Virus scacchistico (a sua insaputa)

[onderoots]

Ho un problema che mi sta facendo uscire matto.

 

Qualche mese fa ho seguito i campionati del mondo di scacchi su chessbomb.com.

E' un sito di scacchi che permette di seguire le mosse in tempo reale.

 

A distanza di qualche mese ho iniziato ad avere questo problema:

Safari si apre da solo e va a questo indirizzo (in realtà ogni volta l'indirizzo è leggermente diverso).

 

 

http://p.chessbomb.com/simpub/io/1/jsonp-polling/bwmbzVd5sgIAOD2WrqT0?t=1400004982563&i=6

 

 

che visualizza questa stringa e basta.

io.j[6]("7:::1+0");

 

 

Il problema va e viene, a volte lo fa per una settimana poi smette. Se Safari è già aperto,

il problema è molto più frequente.

 

L'ultima volta che Safari si è aperto da solo ho copiato l'elenco dei files aperti:

 

/

/Applications/Safari.app/Contents/MacOS/Safari

/usr/share/icu/icudt40l.dat

/private/var/folders/9R/9RxR97PLErKaxiBvR3hBbU+++TI/-Caches-/mds/mdsDirectory.db

/private/var/db/mds/messages/se_SecurityMessages

/private/var/folders/9R/9RxR97PLErKaxiBvR3hBbU+++TI/-Caches-/com.apple.IntlDataCache.le.sbdl

/private/var/folders/9R/9RxR97PLErKaxiBvR3hBbU+++TI/-Caches-/com.apple.LaunchServices-025501.csstore

/System/Library/Fonts/LucidaGrande.ttc

/System/Library/PrivateFrameworks/CoreUI.framework/Versions/A/Resources/SArtFile.bin

/System/Library/Frameworks/Carbon.framework/Versions/A/Frameworks/HIToolbox.framework/Versions/A/Resources/Extras2.rsrc

/System/Library/Keyboard Layouts/AppleKeyboardLayouts.bundle/Contents/Resources/AppleKeyboardLayouts-L.dat

/Users/utente/Library/Keychains/login.keychain

/Users/utente/Library/Keychains/Microsoft_Intermediate_Certificates

/Library/Keychains/System.keychain

/System/Library/Fonts/Helvetica.dfont

/System/Library/PrivateFrameworks/CoreUI.framework/Versions/A/Resources/ArtFile.bin

/System/Library/Frameworks/CoreFoundation.framework/Versions/A/Resources/tokruleLE.data

/System/Library/Fonts/Times.dfont

/usr/lib/dyld

/private/var/db/dyld/dyld_shared_cache_x86_64

/dev/null

->0x084956a4

->0x084956a4

/private/etc/security/audit_control

count=1, state=0x2

/Users/utente/Library/Caches/com.apple.Safari/Cache.db

/Users/utente/Library/Caches/com.apple.Safari/Cache.db

/Users/utente/Library/Safari/WebpageIcons.db

count=0, state=0

/Users/utente/Library/Safari/Bookmarks.plist

/Users/utente/Library/Safari/LocalStorage/StorageTracker.db

/System/Library/Frameworks/Carbon.framework/Versions/A/Frameworks/HIToolbox.framework/Versions/A/Resources/Extras2.rsrc

/Users/utente/Library/PubSub/Database/Database.sqlite3

/private/var/folders/9R/9RxR97PLErKaxiBvR3hBbU+++TI/-Caches-/com.apple.Safari/SafeBrowsing.db

/System/Library/Frameworks/CoreFoundation.framework/Versions/A/Resources/tokruleLE.data

->0x096fc880

->0x096fbb00

->0x08a89760

/private/etc/security/audit_class

 

 

Ho già provato a cancellare ~/Library/Safari: nulla

Ho provato a disinstallare i due plugin che ho (Adblock e Flashblock): nulla

Ho provato a cercare la stringa "chessbomb" un po' dappertutto: per adesso non ho trovato nulla di interessante. Per ora non ho mai provato a cercarla fuori dalla mia home, perché gli altri utenti del pc non hanno alcun problema.

 

La cosa più seccante è che siccome ho usato un backup per inizializzare due nuove macchine, adesso il problema è presente su:

imac 27 mavericks

mackbook pro mavericks

macbook air SL

 

Grazie in anticipo per l'aiuto, spero di avervi dato abbastanza informazioni per iniziare, chiedetemi pure qualsiasi altra informazione.

 

Saluti

 

Alex

[167-761]

Safari si apre da solo

E qua si potrebbe dire che il problema non è in Safari.

 

Quindi, andrei a dare un'occhiata in Monitoraggio Attività se c'è qualche processo che ti fa venire in mente qualcosa.

 

Ma come fa a partire? Prova ad esaminare le cartelle:

/Library/LaunchAgents

/Library/LaunchDaemons

~/Library/LaunchAgents

/Library/StartupItems

e anche lì vai un po' a naso...

[onderoots]

Ho guardato dove dici,

non c'è nulla di sospetto e comunque la stringa "chessbomb" non compare in nessuno dei files li dentro...

 

Dove altro posso cercare?

[enricosba]

L'apertura di Safari sarà dovuta a qualcosa di esterno al browser, ma il puntamento al sito dovrebbe far capo ad un coochie. Se ne trovi uno, o più, riferibile a quel sito eliminalo. Se non ti scocciasse rifare troppe impostazioni potresti eliminarli tutti (che ogni tanto male non fa...). Per ultimo potresti anche ripristinare Safari.

Hai dato un'occhiata nella cartella Script nella Libreria del disco? E fra gli StartupItems? Ed usando EasyFind: la migliore alternativa a Spotlight per la ricerca di file su Mac OS X | The Apple Lounge oppure Thomas Tempelmann - Find Any File?