un virus ou un malware sur mon mac ?

[matnico27]

Voilà mon problème : mon imac (2,2 Ghz, 2 Go RAM, Snow Leopard, disque dur de 320 Go avec 162 Go de libre) est de plus en plus lent. Je précise que j'ai tout fait(Onyx, Maintenance, suppression des logiciels inutiles lancés au démarrage(wifi, bluetooth...), bref tous les conseils qu'on trouve sur les forums).
Or hier je tente une expérience : je ferme tous mes programmes (safari, mail, itunes...) et je lance le moniteur d'activité.
Et là je me rends compte que, tout logiciel internet fermé, mon mac émet du 30 Ko/s sur le net et en reçoit à peu près autant. J'ai laissé tourné la machine toute la nuit et ce matin je regarde le moniteur d'activité : idem. Par ailleurs, on entend le disque dur qui travaille aussi en permanence, même quand je n'utilise pas la machine. Il me semble qu'avant d'avoir snow leopard, ça ne se passait pas comme ça.
Quelqu'un peut-il m'expliquer ce mystère ? est-ce un malware ? je croyais pourtant qu'il n'y en avait pas sur mac !

merci d'avance pour vos réponses

 

[FrançoisMacG]

Les 30 ko/sec, c'est l'onglet Réseau qui te les donne dans Moniteur d'activité.

Que disent alors les onglets Processeur et Mémoire Système (sur Toutes les opérations en cours) ?

 

[matnico27]

128 Agent de la borne d’accès AirPort nicolas 0,0 4 5,6 Mo Intel (64 bits) 30,9

4344 AppleSpell.service nicolas 0,0 2 7,4 Mo Intel (64 bits) 29,1 Mo

145 Backup Engine nicolas 0,0 2 3,3 Mo Intel 30,0 Mo

142 CNQL2410_ButtonManager nicolas 0,1 2 2,2 Mo Intel 29,9 Mo

4697 cvmsComp_x86_64 nicolas 0,0 1 5,8 Mo Intel (64 bits) 17,6 Mo

133 Distributeur des actions de dossier nicolas 0,0 2 5,1 Mo Intel (64 bits) 30,2

110 Dock nicolas 0,0 3 11,6 Mo Intel (64 bits) 34,0 Mo

148 Extension Transfert d’images nicolas 0,0 2 6,7 Mo Intel (64 bits) 29,2 Mo

112 Finder nicolas 0,0 6 20,9 Mo Intel (64 bits) 31,5 Mo

115 fontd nicolas 0,0 2 5,3 Mo Intel (64 bits) 30,0 Mo

146 iTunesHelper nicolas 0,0 3 3,1 Mo Intel (64 bits) 30,3 Mo

194 java nicolas 2,6 233 330,8 Mo Intel (64 bits) 464,5 Mo

106 launchd nicolas 0,0 2 968 Ko Intel (64 bits) 38,0 Mo

41 loginwindow nicolas 0,0 3 8,8 Mo Intel (64 bits) 33,3 Mo

147 Logitech Control Center Daemon nicolas 0,0 4 6,1 Mo Intel 31,4 Mo

216 mdworker nicolas 0,0 3 44,4 Mo Intel (64 bits) 69,6 Mo

239 Moniteur d’activité nicolas 3,5 2 17,8 Mo Intel (64 bits) 16,00 Eo

116 pboard nicolas 0,0 1 836 Ko Intel (64 bits) 18,4 Mo

4710 Safari nicolas 4,4 9 76,4 Mo Intel (64 bits) 176,6 Mo

129 Starter nicolas 0,0 2 3,1 Mo Intel 30,0 Mo

111 SystemUIServer nicolas 0,0 4 11,6 Mo Intel (64 bits) 32,7 Mo

143 TISwitcher nicolas 0,0 2 5,0 Mo Intel (64 bits) 30,2 Mo

122 UserEventAgent nicolas 0,0 3 5,1 Mo Intel (64 bits) 40,6 Mo

4713 WebKitPluginAgent nicolas 0,0 2 992 Ko Intel (64 bits) 39,5 Mo

190 wrapper-macosx-universal-32 nicolas 0,1 2 404 Ko Intel 27,8 Mo

---------- Nouveau message ajouté à 08h52 ---------- Le message précédent a été envoyé à 08h49 ----------

indique que le système et l'utilisateur utilisent chacun environ 2% du core 2 duo

 

[PA5CAL]

Bonjour

Les virus sur Mac, on les attend encore. Quant aux malwares (chevaux de Troie), ce sont généralement les utilisateurs imprudents qui les installent eux-mêmes sur leur machine.

Une activité réseau n'est pas forcément le signe d'un accès vers l'extérieur, et tout trafic jugé suspect n'est pas forcément pernicieux.

Il n'est donc pas utile de s'alarmer et d'employer des grands mots avant d'avoir procédé à un minimum de vérifications.

[ Ce matin je ne trouvais pas ma chaussure droite, mais ça ne m'a pas incité à penser que, malgré ma porte blindée Fichet, un cambrioleur avait pu s'introduire durant la nuit pour me la voler... ]


Tu pourrais commencer par regarder avec qui ton Mac entre en communication.

Pour ce faire :
- repère le nom logique de l'interface réseau utilisé à l'aide de l'Utilitaire de réseau dans la liste sous l'onglet "Infos" (généralement on trouve « en0 » pour le câble Ethernet et « en1 » pour l'Airport) ;
- ouvre une fenêtre Terminal et tape la commande :

[COLOR="DarkRed"]sudo tcpdump -e -vv -K -c 5 -i [COLOR="Purple"][I]XXX[/I][/COLOR][/COLOR]

où XXX est le nom de l'interface (par exemple XXX = en1) ;
- entre ton mot de passe administrateur à la suite de « Password: » (attention : ce que tu tapes au clavier n'apparaît pas à l'écran, mais c'est normal).

Tu verras alors apparaître l'entête des cinq (car « -c 5 » a été spécifié) prochains paquets échangés, lesquels contiennent les adresses d'origine et de destination. Ces adresses peuvent se présenter :
- sous de la forme « 192.168.0.2.1005 », où « 192.168.0.2 » est l'adresse IP et où « 1005 » est le numéro de port,
- ou bien sous la forme « forums.macg.co.http » où « forums.macg.co » est le nom du serveur et où « http » est le nom du protocole.


Par ailleurs, pourrais-tu nous dire si tu as actuellement branché sur ton réseau local un disque réseau ou un autre ordinateur présentant des partages ?
Est-ce que Time Machine est activée ?

 

[matnico27]

J'ai désactivé Time machine - ça n'a rien changé, j'ai toujours en permanence, même safari éteint 30 Ko qui partent sur le net et 30 Ko qui arrivent chaque seconde.
Je n'ai pas de réseau chez moi. Pascal m'a conseillé de taper ça dans le terminal. La réponse est-elle problématique ?

ordinico-5:~ nicolas$ sudo tcpdump -e -vv -K -c 5 -i en0
Password:
tcpdump: listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:12:16.558783 00:10:18:de:ad:05 (oui Unknown) > 00:1b:63:97:5c:0d (oui Unknown), ethertype IPv4 (0x0800), length 144: (tos 0x0, ttl 110, id 30293, offset 0, flags [none], proto UDP (17), length 130)
173-23-82-17.client.mchsi.com.45960 > 192.168.0.10.32731: UDP, length 102
17:12:16.571671 00:1b:63:97:5c:0d (oui Unknown) > 00:10:18:de:ad:05 (oui Unknown), ethertype IPv4 (0x0800), length 1281: (tos 0x0, ttl 64, id 10821, offset 0, flags [none], proto UDP (17), length 1267)
192.168.0.10.32731 > a88-112-170-253.elisa-laajakaista.fi.52280: UDP, length 1239
17:12:16.598365 00:10:18:de:ad:05 (oui Unknown) > 00:1b:63:97:5c:0d (oui Unknown), ethertype IPv4 (0x0800), length 139: (tos 0x0, ttl 117, id 1131, offset 0, flags [DF], proto UDP (17), length 125)
5353c564.cable.casema.nl.45024 > 192.168.0.10.32731: UDP, length 97
17:12:16.611029 00:1b:63:97:5c:0d (oui Unknown) > 00:10:18:de:ad:05 (oui Unknown), ethertype IPv4 (0x0800), length 1210: (tos 0x0, ttl 64, id 2603, offset 0, flags [none], proto UDP (17), length 1196)
192.168.0.10.32731 > 81.198.144.108.42389: UDP, length 1168
17:12:16.627661 00:10:18:de:ad:05 (oui Unknown) > 00:1b:63:97:5c:0d (oui Unknown), ethertype IPv4 (0x0800), length 162: (tos 0x0, ttl 117, id 13951, offset 0, flags [none], proto UDP (17), length 148)
a88-112-170-253.elisa-laajakaista.fi.52280 > 192.168.0.10.32731: UDP, length 120
5 packets captured
283 packets received by filter
85 packets dropped by kernel
ordinico-5:~ nicolas$

 

[Dramis]

Tu as pas un client torrent?

 

[matnico27]

j'en suis absolument sûr

 

[matnico27]

Voilà ce que je retrouve en refaisant la commande sur le terminal :

Il semble bien que mon ordinateur se mette de lui même en contact avec des sites plus qu'étranges. .fi serait en Finlande, que faire pour stopper cette arnaque.

192.168.0.10.32731 > a88-112-170-253.elisa-laajakaista.fi.52280

192.168.0.10.32731 > static.kpn.net.gsigatekeeper

192.168.0.10.32731 > pool-96-245-155-142.phlapa.fios.verizon.net.31518

a88-112-170-253.elisa-laajakaista.fi.52280 > 192.168.0.10.32731

pool-96-245-155-142.phlapa.fios.verizon.net.31518 > 192.168.0.10.32731

 

[Dramis]

Fais un netstat -na | grep 32731 dans un terminal et un ps -ef

Envoie le résultat

 

[FrançoisMacG]

elisa-laajakaista.fi est un fournisseur finlandais d'accès internet par câble : http://en.wikipedia.org/wiki/List_of_cable_Internet_providers

 

[matnico27]

netstat -na | grep 32731

udp4 0 0 *.32731


ps -ef
UID PID PPID C STIME TTY TIME CMD
0 1 0 0 0:56.61 ?? 0:57.77 /sbin/launchd
0 12 1 0 0:00.82 ?? 0:00.97 /usr/libexec/kextd
0 13 1 0 0:09.34 ?? 0:22.40 /usr/sbin/DirectoryService
0 14 1 0 0:04.68 ?? 0:07.08 /usr/sbin/notifyd
0 15 1 0 0:00.30 ?? 0:00.41 /usr/sbin/diskarbitrationd
0 16 1 0 0:01.19 ?? 0:01.97 /usr/libexec/configd
0 17 1 0 0:01.79 ?? 0:03.78 /usr/sbin/syslogd
0 18 1 0 0:00.36 ?? 0:00.46 /usr/sbin/blued
1 19 1 0 0:03.20 ?? 0:06.48 /usr/sbin/distnoted
65 21 1 0 0:04.44 ?? 0:09.34 /usr/sbin/mDNSResponder -launchd
0 25 1 0 0:05.42 ?? 0:11.16 /usr/sbin/securityd -i
0 28 1 0 0:00.26 ?? 0:00.32 master
0 29 1 0 0:00.52 ?? 0:00.88 /usr/sbin/cupsd -l
0 30 1 0 0:00.33 ?? 0:00.62 /usr/sbin/nmbd -F
0 31 1 0 0:02.32 ?? 0:03.95 /usr/sbin/krb5kdc -n
0 32 1 0 0:00.08 ?? 0:00.10 /usr/sbin/cron
213 34 1 0 0:00.23 ?? 0:00.31 /System/Library/PrivateFrameworks/MobileDevice.framework/Versions/A/Resources/usbmuxd -launchd
0 35 1 0 0:00.19 ?? 0:00.25 /sbin/SystemStarter
0 40 1 0 1:09.84 ?? 3:23.56 /System/Library/Frameworks/CoreServices.framework/Frameworks/Metadata.framework/Support/mds
501 41 1 0 0:01.35 ?? 0:05.01 /System/Library/CoreServices/loginwindow.app/Contents/MacOS/loginwindow console
0 42 1 0 0:00.33 ?? 0:00.45 /usr/sbin/KernelEventAgent
0 44 1 0 0:00.20 ?? 0:00.26 /usr/libexec/hidd
0 45 1 0 0:05.76 ?? 0:08.30 /System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/CarbonCore.framework/Versions/A/Support/fseventsd
0 47 1 0 0:00.01 ?? 0:00.01 /sbin/dynamic_pager -F /private/var/vm/swapfile
0 53 1 0 0:00.19 ?? 0:00.24 autofsd
0 56 1 0 0:00.22 ?? 0:00.29 /Library/Application Support/EltimaSyncMate/BackService.app/Contents/MacOS/rapiback
0 58 1 0 0:29.81 ?? 1:03.43 /System/Library/CoreServices/coreservicesd
88 62 1 0 2:20.32 ?? 4:26.09 /System/Library/Frameworks/ApplicationServices.framework/Frameworks/CoreGraphics.framework/Resources/WindowServer -daemon
27 73 28 0 0:00.11 ?? 0:00.14 qmgr -l -t fifo -u
0 88 1 0 0:00.01 ?? 0:00.02 /System/Library/Frameworks/OpenGL.framework/Versions/A/Libraries/cvmsServ
202 99 1 0 0:00.51 ?? 0:00.68 /usr/sbin/coreaudiod
501 106 1 0 0:08.51 ?? 0:11.91 /sbin/launchd
501 110 106 0 0:02.41 ?? 0:07.03 /System/Library/CoreServices/Dock.app/Contents/MacOS/Dock
501 111 106 0 0:01.90 ?? 0:05.52 /System/Library/CoreServices/SystemUIServer.app/Contents/MacOS/SystemUIServer
501 112 106 0 0:32.13 ?? 1:04.26 /System/Library/CoreServices/Finder.app/Contents/MacOS/Finder
501 115 106 0 0:03.73 ?? 0:06.23 /System/Library/Frameworks/ApplicationServices.framework/Frameworks/ATS.framework/Support/fontd
501 116 106 0 0:00.00 ?? 0:00.01 /usr/sbin/pboard
501 122 106 0 0:00.85 ?? 0:03.06 /usr/libexec/UserEventAgent -l Aqua
501 128 106 0 0:00.25 ?? 0:00.37 /System/Library/CoreServices/AirPort Base Station Agent.app/Contents/MacOS/AirPort Base Station Agent -launchd -allowquit
501 129 106 0 0:00.28 ?? 0:00.44 /Library/Application Support/EltimaSyncMate/SyncMateStarter.app/Contents/MacOS/Starter
501 133 106 0 0:00.32 ?? 0:00.48 /System/Library/CoreServices/Folder Actions Dispatcher.app/Contents/MacOS/Folder Actions Dispatcher
501 142 106 0 0:23.46 ?? 0:42.69 /Library/CFMSupport/CNQL1208_ButtonManager.app/Contents/MacOS/CNQL1208_ButtonManager -psn_0_45067
501 143 106 0 0:00.31 ?? 0:00.46 /System/Library/CoreServices/Menu Extras/TextInput.menu/Contents/SharedSupport/TISwitcher.app/Contents/MacOS/TISwitcher
501 145 106 0 0:00.29 ?? 0:00.45 /Library/Application Support/Maxtor/Backup Engine.app/Contents/MacOS/Backup Engine -psn_0_65552
501 146 106 0 0:00.21 ?? 0:00.28 /Applications/iTunes.app/Contents/Resources/iTunesHelper.app/Contents/MacOS/iTunesHelper -psn_0_69649
501 147 106 0 0:00.46 ?? 0:00.86 /Library/Application Support/Logitech/LCCDaemon.app/Contents/MacOS/LCCDaemon -psn_0_73746
501 148 106 0 0:00.51 ?? 0:01.31 /System/Library/Image Capture/Support/Image Capture Extension.app/Contents/MacOS/Image Capture Extension -psn_0_77843
501 190 1 0 0:22.18 ?? 0:37.15 /Applications/Freenet/./bin/wrapper-macosx-universal-32 /Applications/Freenet/./wrapper.conf wrapper.syslog.ident=Freenet wrapper.pidfile=/Applications/Freenet/./Freenet.pid wrapper.daemonize=TRUE wrapper.anchorfile=/Applications/Freenet/./Freenet.anchor wrapper.ignore_signals=TRUE wrapper.lockfile=/Applications/Freenet/Freenet
501 194 190 0 7:27.23 ?? 57:51.26 /usr/bin/java -Dnetworkaddress.cache.ttl=0 -Dnetworkaddress.cache.negative.ttl=0 -enableassertions:freenet -Djava.net.preferIPv4Stack=true -Xms60m -Xmx192m -Djava.library.path=lib -classpath freenet.jar:freenet-ext.jar -Dwrapper.key=0110010001101111 -Dwrapper.port=32000 -Dwrapper.jvm.port.min=31000 -Dwrapper.jvm.port.max=31999 -Dwrapper.pid=190 -Dwrapper.version=3.3.5 -Dwrapper.native_library=wrapper -Dwrapper.ignore_signals=TRUE -Dwrapper.service=TRUE -Dwrapper.cpu.timeout=10 -Dwrapper.jvmid=1 freenet.node.NodeStarter freenet.ini
0 266 1 0 0:00.30 ?? 0:00.45 /usr/sbin/smbd -F
0 267 266 0 0:00.00 ?? 0:00.00 /usr/sbin/smbd -F
501 4344 106 0 0:00.46 ?? 0:01.38 /System/Library/Services/AppleSpell.service/Contents/MacOS/AppleSpell -psn_0_13851957
501 4713 106 0 0:00.04 ?? 0:00.05 /System/Library/Frameworks/WebKit.framework/WebKitPluginAgent
501 4777 106 0 1:51.86 ?? 14:50.39 /Applications/Internet/Safari.app/Contents/MacOS/Safari -psn_0_15175288
501 6015 106 0 0:03.46 ?? 0:13.43 /Applications/Internet/Mail.app/Contents/MacOS/Mail -psn_0_19358325
501 6453 106 0 0:00.22 ?? 0:00.83 /Applications/Address Book.app/Contents/MacOS/Address Book -psn_0_20657074
501 8136 1 0 0:01.62 ?? 0:36.02 /System/Library/Frameworks/CoreServices.framework/Frameworks/Metadata.framework/Versions/A/Support/mdworker MDSImporterWorker com.apple.Spotlight.ImporterWorker.501
27 8399 28 0 0:00.01 ?? 0:00.01 pickup -l -t fifo -u
501 8603 4713 0 1:26.21 ?? 6:36.27 /System/Library/Frameworks/WebKit.framework/WebKitPluginHost.app/Contents/MacOS/WebKitPluginHost
501 8649 106 0 0:00.58 ?? 0:05.32 /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal -psn_0_27929249
0 8908 8649 0 0:00.02 ttys000 0:00.03 login -pf nicolas
501 8909 8908 0 0:00.07 ttys000 0:00.07 -bash
0 8943 8909 0 0:00.00 ttys000 0:00.00 ps -ef
ordinico-5:~ nicolas$

 

[FrançoisMacG]

À propos de l'application Freenet, je lis : "For best performance, Freenet will run continually. It should not interfere with your computer usage, as it requires around 200MB of RAM and 10% of one CPU core".

 

[PA5CAL]

L'utilisation du port UDP 17 est préoccupante, car c'est souvent le signe de l'activité d'un cheval de Troie (de type Skun). L'application Quote Of The Day qui utilise normalement ce port étant rarement utilisée et se limitant à de courts messages. Toutefois ça ne veut pas dire que soit nécessairement cela.

Je ne saurais trop te conseiller d'activer le pare-feu de ta box et/ou de ton Mac, afin de bloquer ce port en attendant de trouver l'application ou le service responsable de ce trafic.

---------- Nouveau message ajouté à 20h07 ---------- Le message précédent a été envoyé à 19h52 ----------

L'application Freenet que FrançoisMacG a pointé du doigt pourrait être responsable.

Tu pourrais essayer de la désactiver ou de la désinstaller provisoirement pour voir si le trafic réseau cesse (ou chute de façon notable).

 

[Dramis]

Tu devrais virer freenet et voir comment ça se comporte

 

[matnico27]

A quelque chose, malheur est bon. Mon mac n'était pas contaminé par un virus ou par un cheval de Troie, encore que pour le cheval de Troie, tout dépend de la définition qu'on en donne...
Il y a six semaines de ça, mon neveu est venu chez moi passer quelques jours de vacances. Nous avons parlé de l'Hadopi de la Loppsi et de la surveillance du net. Il a alors eu l'idée d'installer ce machin, freenet, qui est une sorte de client pour réseau p2p très discret. En tout cas suffisamment discret pour ne pas être repérable sur un mac dans le menu "Forcer à quitter" ou sur le Moniteur d'activité. Donc depuis six semaines, ce truc se lance en toute discrétion sur ma machine sans que j'en sois au courant. Toutefois, un léger ralentissement, une réception et une émission permanentes de 30 Ko/s et des accès disque en continu que j'ai fini par remarquer ont fini par m'alerter.
Je n'ai pas tout de suite compris. J'ai pensé que le problème pouvait être réglé par Onyx ou par Maintenance. J'ai acheté de la RAM (je n'avais qu'un Go, largement suffisant pour ce que je fais de ma machine) je suis passé à deux Go - pour 21 € quand même.
Le ralentissement persistait...
Ce matin j'ai pris la décision de faire part de mon problème aux informaticiens du forum. Bien m'en a pris. J'ai donc découvert grâce à vous que ma machine hébergeait freenet...
Ca m'apprendra à laisser un ado utiliser mon mac et mon compte !
Merci à tous ceux qui ont répondu à mon message, grâce à eux, tout est rentré dans l'ordre.
@+
Nicolas Mathieu

PS : si vous voulez ralentir la machine d'un newbie de 3 à 4% sans qu'il s'en rende jamais compte, installer freenet sur son mac ! Mais je me demande si cette vacherie ne serait pas franchement à la limite de la légalité...

 

[Dramis]

Un ordianteur c'est comme une femme, ça ne se prête pas.

Au point ou tu en es je dirais qu'il te faut réinstaller ta machine au complet (formatage et réimportation manuel des données et des applications), Tu ne sais pas qu'elle autre saloperie il a pu installer dans le style des root kit ou autre saloperie.

 

[FrançoisMacG]

Un ordinateur c'est comme une femme, ça ne se prête pas.

Ça se partage,
sur un compte différent,
plutôt d'Invité, pour que ça ne laisse pas de trace. :mad:


Ce qui m'étonne, c'est que le Moniteur d'Activité n'ait apparemment pas repéré l'activité de Freenet.


Ce qui me pose question est ta suite de commandes : "netstat -na | grep 32731 puis ps -ef"
en particulier 32731 : tu m'expliques ?

 

[Dramis]

Ce qui me pose question est ta suite de commandes : "netstat -na | grep 32731 puis ps -ef"
en particulier 32731 : tu m'expliques ?

netstat -na liste les connections tcp en écoute et active, le 32731 est le port qui provient du tcpdump:
192.168.0.10.32731 > a88-112-170-253.elisa-laajakaista.fi.52280: UDP, length 1239

La commande permet de vérifier si un programme écoute sur le port 32731 et attend des connections.

 

[FrançoisMacG]

Je te remercie : c'est clair.

 

[Brenn]

Salut tous, pas très étonnant qu'un tel problème soit survenu avec un site d'origine Finlandaise quand on sait le rapport qu'ils entretiennent avec la piraterie sur Internet: un parti politique (Piraattipuolue) pronant la gratuité totale et l'accès a toutes les infos disponibles sur le net de quelque manière que ce soit est officiellement enregistré.

Un petit tour sur leur site est assez instructif. Le succés grandissant de ce genre de parti dans les pays scandinaves est d'ailleurs assez inquiétant... enfin c'est mon opinion.