Service]
MacBook Pro - model: MacBookPro5,1
1 2.66 GHz Intel Core 2 Duo CPU: 2-core
4 GB RAM Upgradeable - [Instructions]
BANK 0/DIMM0
2 GB DDR3 1067 MHz ok
BANK 0/DIMM1
2 GB DDR3 1067 MHz ok
Bluetooth: Old - Handoff/Airdrop2 not supported
Wireless: en1: 802.11 a/b/g/n
Battery: Health = Replace Soon - Cycle count = 1026
Video Information: ⓘ
NVIDIA GeForce 9400M - VRAM: 256 MB
Color LCD 1440 x 900
NVIDIA GeForce 9600M GT - VRAM: 512 MB
System Software: ⓘ
OS X Mavericks 10.9.5 (13F1808) - Time since boot: about 5 hours
Disk Information: ⓘ
HGST HTS721010A9E630 disk0 : (1 TB) (Rotational)
EFI (disk0s1) <not mounted> : 210 MB
Macintosh HD (disk0s2) / : 999.35 GB (505.70 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB
MATSHITADVD-R UJ-868 ()
USB Information: ⓘ
Apple Inc. Built-in iSight
Apple Inc. BRCM2046 Hub
Apple Inc. Bluetooth USB Host Controller
Apple, Inc. Apple Internal Keyboard / Trackpad
Apple Computer, Inc. IR Receiver
Gatekeeper: ⓘ
Mac App Store and identified developers
Kernel Extensions: ⓘ
/Library/Extensions
[loaded] com.sophos.kext.sav (9.4.52 - SDK 10.9 - 2016-06-05) [Support]
[loaded] com.sophos.nke.swi (9.4.52 - SDK 10.9 - 2016-06-05) [Support]
System Launch Agents: ⓘ
[not loaded] 6 Apple tasks
[loaded] 141 Apple tasks
[running] 37 Apple tasks
System Launch Daemons: ⓘ
[not loaded] 42 Apple tasks
[loaded] 141 Apple tasks
[running] 65 Apple tasks
Launch Agents: ⓘ
[running] com.canon.MFManager.plist (2014-02-04) [Support]
[running] com.epson.epw.agent.plist (2008-01-10) [Support]
[running] com.sophos.uiserver.plist (2016-06-04) [Support]
Launch Daemons: ⓘ
[not loaded] com.adobe.agsservice.plist (2015-10-19) [Support]
[loaded] com.adobe.fpsaud.plist (2016-05-10) [Support]
[not loaded] com.apple.aelwriter.plist
[not loaded] com.microsoft.office.licensing.helper.plist (2015-11-19) [Support]
[not loaded] com.securemac.MacScanDaemon.plist (2016-06-03) [Support]
[running] com.sophos.common.servicemanager.plist (2016-06-07) [Support]
User Launch Agents: ⓘ
[loaded] com.adobe.AAM.Updater-1.0.plist (2016-02-19) [Support]
[loaded] com.adobe.ARM.[...].plist (2010-01-15) [Support]
[failed]
com.apple.CSConfigDotMacCert-@me.com-SharedServices.Agent.plist
[not loaded] com.apple.FolderActions.enabled.plist
[not loaded] com.apple.FolderActions.folders.plist
[loaded] com.macpaw.CleanMyMac.helperTool.plist (2010-02-06) [Support]
User Login Items: ⓘ
EEventManager Applicazione (/Applications/Epson Software/Event Manager.app/Contents/Resources/Assistants/Event Manager/EEventManager.app)
EEventManager Applicazione (/Applications/Epson Software/Event Manager.app/Contents/Resources/Assistants/Event Manager/EEventManager.app)
ConnectService Applicazione (/Library/Application Support/ArcSoft/Connect Service/ConnectService.app)
Other Apps: ⓘ
[running] com.epson.EventManager.29776
[running] com.etresoft.EtreCheck.81696
[running] com.evernote.EvernoteHelper
[running] com.sophos.autoupdate
[running] com.sophos.configuration
[running] com.sophos.intercheck
[running] com.sophos.mcs
[running] com.sophos.notification
[running] com.sophos.scan
[running] com.sophos.sxld
[running] com.sophos.webd
[running] org.tempel.findanyfile.183600
[loaded] 441 Apple tasks
[running] 336 Apple tasks
Internet Plug-ins: ⓘ
AdobeAAMDetect: 3.0.0.0 - SDK 10.9 (2016-02-18) [Support]
FlashPlayer-10.6: 21.0.0.242 - SDK 10.6 (2016-06-08) [Support]
Default Browser: 537 - SDK 10.9 (2014-09-19)
CANONiMAGEGATEWAYDL: 2.0.1.10 (2005-06-14) [Support]
AdobePDFViewer: 9.5.5 (2013-05-18) [Support]
Flash Player: 21.0.0.242 - SDK 10.6 (2016-06-08) [Support]
CANONiMAGEGATEWAYLI: 2.0.1.6 (2005-06-14) [Support]
JavaAppletPlugin: 14.8.0 - SDK 10.9 (2012-03-01) Check version
SharePointBrowserPlugin: 14.6.2 - SDK 10.6 (2016-03-24) [Support]
Silverlight: 5.0.61118.0 - SDK 10.6 (2014-02-04) [Support]
iPhotoPhotocast: 7.0 (2010-04-02)
Safari Extensions: ⓘ
Awesome Screenshot - Diigo -
http://www.diigo.com/" onclick="window.open(this.href);return false; (2012-04-30)
3rd Party Preference Panes: ⓘ
Flash Player (2016-05-10) [Support]
MacFUSE (2008-12-19) [Support]
Time Machine: ⓘ
Skip System Files: NO
Mobile backups: ON
Auto backup: YES
Volumes being backed up:
Macintosh HD: Disk size: 999.35 GB Disk used: 493.64 GB
Destinations:
Time Machine [Local]
Total size: 499.78 GB
Total number of backups: 7
Oldest backup: 01/02/16 19:55
Last backup: 15/05/16 21:39
Size of backup disk: Too small
Backup size 499.78 GB < (Disk used 493.64 GB X 3)
Top Processes by CPU: ⓘ
26% mdworker(3)
3% fontd
3% WindowServer
2% kernel_task
1% InterCheck
Top Processes by Memory: ⓘ
441 MB kernel_task
201 MB SophosScanD
188 MB InterCheck
176 MB com.apple.IconServicesAgent
127 MB Safari
Virtual Memory Information: ⓘ
603 MB Free RAM
3.41 GB Used RAM (1007 MB Cached)
0 B Swap Used
Diagnostics Information: ⓘ
Jun 8, 2016, 02:54:53 PM /Library/Logs/DiagnosticReports/SophosWebIntelligence_2016-06-08-145453_[redacted].crash
/Library/Sophos Anti-Virus/SophosWebIntelligence.bundle/Contents/MacOS/SophosWebIntelligence
Jun 8, 2016, 02:18:06 PM Self test - passed
Jun 7, 2016, 07:34:48 PM ~/Library/Logs/DiagnosticReports/Xcode_2016-06-07-193448_[redacted].crash
com.apple.dt.Xcode - /Developer/Applications/Xcode.app/Contents/MacOS/Xcode