Hallo Board Mitglieder

ich habe Firefox auf meinem iMac installiert und seit kurzem habe zwei lästige Probleme
1. beim "Berühren" von Links poppen kleine Werbefenster auf (die i.d.R. beim Verlassen auch wieder verschwinden
2 beim "Clicken" eines beliebigen Links werde ich auf eine Werbeseite weiter geleitet. Die gewünschte öffnet sich nicht.

Was für eine Art Malware ist das (Trojaner??) und wie werde ich die Quälgeister wieder los?

Danke für Eure Hilfe.

VG
Corinne

hi,

iMac? Betriebssystem Windows oder MacOS X?

Hi Cosinus,
das Betriebssystem ist Mac OSX

Dann bist du hier falsch

Ich verschieb diesen Thread ins passende Forum!

Ich habe schon sowas befürchtet. Meldet sich dann ein Kollege aus dem "richtigen" Forum?
Dank und Grüße
Corinne

Dante12 müsste sich melden...

Hallo Corinne,

Mein Name ist Dante12 ich werde dir bei deinem Problem helfen so gut ich kann.
Bei allen Aktionen die wir ausführen ist es wichtig vorher die persönlichen Daten zu sichern.
Mache deshalb bitte ein backup deiner Daten.

EtreCheck Log

1. Lade dir bitte EtreCheck herunter.
2. Entpacken und Ausführen
3. Übergehe bitte das Fenster bei dem du dein Problem beschreiben sollst, indem du auf Start EtreCheck klickst.
4. Anschließend Klicke auf Copy Report to Clipboard.
5. Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt nun mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Code: Alles auswählenAufklappen

ATTFilter

Problem description:
any browser link opens an undesired tab with ad

EtreCheck version: 2.4.2 (142)
Report generated 9/12/15, 11:12 AM
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.
Click the [Click to remove] links for help removing adware.

Hardware Information: (What does this mean?)
    iMac (21.5-inch, Mid 2010) (Technical Specifications)
    iMac - model: iMac11,2
    1 3.06 GHz Intel Core i3 CPU: 2-core
    4 GB RAM Upgradeable
        BANK 0/DIMM0
            Empty   
        BANK 1/DIMM0
            Empty   
        BANK 0/DIMM1
            2 GB DDR3 1333 MHz ok
        BANK 1/DIMM1
            2 GB DDR3 1333 MHz ok
    Bluetooth: Old - Handoff/Airdrop2 not supported
    Wireless:  en1: 802.11 a/b/g/n

Video Information: (What does this mean?)
    ATI Radeon HD 4670 - VRAM: 256 MB
        iMac 1920 x 1080

System Software: (What does this mean?)
    OS X 10.10.5 (14F27) - Time since boot: about 11 hours

Disk Information: (What does this mean?)
    WDC WD5000AAKS-40V6A0 disk0 : (500,11 GB) (Rotational)
        EFI (disk0s1) <not mounted> : 210 MB 
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
        Macintosh HD (disk1) / : 498.88 GB (224.46 GB free)
            Encrypted AES-XTS Unlocked
            Core Storage: disk0s2 499.25 GB Online

    OPTIARC DVD RW AD-5680H   ()

USB Information: (What does this mean?)
    Apple, Inc. Keyboard Hub 
        Apple Inc. Apple Keyboard 
    Logitech USB Laser Mouse 
    Apple Internal Memory Card Reader 
    Apple Inc. BRCM2046 Hub 
        Apple Inc. Bluetooth USB Host Controller 
    Apple Computer, Inc. IR Receiver 
    Apple Inc. Built-in iSight 

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Adware: (What does this mean?)
    Downlite, VSearch, Conduit, Trovi, MyBrand, Search Protect Adware! [Click to remove]

Kernel Extensions: (What does this mean?)
        /Incompatible Software/Parallels Service.app
    [not loaded]    com.parallels.kext.prl_hid_hook (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_hypervisor (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_netbridge (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_usb_connect (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_vnic (6.0 12106.694064) [Click for support]

Launch Agents: (What does this mean?)
    [loaded]    com.citrix.AuthManager_Mac.plist [Click for support]
    [running]    com.citrix.ReceiverHelper.plist [Click for support]
    [running]    com.citrix.ServiceRecords.plist [Click for support]
    [loaded]    com.oracle.java.Java-Updater.plist [Click for support]

Launch Daemons: (What does this mean?)
    [loaded]    com.adobe.fpsaud.plist [Click for support]
    [loaded]    com.microsoft.office.licensing.helper.plist [Click for support]
    [loaded]    com.oracle.java.Helper-Tool.plist [Click for support]
    [loaded]    com.oracle.java.JavaUpdateHelper.plist [Click for support]
    [running]    com.sonos.SonosLibraryServer.plist [Click for support]

User Launch Agents: (What does this mean?)
    [loaded]    com.adobe.ARM.[...].plist [Click for support]
    [running]    com.cinemapro1-2.agent.plist [Click for support]
    [loaded]    com.extensions.updater69337.agent.plist [Click for support]
    [unknown]    com.extensions.updater69337.ver [Click for support]
    [running]    com.nchsoftware.expressaccounts.agent.plist [Click for support]
    [running]    com.nchsoftware.expressinvoicede.agent.plist [Click for support]
    [running]    com.nchsoftware.inventoriade.agent.plist [Click for support]
    [unknown]    UpdateDownloader [Click for support]

User Login Items: (What does this mean?)
    iTunesHelper    UNKNOWN Hidden (missing value)

Internet Plug-ins: (What does this mean?)
    JavaAppletPlugin: Version: Java 8 Update 45 Check version
    FlashPlayer-10.6: Version: 18.0.0.232 - SDK 10.6 [Click for support]
    Default Browser: Version: 600 - SDK 10.10
    AdobePDFViewerNPAPI: Version: 11.0.12 - SDK 10.6 [Click for support]
    AdobePDFViewer: Version: 11.0.12 - SDK 10.6 [Click for support]
    Flash Player: Version: 18.0.0.232 - SDK 10.6 [Click for support]
    QuickTime Plugin: Version: 7.7.3
    CitrixICAClientPlugIn: Version: 11.8.0 - SDK 10.7 [Click for support]
    SharePointBrowserPlugin: Version: 14.5.4 - SDK 10.6 [Click for support]
    iPhotoPhotocast: Version: 7.0 - SDK 10.8

3rd Party Preference Panes: (What does this mean?)
    Flash Player  [Click for support]
    Java  [Click for support]

Time Machine: (What does this mean?)
    Skip System Files: NO
    Auto backup: YES
    Volumes being backed up:
        Macintosh HD: Disk size: 498.88 GB Disk used: 274.42 GB
    Destinations:
        Untitled [Local] 
        Total size: 499.76 GB 
        Total number of backups: 8 
        Oldest backup: 2015-07-24 00:03:15 +0000 
        Last backup: 2015-07-24 07:13:54 +0000 
        Size of backup disk: Too small
            Backup size 499.76 GB < (Disk used 274.42 GB X 3)

Top Processes by CPU: (What does this mean?)
         3%    WindowServer
         2%    fontd
         0%    plugin-container
         0%    taskgated
         0%    notifyd

Top Processes by Memory: (What does this mean?)
    926 MB    firefox
    367 MB    kernel_task
    119 MB    Finder
    98 MB    com.apple.WebKit.WebContent(2)
    94 MB    Sonos

Virtual Memory Information: (What does this mean?)
    82 MB    Free RAM 
    3.92 GB    Used RAM (1021 MB Cached)
    0 B    Swap Used 

Diagnostics Information: (What does this mean?)
    Sep 11, 2015, 11:50:20 PM    Self test - passed
    Sep 10, 2015, 10:58:58 PM    /Library/Logs/DiagnosticReports/firefox_2015-09-10-225858_[redacted].cpu_resource.diag [Click for details]
         

Du hast den CinemaPro Trojaner auf deinen Rechner. Des weiteren wird dadurch natürlich zusätzlich Adware installiert.

SCHRITT 1

MalwareBytes for Mac

• Lade dir bitte MalwareBytes for Mac herunter.
• Öffne das DMG und verschiebe die APP in den Programm-Ordner.
• Programm starten und klicke auf Scan. Gefundene Malware wird in den Papierkorb verschoben.
• In Malwarebytes gehe ganz oben auf deinem Bildschirm in das Menü Scanner und anschliessend zu Take System Snapshot. Beachte das die Anwendung Aktiv sein muss, also auf das Fenster der Anwendung klicken damit du oben auf deinen Bildschirm das Menu sehen kannst.
• Kopiere den Inhalt des Fensters und füge es hier ein. Wenn möglich in Code-Tags.

Ich habe alles so ausgeführt und mein Rechner scheint wieder sauber zu sein.
Allerbesten Dank an das Trojaner Board

Corinne

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware for Mac 1.0.2.8 system report - Samstag, 12. September 2015 @ 21:34:24
Mac OS X version 10.10.5
21:34  up 19 mins, 1 user, load averages: 0.98 1.17 0.88

Safari extensions
---------------
None

Chrome extensions
---------------
None

Firefox extensions
---------------
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/add-to-searchbox@maltekraus.de.xpi
     Name: [name not found in install.rdf]
     Modified: Freitag, 29. Mai 2015 @ 22:17:09
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/heartbeat-telemetry-experiment-1@mozilla.com.xpi
     Name: Heartbeat Telemetry Experiment 1
     Modified: Freitag, 19. Dezember 2014 @ 18:54:45
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/testpilot@labs.mozilla.com.xpi
     Name: Test Pilot
     Modified: Sonntag, 26. April 2015 @ 21:36:07
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/{d04b0b40-3dab-4f0b-97a6-04ec3eddbfb0}.xpi
     Name: Ecosia — The search engine that plants trees!
     Modified: Freitag, 29. Mai 2015 @ 22:17:09

Login items
---------------
iTunesHelper

Startup items
---------------
None

System startup items
---------------
None

User launch agents
---------------
total 40
-rw-r--r--  1 corinnechristian  staff  603 Jan  2  2015 com.adobe.ARM.202f4087f2bbde52e3ac2df389f53a4f123223c9cc56a8fd83a6f7ae.plist
-rw-r--r--  1 corinnechristian  staff  517 Mar 25 00:35 com.apple.FolderActions.folders.plist
-rw-r--r--  1 corinnechristian  staff  528 May 31 08:26 com.nchsoftware.expressaccounts.agent.plist
-rw-r--r--  1 corinnechristian  staff  527 Mar 28 23:09 com.nchsoftware.expressinvoicede.agent.plist
-rw-r--r--  1 corinnechristian  staff  515 Mar 28 22:45 com.nchsoftware.inventoriade.agent.plist

System launch agents
---------------
total 32
-rw-r--r--  1 root  wheel  639 Jun  7  2013 com.citrix.AuthManager_Mac.plist
-rw-r--r--  1 root  wheel  621 Jun  7  2013 com.citrix.ReceiverHelper.plist
-rw-r--r--  1 root  wheel  799 Jun  7  2013 com.citrix.ServiceRecords.plist
lrwxr-xr-x  1 root  wheel  104 Feb  3  2015 com.oracle.java.Java-Updater.plist -> /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/com.oracle.java.Java-Updater.plist

System launch daemons
---------------
total 40
-rw-r--r--  1 root  wheel  462 Aug  7 06:37 com.adobe.fpsaud.plist
-rw-r--r--  1 root  wheel  568 Aug 31  2010 com.microsoft.office.licensing.helper.plist
lrwxr-xr-x  1 root  wheel  103 Feb  3  2015 com.oracle.java.Helper-Tool.plist -> /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/com.oracle.java.Helper-Tool.plist
-rw-r--r--  1 root  wheel  588 May  3 15:55 com.oracle.java.JavaUpdateHelper.plist
-rw-r--r--  1 root  wheel  484 Jul 15 21:01 com.sonos.SonosLibraryServer.plist

Third-party kernel extensions
---------------
None

launchd.conf contents
---------------
None

DNS settings
---------------
Server:		192.168.178.1

Hosts file
---------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting.  Do not change this entry.
##
127.0.0.1	localhost
255.255.255.255	broadcasthost
::1             localhost

Scan log
---------------
2015-09-12 21:12:44: ----- Scan Started -----
2015-09-12 21:12:44: Scanning with signatures version 15
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/com.cinemapro1-2.agent.plist
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Applications/cinemapro1-2.app
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/cinemapro1-2
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/UpdateDownloader
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.agent.plist
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.ver
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/ScriptingAdditions/BrowserHelper.osax
2015-09-12 21:12:56: Adware.Ask Toolbar : /Users/corinnechristian/Library/Application Support/Sponsors.framework
2015-09-12 21:12:59: ----- Scan Ended -----
 
2015-09-12 21:13:43: +++++ Attempting to remove adware +++++
2015-09-12 21:13:43: /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:13:43: /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/com.cinemapro1-2.agent.plist
2015-09-12 21:13:43: /Users/corinnechristian/Applications/cinemapro1-2.app
2015-09-12 21:13:43: /Users/corinnechristian/Library/cinemapro1-2
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/UpdateDownloader
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.agent.plist
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.ver
2015-09-12 21:13:43: /Users/corinnechristian/Library/ScriptingAdditions/BrowserHelper.osax
2015-09-12 21:13:43: /Users/corinnechristian/Library/Application Support/Sponsors.framework
2015-09-12 21:13:43: +++++ File removal complete +++++
 
2015-09-12 21:14:19: ===== Attempting restart =====
 
2015-09-12 21:31:52: ----- Scan Started -----
2015-09-12 21:31:52: Scanning with signatures version 15
2015-09-12 21:32:07: No malware found
2015-09-12 21:32:07: ----- Scan Ended -----
         

SCHRITT 2

• Bitte lade dir die App extensions-pkgs von unserem Server herunter.
• Entpacken und auf deinem Desktop verschieben.
• Halte die CTRL-Taste gedrückt und klicke auf die App. Wähle öffnen und bestätige den Systemdialog. Anschließend warte bis eine Meldung erscheint.
• Das Log wird automatisch in die Zwischenablage (Clipboard) kopiert. Führe deshalb keine anderen kopiervorgänge durch!
• Füge das Log mit Command+V in Code-Tags hier in das Forum ein.
• Um selbst zu prüfen was die App gemacht hat, wurde auf deinem Desktop der Ordner Logfiles mit dem Inhalt erstellt.

sh: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory
sh: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory
sh: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory
cat: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory

Hi Dante12

ich denke ich habe es so gemacht wie du vorgegeben hast. Ich habe das Logfile nicht aus dem Clipboard kopieren können, deshalb habe ich DOCH die klassische Variante gewählt aber das kommt dabei heraus...??

Irgendwo ist noch der Wurm drin

VG
Corinne

sh funktioniert nicht hier das es kein Shell-Script ist.

Wenn du die App so ausgeführt hast, dann müsste sich auf dein Desktop der Ordner Logfiles befinden. In diesem ist auch das Log zu finden. Öffne die txt-Datei in dem Ordner und kopiere den Inhalt. Füge es dann hier ein.