Hallo,

beim Komplettscan meines MacBook Pro mit avast! wurden mir zwei Infektionen angezeigt:

/.Spotlight-V100/Store-V2/2AD18945-76C3-491C-B482-A7A3B8AA0668/Cache/0000/0000/0060/6353808.txt (HTML:Bankfraud-BKZ [Trj])
und
/.Spotlight-V100/Store-V2/2AD18945-76C3-491C-B482-A7A3B8AA0668/Cache/0000/0000/007f/8329641.txt (JS:Bankfraud-CJ [Trj])

Da ich bisher noch nie mit Infektionen zu tun hatte, habe vielleicht etwas vorschnell gehandelt und die beiden in Quarantäne verschoben. Bei einem erneuten Scan wurden sie allerdings wieder gefunden und im Quarantäne-Ordner sind sie gar nicht aufgelistet. Irgendwas scheint da schief gelaufen zu sein.
Ich würde gerne komplette Logfiles aus avast! posten, allerdings kann ich die nur als .plist speichern - kann ich die Datei hier anhängen oder sollte ich mit einem anderen Programm erneut scannen und das dann hier posten?

Generelle Angaben zu meinem System hier:
Mac OS X 10.8.4
Firefox 21.0
avast! 7.0

Entschuldigt, wenn noch Angaben fehlen, ich werde sie nachliefern, wenn ich weiß, welche noch benötigt werden bzw wie ich drankomme.
Es wäre schön, wenn mir jemand helfen könnte. Herzlichen Dank jetzt schon!

Einen schönen Abend!
subtimal

Moin Moin,

das, was Du Dir "eingefangen" hast ist, gehört zu einer Phishingattacke und liegt irgendwo bei Dir im Cache.

Ich vermute mal ganz stark, dass auf Deinen Rechner in den letzten Tagen eine Phishing-Seite aufgerufen wurde. Sofern auf diese Fake-Seite nicht reingefallen wurde und dort irgendwelche wichtigen Daten (Kreditkartendaten, Bankdaten, PayPal-Login etc.) eingegeben wurden ist alles ok.
Falls doch, oder wenn Du Dir nicht sicher bist, dann würde ich empfehlen sämtliche Passwörter zu ändern und alle Kontoaktivitäten zu überprüfen.

Hej RSIT,

vielen Dank für die Antwort.
Da muss ich irgendwo aus Versehen draufgeklickt haben, aber eingegeben habe ich definitiv nichts. Das ist schon mal beruhigend zu wissen, dass dann alles okay sein müsste. Und die Meldung aus avast! verschwindet, wenn ich den kompletten Cache lösche oder muss ich da andere Geschosse auffahren?

Der Eintrag müsste im Cache vom Spotlight liegen.
Das was Avast findet müsste Skript-Code sein und dieser wird indiziert von der Suche.

Mit den Terminalbefehl

sudo mdutil -E /

löscht Spotlight den Index und baut den neu auf. Das kann je nach Inhalt auf den Platten einige Stunden dauern.
Das erkennst Du, wenn Du oben links auf die Lupe klickst. Dort sollte stehen, das der Rechner gerade indiziert.

Falls das nicht der Fall ist, nochmal den Befehl im Terminal nachschieben:

sudo mdutil -i on /

Perfekt, jetzt ist alles wieder einwandfrei.
Ich danke Dir vielmals für Deine Hilfe!

Hallo,
exakt diesen Trojaner erhielt ich auch gestern. Hatte zu der Zeit Safari auf und Avast wie üblich laufen. Ansonsten Mac OSX 10.8.4.
Habe ebenfalls den Spotlight Index (auf Rat von Apple) gelöscht. Der Trojaner wird mir auch in Avast als gelöscht angezeigt. ABER: Beim Aufrufen von Safari und der Google-Startseite taucht immer noch eine rote 1 von Avast oben auf der Webseite auf, obwohl Avast mir keine neue aktuelle Infektion meldet. Rufe ich die Google-Startseite mit anderen Browsern auf, passiert das nicht.
Ich fürchte, irgendetwas sitzt noch im Cache, z.B. ein infiziertes gespeichertes Safari-Dokument. Ich fand über die Spotlight-Suche (v-100) noch ein seltsames schwarz markiertes Dokument, das offenbar ein Programm aufrufen will.
Bleibt mir noch etwas anderes als den Mac neu zu formatieren?
Vielen Dank für Tipps!

Moin,

am besten Mal den Cache von Safari löschen.

Dafür kurz in die Einstellungen von Safari und dann den Menüpunkt "Erweitert". Ganz unten ein Haken in das Kästchen "Menü Entwickler anzeigen".

Im Menü gibt es jetzt den Punkt Entwickler - dort wirst Du fündig.

Dankedanke! Hatte auf den neuen Safari-Versionen schon immer die Option ,Cache leeren´gesucht - früher war die leichter zu finden.
Hab Cache geleert und deaktiviert und alles was ging. Nützt nur leider nix: Nach wie vor leuchtet bei Safari auf der Google-Startseite die rote Alarm-1. Plus Hinweis auf eine Phishing-Seite. Bei Avast wird der erkannte Trojaner noch angegeben, mit dem Hinweis: Infizierte Dateien im Archiv:1, und Status: Gelöscht.
Die Endungen des Trojaners sind einmal txt und einmal .exe. Ggfs. ist MS Word auch betroffen. Tja, schätze, wir werden mühselig und zeitaufwändig den Mac irgendwann doch formatieren müssen...

Zitat:

Die Endungen des Trojaners sind einmal txt und einmal .exe. Ggfs. ist MS Word auch betroffen. Tja, schätze, wir werden mühselig und zeitaufwändig den Mac irgendwann doch formatieren müssen...

Immer mal langsam, keine Panikattacken bitte!
.exe sind ausführbare Dateien für Windows und nicht für den Mac, wieso bitte kommst du da gleich auf den Trichter deswegen MacOS neu installieren zu müssen?!

U.a. deshalb, weil offenbar noch Bestandteile des Trojaners auf dem Rechner sind (sonst würde Avast die Info-Meldung nicht anzeigen), und weil auch schon vor dem Avast-Alarm meine Kamera einmal selbstständig ausgelöst hatte.
Reine Vorsichtsmaßnahme.

Zitat:

Bei Avast wird der erkannte Trojaner noch angegeben, mit dem Hinweis: Infizierte Dateien im Archiv:1, und Status: Gelöscht.

Kannst mal das Log dazu posten? So ohne Angaben was genau wo gefunden wurde ist das alles nicht sehr konkret

Folgender Bericht steht im (vorletzten) Avast-Protokoll:
/.Spotlight-V100/Store-V2.../0000/0013/1294587.tt
Infizierte Dateien im Archiv:1
Status:Gelöscht
/.Spotlight-V100/Store-V...ePost_ID789456-353.exe
Status: Gelöscht

Auf der Google-Startseite mit Safari steht oben (über dem Button: Top Sites einblenden) in einem Feld, was evtl. WOT ist, die rote AVAST-Warn-1. „This site has been marked as a phishing site”
Und die verschwindet nicht...
Wie gesagt, bei anderen Browsern wird DAS nicht angezeigt auf der Google-Startseite.

Wenn ich das richtig gelesen habe, kann dieser ganze Spotlight-Ordner eigentlich gelöscht werden. Da drin werden Indizes aufbewahrt, es kann also nur etwas Performance kosten sobald der neu erstellt wird und dementsprechend neue Indizes aufbaut. Kannst aber auch so lassen wenn Avast nun still sein sollte.

Den Safari-Browser kenn ich zwar wenig bis garnicht, aber auch dieser Browser sollte eine Möglichkeit bieten testweise mit einem anderen Profil mal zu arbeiten, vllt hilft das weiter => Zurücksetzen von Safari | Safari

Ansonsten: Firefox oder Google Chrome statt Safari verwenden

Safari zurücksetzen gehört zu meinen Routine-Aktionen...
Scheint nix geholfen zu haben.
Mit Chrome lassen sich aber Mails im Rosa-Riese-Account nicht öffnen.
Ob es inzwischen mit Firefox wieder geht, weiß ich nicht.

Ich arbeite ständig ohnehin schon im Privatmodus (ohne Erstellung einer Chronik bzw. Speicherung von aufgerufenen Webseiten). Habe auch nichts über fragwürdige Seiten bestellt und an dem Tag der Infektion auch nichts wissentlich herunterladen.
Muss allerdings öfters mal Seiten speichern, was in Safari am besten geht. Von daher jetzt wohl das Safari-/Avastproblem.

Der Spotlight-Index wurde gelöscht, aber ohne Erfolg.
Also, seltsam alles.

Zitat:

Mit Chrome lassen sich aber Mails im Rosa-Riese-Account nicht öffnen.
Ob es inzwischen mit Firefox wieder geht, weiß ich nicht.

Hab ich noch nie gehört. Da wäre es eher logischer, wenn es mit Safari nit ginge, Chrome ist ein ziemlich weit verbreiteter Browser, ebenso wie Firefox. Die Telekom kann sich absolut nicht leisten, dass deren Webmail nur mit IE und/oder Safari ginge
Mal davon ab, fände ich eine Umstellung auf einen Mailclient wie zB Mozilla Thunderbird deutlicher sinnvoller als sich Webmailing anzutun....