Moderatore: ModiMaccanici
Posta per intero un EtreCheckNaz959 ha scritto:... un certo utente pholcid... /Library/LaunchDaemons/com.astrophobicUpd.plist...
Reinstallare da zero vuol dire reinstallare da capo tutto il sistema operativo, presumo?C'è il rischio che tu abbia preso un adware dal nome Pirrit.
Estremamente difficoltoso da estirpare.
Tanto che a un non espertissimo conviene reinstallare da zero o ripristinare ad un punto precedente con Time Machine.
Codice: Seleziona tutto
EtreCheck version: 3.0.2 (306)
Report generated 2016-08-23 16:41:41
Download EtreCheck from https://etrecheck.com
Runtime 3:58
Performance: Good
Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.
Click the [Remove] links to remove adware.
Problem: No problem - just checking
Hardware Information: ⓘ
MacBook (13-inch, Early 2009)
[Technical Specifications] - [User Guide] - [Warranty & Service]
MacBook - model: MacBook5,2
1 2 GHz Intel Core 2 Duo CPU: 2-core
2 GB RAM - Insufficient RAM! Upgradeable - [Instructions]
BANK 0/DIMM0
1 GB DDR2 SDRAM 667 MHz ok
BANK 1/DIMM0
1 GB DDR2 SDRAM 667 MHz ok
Bluetooth: Old - Handoff/Airdrop2 not supported
Wireless: en1: 802.11 a/b/g/n
Battery: Health = Replace Soon - Cycle count = 918
Video Information: ⓘ
NVIDIA GeForce 9400M - VRAM: 256 MB
Color LCD 1280 x 800
System Software: ⓘ
OS X Mavericks 10.9.5 (13F1911) - Time since boot: about 6 hours
Disk Information: ⓘ
FUJITSU MHZ2120BH FFS G1 disk0 : (120,03 GB) (Rotational)
EFI (disk0s1) <not mounted> : 210 MB
Macintosh HD (disk0s2) / : 119.17 GB (20.61 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB
HL-DT-ST DVDRW GS22N ()
USB Information: ⓘ
Micron Built-in iSight
Apple Inc. BRCM2046 Hub
Apple Inc. Bluetooth USB Host Controller
Apple Inc. Apple Internal Keyboard / Trackpad
Apple Computer, Inc. IR Receiver
Configuration files: ⓘ
/etc/hosts - Count: 47
Gatekeeper: ⓘ
Mac App Store and identified developers
Adware: ⓘ
/Library/LaunchDaemons/com.apostrophicUpd.plist
One adware file found. [Remove]
Kernel Extensions: ⓘ
/Library/Application Support/Roxio
[not loaded] com.roxio.TDIXController (2.0 - 2014-08-07) [Support]
/Library/Application Support/VirtualBox
[loaded] org.virtualbox.kext.VBoxDrv (5.0.24 - 2016-07-06) [Support]
[loaded] org.virtualbox.kext.VBoxNetAdp (5.0.24 - 2016-07-06) [Support]
[loaded] org.virtualbox.kext.VBoxNetFlt (5.0.24 - 2016-07-06) [Support]
[loaded] org.virtualbox.kext.VBoxUSB (5.0.24 - 2016-07-06) [Support]
/System/Library/Extensions
[not loaded] com.roxio.BluRaySupport (1.1.6 - 2016-08-11) [Support]
System Launch Agents: ⓘ
[not loaded] 5 Apple tasks
[loaded] 143 Apple tasks
[running] 36 Apple tasks
System Launch Daemons: ⓘ
[not loaded] 49 Apple tasks
[loaded] 138 Apple tasks
[running] 63 Apple tasks
Launch Agents: ⓘ
[not loaded] com.adobe.AAM.Updater-1.0.plist (2016-08-23) [Support]
[loaded] com.adobe.CS5ServiceManager.plist (2013-01-06) [Support]
[loaded] com.epson.Epusp.plist (2008-11-18) [Support]
[running] com.epson.epw.agent.plist (2008-12-25) [Support]
[loaded] org.macosforge.xquartz.startx.plist (2015-10-16) [Support]
Launch Daemons: ⓘ
[loaded] com.adobe.SwitchBoard.plist (2013-01-06) [Support]
[running] com.adobe.agsservice.plist (2016-08-23) [Support]
[loaded] com.adobe.fpsaud.plist (2016-06-29) [Support]
[not loaded] com.apostrophicUpd.plist (2016-05-31) Adware! [Remove]
[loaded] com.macpaw.CleanMyMac3.Agent.plist (2016-07-19) [Support]
[loaded] com.malwarebytes.HelperTool.plist (2016-08-23) [Support]
[loaded] org.macosforge.xquartz.privileged_startx.plist (2015-10-16) [Support]
[loaded] org.tcpdump.chmod_bpf.plist (2015-08-11) [Support]
[not loaded] org.virtualbox.startup.plist (2016-07-06) [Support]
User Launch Agents: ⓘ
[loaded] com.adobe.AAM.Updater-1.0.plist (2013-01-06) [Support]
[loaded] com.citrixonline.GoToMeeting.G2MUpdate.plist (2016-04-22) [Support]
[loaded] com.macpaw.CleanMyMac3.Scheduler.plist (2016-08-22)
[not loaded] org.virtualbox.vboxwebsrv.plist (2016-07-06) [Support]
User Login Items: ⓘ
EEventManager Applicazione (/Applications/Epson Software/Event Manager.app/Contents/Resources/Assistants/Event Manager/EEventManager.app)
CleanMyMac 3 Menu Applicazione (/Applications/CleanMyMac 3.app/Contents/MacOS/CleanMyMac 3 Menu.app)
Internet Plug-ins: ⓘ
DirectorShockwave: 12.2.4r194 - SDK 10.6 (2016-02-23) [Support]
Google Earth Web Plug-in: 7.1 (2016-07-28) [Support]
Default Browser: 537 - SDK 10.9 (2016-07-28)
Flip4Mac WMV Plugin: 2.4.4.2 (2014-02-24) [Support]
Unity Web Player: UnityPlayer version 5.2.3f1 - SDK 10.6 (2015-12-11) [Support]
AdobeAAMDetect: AdobeAAMDetect 1.0.0.0 - SDK 10.6 (2013-12-31) [Support]
FlashPlayer-10.6: 22.0.0.209 - SDK 10.9 (2016-08-23) [Support]
AdobePDFViewerNPAPI: 11.0.0 - SDK 10.6 (2016-07-28) [Support]
Silverlight: 5.1.50428.0 - SDK 10.6 (2016-08-23) [Support]
QuickTime Plugin: 7.7.3 (2016-08-03)
Flash Player: 22.0.0.209 - SDK 10.9 (2016-08-23) [Support]
iPhotoPhotocast: 7.0 - SDK 10.8 (2016-04-21)
PepperFlashPlayer: 22.0.0.209 - SDK 10.6 (2016-08-23) [Support]
AdobePDFViewer: 11.0.0 - SDK 10.6 (2016-07-28) [Support]
JavaAppletPlugin: 14.9.0 - SDK 10.7 (2014-08-07) Check version
User internet Plug-ins: ⓘ
CitrixOnlineWebDeploymentPlugin: 1.0.105 (2013-04-26) [Support]
fbplugin_1_0_3: Unknown (2016-07-28) [Support]
Picasa: 1.0 - SDK 10.6 (2015-02-13) [Support]
Safari Extensions: ⓘ
Avast Online Security - AVAST Software - http://www.avast.com (2015-12-28)
YouTube Downloader - Aimersoft Studio - http://www.aimersoft.com (2013-07-12)
3rd Party Preference Panes: ⓘ
Flash Player (2016-06-29) [Support]
Flip4Mac WMV (2012-05-16) [Support]
Growl (2016-07-28) [Support]
Time Machine: ⓘ
Time Machine not configured!
Top Processes by CPU: ⓘ
26% mdworker(3)
9% Vivaldi Helper(4)
3% WindowServer
2% kernel_task
1% Vivaldi
Top Processes by Memory: ⓘ
459 MB Vivaldi Helper(4)
220 MB kernel_task
125 MB Vivaldi
119 MB Finder
41 MB WindowServer
Virtual Memory Information: ⓘ
57 MB Free RAM
1.68 GB Used RAM (336 MB Cached)
140 MB Swap Used
Diagnostics Information: ⓘ
Aug 23, 2016, 10:18:36 AM Self test - passed
Aug 23, 2016, 10:16:21 AM /Library/Logs/DiagnosticReports/MyShopMate_2016-08-23-101621_[redacted].crash
/Users/*/MyShopMate
Codice: Seleziona tutto
dscl /Local/Default -list /Users UniqueID | awk '$2 >= 100 && $2 < 500 { print $1; }'
Codice: Seleziona tutto
dscl . -list /Users UniqueID | grep 401
Codice: Seleziona tutto
_assetcache
_avbdeviced
_carddav
_coreaudiod
_coremediaiod
_cvmsroot
_devicemgr
_dovecot
_dovenull
_dpaudio
_kadmin_admin
_kadmin_changepw
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbtgt
_launchservicesd
_lda
_locationd
_netbios
_netstatistics
_postgres
_screensaver
_softwareupdate
_timezone
_trustevaluationagent
_usbmuxd
_warmd
_webauthserver
_xcsbuildagent
_xcscredserver
almique
Asperges
circinal
commonition
criminator
diammine
foolishly
gaslighting
mischoose
pholcid
simoniacal
sovereignness
stooker
Xylophagus
yelper
Codice: Seleziona tutto
almique 401
Asperges 401
circinal 401
commonition 401
criminator 401
diammine 401
foolishly 401
gaslighting 401
mischoose 401
pholcid 401
simoniacal 401
sovereignness 401
stooker 401
Xylophagus 401
yelper 401
faxus ha scritto:Purtroppo ti sei beccato Pirrit.
Pessima notizia perché non sei espertissimo tanto da poterlo cancellare da solo.
E a distanza su un forum è una cosa improponibile.
Quei comandi indagano su utenti amministratori del tuo Mac.
Sono nascosti e difficilmente trovabili, in Pirrit.
Purtroppo hai scaricato quella schifezza, probabilmente da siti di film in streaming e hai permesso che si installassero.
Il meccanismo con cui opera questo tenacissimo adware, è installare amministratori e aggiornarsi costantemente.
Senza una manovra esperta e radicale è impossibile bloccarlo perché si rigenera.
Piazza una marea di file dappertutto, nelle cartelle invisibili e crea amministratori nascosti.
Tu ne hai ben 15...
Quindi significa che è un pezzo che l'hai installato.
Se riesci a stabilire una data certa in cui sei assolutamente sicuro di esserne indenne, recupera da un backup.
Altrimenti radi tutto al suolo e installa da zero.
Attenzione, importando SOLO i dati di cui sei certo della consistenza.
Tutti i programmi andranno riscaricati e preinstallati.
Tutte le impostazioni senza automatismi, rigorosamente a mano.
Mi spiace...
È un po' un problema...Naz959 ha scritto:... cosa devo imparare per acquisire il necessario livello di esperienza così che possa risolvere queste situazioni? Il sapere che qualcuno faccia in modo di installare spazzatura indesiderata sul mio computer mi provoca una certa roteazione.
faxus ha scritto:È un po' un problema...Naz959 ha scritto:... cosa devo imparare per acquisire il necessario livello di esperienza così che possa risolvere queste situazioni? Il sapere che qualcuno faccia in modo di installare spazzatura indesiderata sul mio computer mi provoca una certa roteazione.
In genere si sceglie Mac e MacOS per non avere di queste necessità.
Ma purtroppo, pur in assenza di virus e malware di vari tipi, è diventato una preoccupazione da avere.
Il Mac, è indenne, visto il sistema ad utenze, permessi e privilegi dal malware che infesta il mondo derivato da DOS, Windows soprattutto.
Però il fatto di doversi affacciare in rete permette, grazie a protocolli standard, alcuni attacchi ai meccanismi di navigazione.
E, di conseguenza, ai meccanismi interni di controllo.
In sostanza adware e collegato truffaware.
Funziona così:
Gli ingenui o poco esperti prendono, scaricando e navigando in modo improprio, l'adware.
Poi cercano sul web il rimedio o vengono sollecitati dagli annunci dell'adware.
E gli ingenui e poco esperti scaricano, installano, addirittura pagando, il truffaware.
Mackeeper, CleanMyMac e simili.
Quando non addirittura gli antivirus.
A te, purtroppo è capitato il peggio del peggio che possa capitare ad un macuser.
Un adware che è strutturato come una specie rudimentale di virus.
Al momento non esiste un meccanismo automatico efficiente per disinstallarlo.
Solo un utente esperto con il sistema davanti, può.
C'è solo uno script abbastanza improbabile.
L'ho voluto testare e mi ha procurato danni non indifferenti.
È vero pure che nelle istruzioni era indicato, ma neanche delle precauzioni hanno resistito al danno.
Chi ha avuto Pirrit, l'ha provato, ma il risultato non è stato definitivo.
Stiamo solo aspettando che Apple ponga dei limiti.
E che altri non sfruttino lo stesso meccanismo per diffondere un vero e proprio malware su MacOS.
Fino ad oggi inesistente
Da come ho capito servono per fare verifiche approfondite sugli utenti del sistema, credo anche per scovarne eventualmente di nascosti, comunque penso sia meglio se lo spiega Faxus, nel caso magari mi correggerà se ho capito male.pierospanu ha scritto: @faxus: comunque sarebbe molto interessante per i comuni mortali sapere il significato delle due formule cabalistiche che hai suggerito a naz959, cosa fanno e perché.
Devo dire che le ho testate sul mio macbook e non sembrano avere rilevato niente di anomalo, ma mi piacerebbe sapere qualcosa di più. Magari per usarle in futuro in situazioni "dubbie".
Grazie.
Piero
Visitano il forum: Nessuno e 0 ospiti