|
Alles rund um Mac OSX & Linux: Spyware/Trojaner über angelickte Facebook Markierung?Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
28.02.2015, 17:34 | #1 |
| Spyware/Trojaner über angelickte Facebook Markierung? Habe am 21.2. idiotischerweise auf eine gefakte Videomarkierung eines Facebookfreundes geklickt und somit einen trojaner aktiviiert, der meine FB-Freunde dann auhc belästigt hat. Nach Warnung der Freunde, Meldung des Missbrauchs bei FB habe ich meinen Account erst mal ganz gelöscht. Was mich mehr beunruhigt? Ist mein Mac (MBA Mitte 2013) möglicherweise jetzt befallen? Virus BArrier express sagt nein. Avira (heute installiert) findet allerlei Warnungen, ich kann aber die Logfiles beim besten Willen nicht rauskopieren. Habe das jetzt schon seit Stunden versucht. Habe als Nutzer mich, und einen Systemadminstrator eingerichtet und einen mir bis dato nicht merh erinnerbaren Gastnutzer,. Komme ich deshalb nicht an dei Logfiles? Ich wäre froh um Unterstützung. Vielleicht ist MAc ja auch gar nciht gefährdet? Mein problem: Meine Dissertation im Endstadium ist auf dem Rechner und leider seit drei Wochen aus anderen Hardware Problemen auch nicht mehr aktualisiert gesichert... Oh weh. BAnkgeschäfte tätige ich mit dem Laptop auch. So ein Mist! Ich ärgere mich, dass ich geklickt habe, es hat mich einfach schockiert und in einem müden Moment erwischt. Caro17 |
28.02.2015, 17:39 | #2 |
/// the machine /// TB-Ausbilder | Spyware/Trojaner über angelickte Facebook Markierung? Ich schiebe dich mal ins Mac-Forum. Aber da sollte nix passiert sein
__________________
__________________ |
28.02.2015, 19:22 | #3 |
| Spyware/Trojaner über angelickte Facebook Markierung? oh danke, und sorry, ich hab wohl zweimal gepostet.
__________________Ergänzung: Obwohl ich lieber Schrauber glauben würde, dass mein mac nicht infiziert ist, bin ich jetzt doch unsicher: INzwischen hat das avira Lab eine Bestätigung der dorthin verschickten Lniks geschickt, (das konnte mana nklicken und das hat funktioniert im Gegensatz zum Exportieren) dass es sich um Malware handelt. Ich verstehe aber leider nicht, was ich jetzt konkret damit anfangen kann/soll... Zweitens habe ich mich Facebook noch mal auf dem alten Account angemeldet, das PAsswort geändert und zwei Minuten später bekam ich einen Warnhinweis per MAil, dass sich jemand von einem anderen browser aus, von einem anderen Ort aus auf mein Konto eingeloggt hat. Habe mein Konto erneut geslöscht. Spricht das jetzt doch für einen Trojaner? Schicke jetzt die Avira Lsite mit: Danke Caro17 Dear Sir or Madam, Thank you for your email to Avira's virus lab. Tracking number: INC01830549. We received the following archive files: File ID Filename Size (Byte) Result 28432497 quarantine.gz 454.09 KB OK A listing of files contained inside archives alongside their results can be found below: File ID Filename Size (Byte) Result 28432498 8eadd748.vir 45.66 KB MALWARE 28432499 df516093.vir 38.47 KB MALWARE 28432500 5edc1417.vir 36.95 KB MALWARE 28432501 e28f2fc5.vir 53.69 KB MALWARE 28432502 c4e4c4a7.vir 149.52 KB MALWARE 28432503 a85a3e28.vir 148.49 KB MALWARE 28432504 ce70d3e1.vir 45.66 KB MALWARE 28432505 18776be2.vir 38.46 KB MALWARE 27823711 151013 PRINT pdf.exe 70.62 KB MALWARE 28432506 4a0173b4.vir 95.48 KB MALWARE 28432507 7a2b84e7.vir 45.66 KB MALWARE 28432508 100597f1.vir 38.46 KB MALWARE Please find a detailed report concerning each individual sample below: Filename Result 8eadd748.vir MALWARE The file '8eadd748.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38. Filename Result df516093.vir MALWARE The file 'df516093.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38. Filename Result 5edc1417.vir MALWARE The file '5edc1417.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.xacx. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.142.138. Filename Result e28f2fc5.vir MALWARE The file 'e28f2fc5.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.xacx. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.142.138. Filename Result c4e4c4a7.vir MALWARE The file 'c4e4c4a7.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.EB.133. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.70.80. Filename Result a85a3e28.vir MALWARE The file 'a85a3e28.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.EB.133. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.70.80. Filename Result ce70d3e1.vir MALWARE The file 'ce70d3e1.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38. Filename Result 18776be2.vir MALWARE The file '18776be2.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38. Filename Result 151013 PRINT pdf.exe MALWARE The file '151013 PRINT pdf.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Androm.vmba. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data. Detection is added to our virus definition file (VDF) starting with version 7.11.107.220. Filename Result 4a0173b4.vir MALWARE The file '4a0173b4.vir' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Androm.vmba. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data. Detection is added to our virus definition file (VDF) starting with version 7.11.107.220. Filename Result 7a2b84e7.vir MALWARE The file '7a2b84e7.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38. Filename Result 100597f1.vir MALWARE The file '100597f1.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38. Alternatively you can see the analysis result here: https://analysis.avira.com/en/status?uniqueid=Kqkqrv95t0T63yUTdW5PTO0LZdUVZzIV&incidentid=1830549 |
28.02.2015, 19:26 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Spyware/Trojaner über angelickte Facebook Markierung? Hi, du musst dir darüber klar sein, dass im Prinzip jede Massen-Malware die per Mail oder Facebooknachricht kommt, auf Windows-Systeme zielt. Sieht man ja hier: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
28.02.2015, 19:33 | #5 |
| Spyware/Trojaner über angelickte Facebook Markierung? okay. Vielen Dank dir. Bin als jahrelange Macuserin bisher ohne Virusprobleme an sich auch nicht so leicht ins Bockshorn zu jagen. Nur diese Facebookattacke hat mich jetzt doch aufgeschreckt. Das würde bedeuten: Bei Facebook hab ich mir den Mist eingefangen und da ist der Virus auch in meinem Account noch aktiv, aber auf meinem Macbook nicht? Ohne Facebook kann ich leben. Ohne meinen Macbook derzeit nicht. Caro17 |
28.02.2015, 21:51 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Spyware/Trojaner über angelickte Facebook Markierung? Da wurde wie gesagt nur Windows-Malware gefunden. Aber es ist ja schon wichtig zu wissen, wie dein Facebook-Konto gekapert wurde. Du verwendest welchen Browser genau? Und das OS war aktuell mit allen Patches zum Zeitpunkt wo du geklickt hast?
__________________ --> Spyware/Trojaner über angelickte Facebook Markierung? |
28.02.2015, 23:22 | #7 |
| Spyware/Trojaner über angelickte Facebook Markierung? danke, cosinus, ich bin natürlich erst mal froh. Das letzte Update Yosemite hat mir gefehlt, ist jetzt aktualisiert. Ich hatte chrome verwendet, danach aber deinstalliert. Gerade verwende ich safari. Ich finde es beunruhigend, dass der Facebook account trotz passwortänderungen danach immer noch weiter gehackt werden kann ... das habe ich jetzt mal getestet durch löschen, wieder aktivieren, missbrauchsmeldung, löschen mehrere Male. Das habe ich allerdings von firefox aus getan, den ich noch nicht deinstalliert habe firefox 36.0 Safari Version 8.0.3 (10600.3.18) Gruß Caro17 |
01.03.2015, 01:45 | #8 |
/// Mac Expert | Spyware/Trojaner über angelickte Facebook Markierung? 1. Systemlog Folge dieser Anleitung: http://www.trojaner-board.de/158652-...dware-mac.html Wähle aus dem Menu Scanner den Punkt Take System Snapshot Kopiere anschließend den Inhalt ins Clipboard Füge mit Command-V den Inhalt in Code-Tags hier in deinem Post. 2. Passwörter ändern. Wenn ein Verdacht besteht, Passwörter nicht von einem infiziertem System aus ändern. Benutze dafür einen anderen Rechner. Nutze weitere Sicherheitsmaßnahmen wie z.B. die Zwei-Faktor-Authentifizierung von Google. ICloud und andere Dienste bieten das ebenfalls an. Die meisten Antivirenprogramme sind leider noch nicht so weit eine ausreichende Erkennung für Linux-/Unix-System anzubieten. Die Datenbanken basieren überwiegend auf Funde aus Windows-Systemen. Eine Bereinigung auf Unix-Systemen kann zu Beschädigung des Systems führen. Gute und spezielle auf Mac und Linux ausgelegte AV-Programme sind z.B. Eset Cybersecurity, Sophos Antivirus und ClamAV.
__________________ ----------------- -Gruß dante12 ----------------- Lob, Kritik, Wünsche? Spende fürs trojaner-board? |
01.03.2015, 08:13 | #9 |
| Spyware/Trojaner über angelickte Facebook Markierung? Danke dante12. Habe die Daten angefügt. Scan ergab keine Bedrohung. Zweistufige Sicherheitskennwörter habe ich eingerichtet. Werde meine sämtlichen Passwörter aus morgen von einem anderen Rechner aus ändern. Danke für den Tipp. Soll ich dann Avira und Virus Barrier express deinstallieren? Gruß Caro17 AdwareMedic 2.2.2 system report - Sonntag, 1. März 2015 @ 07:37:31 Mac OS X version 10.10.2 7:37 up 9 hrs, 1 user, load averages: 1.31 1.35 1.49 Safari extensions --------------- /Users/vongries/Library/Safari/Extensions/OpenIE.safariextz Name: Open in Internet Explorer Modified: Sonntag, 21. Juli 2013 @ 15:10:58 Chrome extensions --------------- /Users/vongries/Library/Application Support/Google/Chrome/Default/Extensions/cfhdojbkjhnklbpkdaibdccddilifddb Name: Adblock Plus Modified: Mittwoch, 25. Februar 2015 @ 19:14:48 Firefox extensions --------------- /Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/web2pdfextension@web2pdf.adobedotcom Name: Adobe Acrobat - Create PDF Modified: Dienstag, 28. Mai 2013 @ 10:12:06 /Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/zotero@chnm.gmu.edu.xpi Name: Zotero Modified: Donnerstag, 26. Februar 2015 @ 08:12:13 /Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/zoteroMacWordIntegration@zotero.org Name: Zotero Word for Mac Integration Modified: Donnerstag, 15. Mai 2014 @ 23:11:01 /Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/{21e48e29-f574-4619-b65d-0f00eea92e5b} Name: GoogleEnhancer Modified: Mittwoch, 31. August 2011 @ 14:41:26 /Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} Name: WOT Modified: Donnerstag, 15. Mai 2014 @ 21:45:28 Login items --------------- TomTomHOMERunner, Microsoft AU Daemon, iTunesHelper, AdobeResourceSynchronizer, Microsoft Word Startup items --------------- total 0 drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWNetMgr drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWPortDetect drwxr-xr-x 5 root wheel 170 Jul 18 2013 ParallelsDesktopTransporter System startup items --------------- total 0 drwxr-xr-x 5 root wheel 170 Jul 18 2013 CiscoVPN User launch agents --------------- total 16 -rw-r--r-- 1 vongries 501 468 Aug 24 2014 com.amazon.music.plist -rw-r--r--@ 1 vongries 501 805 Nov 26 22:04 com.google.keystone.agent.plist System launch agents --------------- total 72 -rw-r--r-- 1 root wheel 612 May 28 2013 com.adobe.AAM.Updater-1.0.plist -rw-r--r-- 1 root wheel 1382 Oct 20 09:40 com.avira.antivirus.general.agent.plist -rw-r--r-- 1 root wheel 1616 Oct 20 09:40 com.avira.antivirus.ipm.ui.plist -rw-r--r-- 1 root wheel 1396 Oct 20 09:40 com.avira.antivirus.notifications.agent.plist -rw-r--r-- 1 root wheel 855 Mar 1 02:08 com.avira.antivirus.odscan.default.plist -rw-r--r-- 1 root wheel 1396 Oct 20 09:40 com.avira.antivirus.scheduler.agent.plist -rw-r--r-- 1 root wheel 1120 Oct 20 09:40 com.avira.antivirus.systray.plist -rw-r--r-- 1 root wheel 1381 Oct 20 09:40 com.avira.antivirus.telemetry.agent.plist -rw-r--r-- 1 root wheel 596 Feb 28 22:00 com.avira.antivirus.update.default.plist System launch daemons --------------- total 40 -rw-r--r-- 1 root wheel 462 Feb 3 02:56 com.adobe.fpsaud.plist -rw-r--r-- 1 root wheel 1390 Oct 20 09:40 com.avira.antivirus.dbcleaner.plist -rw-r--r-- 1 root wheel 1297 Oct 20 09:40 com.avira.antivirus.ipm.loader.plist -rw-r--r-- 1 root wheel 1473 Oct 20 09:40 com.avira.helper.watchdox.plist -rw-r--r-- 1 root wheel 568 Mar 26 2014 com.microsoft.office.licensing.helper.plist Third-party kernel extensions --------------- com.avira.kext.FileAccessControl (1.0.0d1) <5 4 3 1> User cron tasks --------------- None Root cron tasks --------------- None launchd.conf contents --------------- None DNS settings --------------- None Hosts file --------------- ## # Host Database # # localhost is used to configure the loopback interface # when the system is booting. Do not change this entry. ## 127.0.0.1 localhost 255.255.255.255 broadcasthost ::1 localhost Scan log --------------- Log file is empty |
01.03.2015, 10:10 | #10 |
/// Mac Expert | Spyware/Trojaner über angelickte Facebook Markierung? Also ich kann Avira guten Herzens nicht empfehlen. Selbst auf Windows-Rechnern gehen da die Meinungen weit auseinander. Mit Gateway und XProtect hast du auf den Mac einen guten Schutz vom Hause aus. Wenn darüber hinaus noch was installieren willst dann probier die oben genannten AV-Lösungen. Code:
ATTFilter drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWNetMgr drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWPortDetect Gruß, -dante
__________________ ----------------- -Gruß dante12 ----------------- Lob, Kritik, Wünsche? Spende fürs trojaner-board? |
01.03.2015, 12:35 | #11 |
| Spyware/Trojaner über angelickte Facebook Markierung? ich deinstallieren also Avira. und installiere Sophos oder eins der anderen vorgeschlagenen Programme. Huwaigerät? Habe und hatte ich definitiv nie. Ist das über den Router eingewählt? Dann könnte es eine meiner Mitbewohnerinnen gewesen sein? Wie könnte ich die Daten denn löschen? Grüße Caro17 Sonst ist mit den Daten alles okay? Also sophos AV hat einen threat gefunden (pishing in Bezug auf Paypal, habe ich vernichtet) und sonst keine Theras aber Probleme, unter denen macht mich nur der verschlüsselte falshplayer nachdenkiich, deshalb poste ich das noch mal. Kann das ein Problem darstellen? Wie werde ich den los? Soll ich neu installieren? Da wäre ich noch mal froh über Rückmeldung. Vielen Dank auch für bisherigen Beistand. Finde die von dante12 empfohlenen Programme in der Handhabung sehr vertrauenserweckend und nach erstem Gebrauch sehr kompetent... Grüße Caro17 Hier der scan, nur Teilergebnis, weitere /ältere Dateien sind beschädigt, das ist kein Problem. Scan-Bezeichnung: "Scan Local Drives" Zu scannende Objekte: Konfiguration: In Archiven und komprimierten Dateien scannen: Ja Bedrohungen automatisch bereinigen: Nein Maßnahme bei infizierten Dateien: Nur melden Live Protection enabled: Ja Scan wurde um 2015-03-01 11:38:17 +0100 gestartet New volume detected at /Volumes/AdwareMedic New volume detected at / 2015-03-01 11:39:50 +0100 Verschlüsselte Datei:: /Applications/AdobeFlashPlayerInstaller_16_ltrosxd_aaa_aih.dmg 2015-03-01 11:49:38 +0100 Beschädigte Datei: /Applications/VirusBarrier Express.app/Contents/Frameworks/AntiviralLib.bundle/Contents/Resources/encyclopediai.vbdc 2015-03-01 12:01:31 +0100 Verschlüsselte Datei:: /Users/vongries/Desktop/Documents/AdobeFlashPlayerInstaller_14au_ltrosxd_aaa_aih.dmg 2015-03-01 12:03:08 +0100 Beschädigte Datei: /Users/vongries/Desktop/Projetke 2015/Projekte 2014/Stiftung/Ingrid der ganzheitliche Mensch/Ingrid Biografisches/1 Lebensläufe |
01.03.2015, 13:26 | #12 |
/// Mac Expert | Spyware/Trojaner über angelickte Facebook Markierung? Hast du noch einen Deinstaller für VirusBarrier? Wenn ja, entferne das bitte. Zwei AV Programme gleichzeitig sind nicht gut. Zu deinem Huwai Gerät, ich frag mal anders hast du eine Routersoftware oder Software für Smartphones installiert? Bitte alles genau durchlesen 1. Öffne dein Terminal 2. Kopiere den nachfolgenden Inhalt in das Terminal es wird automatisch ausgeführt. Klicke in der Code-Box unten auf Alles auswählen und kopiere es (Command-C). Einfügen im Terminal mit (Command-V). Code:
ATTFilter PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/libexec;clear;cd;p=({Soft,Hard}ware Memory Diagnostics Power FireWire Thunderbolt USB Bluetooth SerialATA Extensions Applications Frameworks PrefPane Fonts Displays 85 percent 20480 1 MB/s 25000 ports KiB/s DYLD_INSERT_LIBRARIES\ DYLD_LIBRARY_PATH 10 "` route -n get default|awk '/e:/{print $2}' `" 25 N\\/A down up 102400 25600 recvfrom sendto CFBundleIdentifier 25 25 25 1000 MB 'com.adobe.AAM.Updater-1.0 com.adobe.AAM.Updater-1.0 com.adobe.AdobeCreativeCloud com.adobe.CS4ServiceManager com.adobe.CS5ServiceManager com.adobe.fpsaud com.adobe.SwitchBoard com.adobe.SwitchBoard com.apple.aelwriter com.apple.AirPortBaseStationAgent com.apple.FolderActions.enabled com.apple.installer.osmessagetracing com.apple.mrt.uiagent com.apple.ReportCrash.Self com.apple.rpmuxd com.apple.SafariNotificationAgent com.apple.usbmuxd com.citrixonline.GoToMeeting.G2MUpdate com.google.keystone.agent com.google.keystone.daemon com.microsoft.office.licensing.helper com.oracle.java.Helper-Tool com.oracle.java.JavaUpdateHelper com.oracle.java.JavaUpdateHelper org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.startx' '879294308 4071182229 461455494 3627668074 1083382502 1274181950 1855907737 2758863019 1848501757 464843899 3694147963 1233118628 2456546649 2806998573 2778718105 2636415542 842973933 2051385900 3301885676 891055588 998894468 695903914 1443423563 4136085286 523110921 2883943871 3873345487' 51 5120 files 4 1000 25 5120 -\\t PlistBuddy{,' 2>&1'}' -c Print' OSBundleRequired 1174 20 ' function f() { n++;sub(/^/,"^");gsub(/\./,"\\.");gsub(/\+/,"\\+");gsub(/\-/,"\\-");gsub(/\?/,"\\?");print|"sort|uniq";};function g(N,d) { if(n<N) print d;};' {{,'\.'{kext,xpc,'(appex|pluginkit)'}'\/(Contents\/)?'}Info,'Launch[AD].+'}'\.plist' Label '|sort|uniq'{,\ -c} 1024 );N5=${#p[@]};p[N5]=` networksetup -listnetworkserviceorder|awk ' NR>1 { sub(/^\([0-9]+\) /,"");n=$0;getline;} $NF=="'${p[26]}')" { sub(/.$/,"",$NF);print n;exit;} ' `;f=(\\n%s{:\ ,\\n\\n}%s\\n '\nRAM details\n%s\n' %s\ %s '%s\n'"${p[50]}"'%s\n' '%s (UID %s) is using %s %s' '\nContents of %s\n '"${p[50]}"'mod date: %s\n '"${p[50]}"'checksum: %s\n%s\n' '\n ...and %s more line(s)\n' 'RSSI: %s\nNoise: %s\nTx rate: %s\n' {Privacy,Mode}': %s\n' );S0() { echo ' { q=$NF+0;$NF="";u=$(NF-1);$(NF-1)="";gsub(/^ +| +$/,"");if(q>='${p[$1]}') printf("'"${f[5]}"'",$0,u,q,"'${p[$2]}'");} ';};S4() { echo "${p[56]}"\ ' /'${p[$1]}'$/ { p="'"${p[52]}"'\\ :'${p[$2]}' \""$0"\"";p|getline;close(p);if($0!~/ /) f();};END{g('$3',"^com\.apple\.")} ';};s=(' s/[0-9A-Za-z._]+@[0-9A-Za-z.]+\.[0-9A-Za-z]{2,4}/EMAIL/g;/faceb/s/(at\.)[^.]+/\1NAME/g;/\/Shared/!s/(\/Users\/)[^ /]+/\1USER/g;s/[-0-9A-Fa-f]{22,}/UUID/g;' ' s/^ +//;/de: S|[nst]:/p;' ' {sub(/^ +/,"")};/er:/;/y:/&&$2<'${p[46]} ' 1s/://;3,6d;/[my].+:/d;s/^ {4}//;H;${ g;s/\n$//;/s: (E[^m]|[^EO])|x([^08]|02[^F]|8[^0])/p;} ' ' 5h;6{ H;g;/P/!p;} ' ' ($1~/^Cy/&&$3>'${p[47]}')||($1~/^Cond/&&$2!~/^N/) ' ' /:$/{ N;/:.+:/d;s/ *://;b0'$'\n'' };/^ *(V.+ [0N]|Man).+ /{ s/ 0x.... //;s/[()]//g;s/(.+: )(.+)/ (\2)/;H;};$b0'$'\n'' d;:0'$'\n'' x;s/\n\n//;/Apple[ ,]|Genesy|Intel|SMSC/d;s/\n.*//;/\)$/p;' ' s/^.*C/C/;H;${ g;/No th|pms/!p;} ' '/= [^GO]/p' '{$1=""};1' ' /Of/!{ s/^.+is |\.//g;p;} ' ' BEGIN{FS=":"};{ if($2&&$2!="-") { $2="status: "$2;printf("'"${f[4]}"'",$1,$2);} else print $1;} ' ' { sub(/ :/,"");print|"tail -n'${p[48]}'";} ' ' NR==2&&$4<='${p[49]}' { print $4;} ' ' END { $2/=256;if($2>='${p[65]}') print int($2) } ' ' NR!=13{next};{sub(/[+-]$/,"",$NF)};'"`S0 21 22`" 'NR!=2{next}'"`S0 37 17`" ' NR!=5||$8!~/[RW]/{next};{ $(NF-1)=$1;$NF=int($NF/10000000);for(i=1;i<=3;i++){$i="";$(NF-1-i)="";};};'"`S0 19 20`" 's:^:/:p;' "`S4 58 35 80`" 's/^.{52}(.+) <.+/\1/p' "`S4 61 62 80`" "`S4 59 35 80`" ' NR>1&&$3!~/0x|\.([0-9]{3,}|[-0-9A-F]{36})$/ { print $3":"$2;} ' ' /\.(framew|lproj)|\):/d;/plist:|:.+(Mach|scrip)/s/:.+//p ' '/^root$/p' "${p[56]}"\ ' /\.(bundle|component|framework|kext|mdimporter|plugin|qlgenerator|saver|wdgt)$/{f()} END{g(900,"^/System/")} ' ' /\.dylib$/!d;s/(\.|\+|\-|\?)/\\\1/g;s/^/^/p;' "${p[56]}"\ ' /Temp|emac/{next};/(etc|Preferences|Launch[AD].+)\// { sub(".(/private)?","");f();} END { split("'"${p[41]}"'",b);split("'"${p[42]}"'",c);for(i in b) print b[i]"\.plist\t"c[i];g(500,"Launch");} ' ' /^\/(Ap|Dev|Inc|Prev)/d;/((iTu|ok).+dle|\.(component|mailbundle|mdimporter|plugin|qlgenerator|saver|wdgt))$/p;' 's/Pr.+n //p' ' /^\// { sub("/dev/","",$1);printf("%s: %s\n",$1,$9);} ' p '{print $3"\t"$1}' 's/\'$'\t''.+//p' 's/1/On/p' '/Prox.+: [^0]/p' '$2>'${p[43]}'{$2=$2-1;print}' ' BEGIN { i="'${p[26]}'";M1='${p[16]}';M2='${p[18]}';M3='${p[31]}';M4='${p[32]}';} !/^A/{next};/%/ { getline;if($5<M1) a="user "$2"%, system "$4"%";} /disk0/&&$4>M2 { b=$3" ops/s, "$4" blocks/s";} $2==i { if(c) { d=$3+$4+$5+$6;next;};if($4>M3||$6>M4) c=int($4/1024)" in, "int($6/1024)" out";} END { if(a) print "CPU: "a;if(b) print "I/O: "b;if(c) print "Net: "c" (KiB/s)";if(d) print "Net errors: "d" packets/s";} ' ' /r\[0\] /&&$NF!~/^1(0|72\.(1[6-9]|2[0-9]|3[0-1])|92\.168)\./ { print $NF;exit;} ' ' !/^T/ { printf "(static)";exit;} ' '/apsd|BKAg|OpenD/!s/:.+//p' ' (/k:/&& $3!~/(255\.){3}0/)||(/v6:/&&$2!~/A/) ' ' $1=="op" {m=$3};$1~"lN" {N=$2};$1~"lR" {S=$2};$1~"Tx" {T=$2};$1~/^st/ {s=$2};$1~"li"&&$3!~"wpa2" {printf("'"${f[9]}"'",toupper($3))};END { if(S*N*T&&(S-N<'${p[25]}'||T<'${p[55]}')) printf("'"${f[8]}"'",S,N,T);if(s~/^r/&&m!~/^st/) printf("'"${f[10]}"'",m);} ' ' BEGIN { FS=":";p="uniq -c|sed -E '"'s/ +\\([0-9]+\\)\\(.+\\)/\\\2 x\\\1/;s/x1$//'"'";} { n=split($3,a,".");sub(/_2[01].+/,"",$3);print $2" "$3" "a[n]$1|p;b=b$1;} END { close(p);if(b) print("\n\t* Code injection");} ' ' NR!=4{next} {$NF/=10240} '"`S0 27 23`" ' END { if($3~/[0-9]/)print$3;} ' ' BEGIN { L='${p[36]}';} !/^[[:space:]]*(#.*)?$/ { l++;if(l<=L) f=f"\n "$0;} END { F=FILENAME;if(!F) exit;if(!f) f="\n [N/A]";"cksum "F|getline C;split(C, A);C=A[1];"stat -f%Sm "F|getline D;"file -b "F|getline T;if(T~/^Apple b/) { f="";l=0;while("'"${p[51]}"' "F|getline g) { l++;if(l<=L) f=f"\n "g;};};if(T!~/^(AS.+ (En.+ )?text(, with v.+)?$|(Bo|PO).+ sh.+ text ex|XM)/) F=F"\n '"${p[50]}"'"T;printf("'"${f[6]}"'",F,D,C,f);if(l>L) printf("'"${f[7]}"'",l-L);} ' ' s/^ ?n...://p;s/^ ?p...:/-'$'\t''/p;' 's/0/Off/p' ' END{print NR} ' ' /id: N|te: Y/{i++} END{print i} ' ' /kext:/ { split($0,a,":");s=system("'"${p[51]}"'\\ :'${p[53]}' \""a[1]"\"/*/I*|grep -q Sa");if(!s) a[1]=a[1]" S";if(!a[2]) a[2]="'"${p[28]}"'";printf("'"${f[4]}"'",a[1],a[2]);next;} !/^ *$/ { p="'"${p[52]}"'\\ :'"${p[35]}"' \""$0"\"/*/'${p[57]}'";p|getline b;close(p);if(b~/ /||b=="") b="'"${p[28]}"'";printf("'"${f[4]}"'",$0,b);} ' '/ en/!s/\.//p' ' NR!=13{next};{sub(/[+-M]$/,"",$NF)};'"`S0 39 40`" ' $10~/\(L/&&$9!~"localhost" { sub(/.+:/,"",$9);print $1": "$9|"sort|uniq";} ' '/^ +r/s/.+"(.+)".+/\1/p' 's/(.+\.wdgt)\/(Contents\/)?'${p[57]}'$/\1/p' 's/^.+\/(.+)\.wdgt$/\1/p' ' /l: /{ /DVD/d;s/.+: //;b0'$'\n'' };/s: /{ /V/d;s/^ */- /;H;};$b0'$'\n'' d;:0'$'\n'' x;/APPLE [^:]+$/d;p;' ' /^find: /d;p;' "`S0 44 45`" ' BEGIN{FS="= "} /Path/{print $2} ' ' /^ *$/d;s/^ */ /;' ' s/^.+ |\(.+\)$//g;p ' "`S4 60 35 20`" ' /2/{print "WARN"};/4/{print "CRITICAL"};' ' /EVHF|MACR|^s/d;s/^.+: //p;' ' $3~/^[1-9][0-9]{0,2}(\.[1-9][0-9]{0,2}){2}$/ { i++;n=n"\n"$1"\t"$3;} END { if(i>1) print n;} ' ' s/:[^:]+$//;s/ +([0-9]+)(.+)/\2: \1/p;' ' { gsub(/[()"]/,"",$3);if($2!="="||!$3) $3="N/A";print $3;} ' ' /es: ./{ s/^.+://;b0'$'\n'' };/^ +C.+ted: +[NY]/H;/:$/b0'$'\n'' d;:0'$'\n'' x;/: +N/d;s/\n.+//p;' ' 1d;/:$/b0'$'\n'' $b0'$'\n'' /(D|^ *Loc.+): /{ s/^.+: //;H;};/(By|m): /H;d;:0'$'\n'' x;/[my]: [AM]|^\/Vo/d;s/(^|\n) [ -~]+//g;s/(.+)\n(.+)/\2:\1/;s/\n//g;/[ -~]/p;' 's/$/:(0|-(4[34])?)$/p' ' /^ {6}[^ ]/d;s/:$//;/([^ey]|[^n]e):/d;/e: Y/d;s/: Y.+//g;H;${ g;s/ \n (\n)/\1/g;s/\n +(M[^ ]+)[ -~]+/ (\1)/;s/\n$//;/( {8}[^ ].*){2,}/p;} ' );c1=(system_profiler pmset\ -g nvram fdesetup find syslog df vm_stat sar ps crontab iotop top pkgutil "${p[52]}\\" whoami cksum kextstat launchctl smcDiagnose sysctl\ -n defaults\ read stat lsbom 'mdfind -onlyin /' ' for i in ${p[24]};do ${c1[18]} ${c2[27]} $i;done;' pluginkit scutil dtrace profiles sed\ -En awk /S*/*/P*/*/*/C*/*/airport networksetup mdutil lsof test osascript\ -e netstat mdls kextfind );S1() { printf kMDItemContentTypeTree=com.apple.$1;};S2() { printf 'L*/Ca*/com.ap*.Saf*/E*/* -d 1 -name '${p[57]}' -exec '"${c1[14]}"' :'$1' {} \;|uniq';};c2=(com.apple.loginwindow\ LoginHook ' /L*/P*/loginw*' "'tell app \"System Events\" to get properties of login items'|tr , \\\n" "`S2 CFBundleDisplayName`" '~ $TMPDIR.. \( -flags +sappnd,schg,uappnd,uchg -o ! -user $UID -o ! -perm -600 \)' '-F \$Message -k Sender kernel -k Message CReq "a underr|I/O e"'"${p[64]}" '-nl -print' '-F \$Sender -k Level Nle 3 -k Facility CReq "apple\.(bird|i?clou)"'"${p[64]}" '{/,}L*/{Con,Pref}* -type f ! -size 0 -name *.plist -exec plutil -s {} \;' "-f'%N: %l' Desktop L*/Keyc*" therm sysload boot-args status " -F '\$Time \$(RefProc): \$Message' -k Sender Req 'fsev|kern|launchd' -k RefProc Rne 'Aq|WebK' -k Message Rne '08012|Goog|ksadm|probe|Roame|SMC:|smcD|sserti|suhel| VALI|ver-r|xpma' -k Message Req 'abn|bad |Beac|caug|corru|dead[^bl]|FAIL|fail|GPU |hfs: Ru|idle ex|inval|jnl:|last value [1-9]|lv_c|NVDA\(|pagin|pci pa|proc: t|Roamed|rror|SL|TCON|Throttli|tim(ed? ?|ing )o|WARN' " '-du -n DEV -n EDEV 1 10' 'acrx -o comm,ruid,%cpu' '-t1 10 1' '-f -pfc /var/db/r*/com.apple.*.{BS,Bas,Es,J,OSXU,Rem,up}*.bom' '{/,}L*/Lo*/Diag* -type f -regex .\*[cght] ! -name .?\* ! -name \*ag \( -exec grep -lq "^Thread c" {} \; -exec printf \* \; -o -true \) -execdir stat -f:%Sc:%N -t%F {} \;|sort -t: -k2 |tail -n'${p[38]} '/S*/*/Ca*/*xpc* >&- ||echo No' '-L /{S*/,}L*/StartupItems -type f -exec file {} +' "`S1 "{bundle,mach-o-dylib}"`" "`S2 ${p[35]}`" "/e*/{auto,{cron,fs}tab,hosts,{[lp],sy}*.conf,mach_i*/*,pam.d/*,ssh{,d}_config,*.local} {,/usr/local}/etc/periodic/*/* /L*/P*{,/*}/com.a*.{Bo,sec*.ap}*t {/S*/,/,}L*/Lau*/*t .launchd.conf" list getenv /Library/Preferences/com.apple.alf\ globalstate --proxy '-n get default' -I --dns -get{dnsservers,info}\ "${p[N5]}" -P -m\ / '' -n1 '-R -l1 -n1 -o prt -stats command,uid,prt' '--regexp --files com.apple.pkg.*'"${p[63]}" -kl -l -s\ / '-R -l1 -n1 -o mem -stats command,uid,mem' '+c0 -i4TCP:0-1023' com.apple.dashboard\ layer-gadgets '-d /L*/Mana*/$USER&&echo On' '-app Safari WebKitDNSPrefetchingEnabled' "+c0 -l|awk '{print(\$1,\$3)}'${p[64]}|sort -n|tail -1|awk '{print(\$2,\$3,\$1)}'" -m 'L*/{Con*/*/Data/L*/,}Pref* -type f -size 0c -name *.plist.???????|wc -l' kern.memorystatus_vm_pressure_level '3>&1 >&- 2>&3' " -F '\$Time \$Message' -k Sender kernel -k Message CSeq 'n Cause: -' " -i '-app Safari UserStyleSheetEnabled' -name\ kMDItem${p[35]} -T\ hfs '-F "" -k Sender hidd -k Nle 3|wc -l' );N1=${#c2[@]};for j in {0..15};do c2[N1+j]=SP${p[j]}DataType;done;N2=${#c2[@]};for j in 0 1;do c2[N2+j]="-n ' syscall::'${p[33+j]}':return { @out[execname,uid]=sum(arg0) } tick-10sec { trunc(@out,1);exit(0);} '";done;l=({Restricted\ ,Lock,Pro}files POST Battery {Safari,App,{Bad,Loaded}\ kernel}\ extensions Heat System\ load boot\ args FileVault Diagnostic\ reports Log {Free\ space,Swap}' (MiB)' Activity 'CPU per process' Login\ hook 'I/O per process' Mach\ ports User Daemons Agents XPC\ cache Startup\ items {Admin,Root}\ access Bundles {,Inserted\ }dylibs Stylesheet Font\ issues Firewall Proxies DNS TCP/IP Wi-Fi 'Elapsed time (sec)' {Root,User}\ crontab {Global,User}' login items' Spotlight Memory Listeners Widgets Parental\ Controls Prefetching Nets Descriptors Bad\ plists {I/O,iCloud,HID}\ errors Shutdowns 'High file counts' Memory\ pressure Volumes SMC );N3=${#l[@]};for i in {0..8};do l[N3+i]=${p[5+i]};done;N4=${#l[@]};for j in 0 1;do l[N4+j]="Current ${p[29+j]}stream data";done;A0() { Q=5;v[2]=1;id -G|grep -qw 80;v[1]=$?;((v[1]))||{ Q=7;sudo true;v[2]=$?;((v[2]))||Q=8;};v[3]=`date +%s`;clear >&-;date '+Start time: %T %D%n';printf '\n[Process started]\n\n'>&4;printf 'Revision: %s\n\n' ${p[54]};};for i in 0 1;do eval ' A'$((1+i))'() { v=` eval "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};A'$((3+i))'() { v=` while read i;do [[ "$i" ]]&&eval "${c1[$1]} ${c2[$2]}" \"$i\"|'${c1[30+i]}' "${s[$3]}";done<<<"${v[$4]}" `;[[ "$v" ]];};A'$((5+i))'() { v=` while read i;do '${c1[30+i]}' "${s[$1]}" "$i";done<<<"${v[$2]}" `;[[ "$v" ]];};A'$((7+i))'() { v=` eval sudo "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};';done;A9(){ v=$((`date +%s`-v[3]));};B2(){ v[$1]="$v";};for i in 0 1;do eval ' B'$i'() { v=No;((v['$((i+1))']==0))&&v=;};B'$((3+i))'() { v[$2]=`'${c1[30+i]}' "${s[$3]}"<<<"${v[$1]}"`;} ';done;B5(){ v[$1]="${v[$1]}"$'\n'"${v[$2]}";};B6() { v=` paste -d: <(printf "${v[$1]}") <(printf "${v[$2]}")|awk -F: ' {printf("'"${f[$3]}"'",$1,$2)} ' `;};B7(){ v=`grep -Ev "${v[$1]}"<<<"$v"|sort`;};C0() { [[ "$v" ]]&&sed -E "$s"<<<"$v";};C1() { [[ "$v" ]]&&printf "${f[$1]}" "${l[$2]}" "$v"|sed -E "$s";};C2() { v=`echo $v`;[[ "$v" != 0 ]]&&C1 0 $1;};C3() { v=`sed -E "${s[63]}"<<<"$v"`&&C1 1 $1;};C4() { echo "Part $((++P)) of $Q done at $((`date +%s`-v[3])) sec">&4;};C5() { pbcopy<<<"$o";exit 2>&-;};for i in 1 2 7 8;do for j in 0 2 3;do eval D$i$j'(){ A'$i' $1 $2 $3; C'$j' $4;};';done;done;trap C5 2;o=$({ A0;D20 0 $((N1+1)) 2;D10 0 $N1 1;B0;C2 27;B0&&! B1&&C2 28;D12 15 37 25 22;A1 0 $((N1+2)) 3;C0;A1 0 $((N1+15)) 74;C0;D13 0 $((N1+3)) 4 3;D23 0 $((N1+4)) 5 4;D13 0 $((N1+9)) 59 $((N3+4));for i in 0 1 2;do D13 0 $((N1+5+i)) 6 $((N3+i));done;D13 0 $((N1+8)) 71 $((N3+3));D13 1 10 7 9;D13 1 11 8 10;B1&&D73 19 53 67 60;D22 2 12 9 11;D12 3 13 10 12;D23 4 19 44 13;B0&&{ D13 5 5 69 53&&D23 6 58 31 59;D12 5 59 32 55;D13 5 54 30 56;C4;D23 5 14 12 14;C4;};D22 6 36 13 15;D22 20 52 66 58;D22 7 37 14 16;D23 8 15 38 17;D22 9 16 16 18;C4;B1&&{ D82 35 49 61 51;D82 11 17 17 20;for i in 0 1;do D82 28 $((N2+i)) 45 $((N4+i));done;C4;};D22 12 44 54 45;D22 12 39 15 21;D13 40 6 32 7;A1 13 40 18;B2 4;C4;B4 4 5 19;A1 17 41 20;B7 5;C3 8;B4 4 6 21;B4 4 7 22;B5 6 7;B3 6 6 73;B1&&{ A8 18 26 23;B7 6;B4 0 0 11;C3 23;};A2 18 26 23;B7 6;B4 0 0 11;C3 24;D13 4 21 24 26;B4 4 12 26;C4;for i in {0..3};do A1 0 $((N1+10+i)) 72;B7 12;B4 0 0 52;C3 $((N3+5+i));done;A1 24 22 29;B7 12;B2 14;A4 39 57 70 0;B2 15;B6 14 15 4;C3 29;C4;B3 4 13 27;A1 24 23 32;B7 13;C3 30;B4 4 16 65;A1 26 50 64;B7 16;C3 6;D13 25 37 32 31;A2 23 18 28;B2 16;A2 16 25 33;B7 16;B3 0 0 34;B2 21;A6 47 21&&C0;B1&&{ D73 21 0 32 19;D73 10 42 32 40;D82 29 35 46 2;};D23 14 1 62 42;D12 34 43 53 44;D12 22 20 32 25;D22 0 $((N1+14)) 51 33;D13 4 8 41 52;D12 21 28 35 34;D13 27 29 36 35;A2 27 32 39&&{ B2 19;A2 33 33 40;B2 20;B6 19 20 3;};C2 36;D23 38 55 68 50;D23 33 34 42 37;B1&&D83 35 45 55 46;D23 32 31 43 38;D12 36 47 32 48;D13 10 42 32 41;D13 37 2 48 43;A1 4 3 60;B2 30;A1 4 24 60;B2 31;B6 30 31 4;C3 5;D12 21 56 35 32;D12 21 48 49 49;B3 4 22 57;A1 21 46 56;B7 22;B3 0 0 58;C3 47;D13 5 7 69 54;D22 4 4 50 0;D12 4 51 32 1;D23 22 9 37 57;A9;C2 39;C4;} 4>&2 2>/dev/null;);C5 4. Gebe dein Passwort ein. Es werden keine Änderungen vorgenommen. Das Script erstellt ein Log von deinem System. Dieser Schritt kann einige Minuten andauern. Es werden acht Prozesse ausgeführt. 5. Wenn das script fertig ist, dann befindet sich der Inhalt in der Zwischenablage. Du erhälst keine Rückmeldung darüber. 6. Öffne TextEdit oder einen anderen Texteditor und suche nach persönliche Daten wie z.B. email-Adressen. Mache diese unkenntlich. 7. Anschließend füge den Inhalt hier in Code-Tags ein.
__________________ ----------------- -Gruß dante12 ----------------- Lob, Kritik, Wünsche? Spende fürs trojaner-board? |
03.03.2015, 10:24 | #13 |
| Spyware/Trojaner über angelickte Facebook Markierung? Drei Tipps: Erstens würde ich endlich ein Backup der wichtigsten Daten machen. Sollte die Backup-Software nicht funktionieren kopiere die Daten auf einen USB-Stick (ich hoffe Apple unterstützt das), maile sie dir selbst zu oder nutze irgendeine Cloud (ändere evtl. die Passwörter vorher). Zweitens entsteht Sicherheit vor allem dadurch, dass man auf Software verzichtet. Lösche z.B. nicht benötigte Firefox-Plugins und probiere nicht unzählige unnötige Virenscanner aus. Dadurch wird das System wahrscheinlich unsicherer als wenn du sie gleich weglassen würdest. Drittens installiere Software nur aus sicheren Quellen. Wenn dir Apple in seinem Store irgendwas anbietet nutze das eher als irgendeine Software aus dem Internet. Als Konsequenz würde ich im übrigen neu installieren. |
Themen zu Spyware/Trojaner über angelickte Facebook Markierung? |
account, anderen, avira, befallen, beste, besten, einfach, express, facebook, gen, hardware, heute, installiert, laptop, logfiles, mac, mac book air, meldung, nicht mehr, problem, probleme, rechner, spyware, trojaner, warnung, warnungen, woche, wochen |