Guten Tag erstmal,

ich habe einen Mailanhang der Online Pay auf meinem Mac geöffnet (.zip Datei), Betriebssystem OSX El Capitan, Version 10.11.6. Im Anhang war eine exec Datei. Jedenfalls stand das in grün im kleinen schwarzen Icon dazu nach dem Öffnen der .zip Datei.

Könnt ihr mir bitte helfen zu prüfen, ob sich mein Rechner dadurch einen Virus gefangen hat?

Danke schön und herzliche Grüße von
"plastik"

Hast du die .exec Datei ausgeführt?
Werte zum Test die Datei bei Virus Total aus.

Hallo Murnau,
ich habe die Datei doppelgeklickt, es ist aber kein Fenster aufgegangen. Als ich meinen Fehler bemerkt habe, habe ich die Datei gelöscht. Ich würde gerne meinen Rechner wegen der Öffnung des Anhangs gerne durchscannen, bräuchte dabei Hilfe.
Grüße, Beate

..warte kurz, die .zip Datei lag noch im Papierkorb des Rechners. Grüße

das ergebnis aus antivirus scan ist da:

Analyse

Antivirus Ergebnis Aktualisierung
ALYac Gen:Variant.Razy.93187 20161024
AVG Downloader.Generic14.BEGW 20161024
AVware Trojan.Win32.Generic!BT 20161024
Ad-Aware Gen:Variant.Razy.93187 20161024
AhnLab-V3 Trojan/Win32.Nymaim.N2101038025 20161024
Arcabit Trojan.Razy.D16C03 20161024
Avast Win32:Malware-gen 20161024
Avira (no cloud) TR/AD.Nymaim.unxjh 20161024
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9980 20161024
BitDefender Gen:Variant.Razy.93187 20161024
CAT-QuickHeal Trojan.Dynamer 20161024
DrWeb Trojan.Nymaim.38 20161024
ESET-NOD32 Win32/TrojanDownloader.Nymaim.BA 20161024
Emsisoft Gen:Variant.Razy.93187 (B) 20161024
F-Secure Gen:Variant.Razy.93187 20161024
Fortinet W32/Nymaim.MWE!tr 20161024
GData Gen:Variant.Razy.93187 20161024
Ikarus Trojan-Downloader.Win32.Nymaim 20161024
Invincea trojan.win32.matsnu.q 20161018
Jiangmin Trojan.Nymaim.yw 20161024
Kaspersky Trojan.Win32.Nymaim.mwe 20161024
McAfee Generic.agl 20161024
McAfee-GW-Edition Generic.agl 20161024
eScan Gen:Variant.Razy.93187 20161024
Microsoft Trojan:Win32/Dynamer!ac 20161024
NANO-Antivirus Trojan.Win32.AD.egceuz 20161024
Panda Trj/GdSda.A 20161024
Rising Downloader.Nymaim!8.781-GYNQTbHTzII (cloud) 20161024
Sophos Mal/Generic-S 20161024
TrendMicro TROJ_GE.D691660A 20161024
TrendMicro-HouseCall TROJ_GE.D691660A 20161024
VIPRE Trojan.Win32.Generic!BT 20161024
ViRobot Trojan.Win32.Z.Nymaim.569608[h] 20161024
Yandex Trojan.Nymaim!UVlTtqaQL/w 20161024
Zillya Trojan.Nymaim.Win32.697 20161024
AegisLab 20161024
Alibaba 20161024
Antiy-AVL 20161024
Bkav 20161024
CMC 20161024
ClamAV 20161024
Comodo 20161024
CrowdStrike Falcon (ML) 20160725
Cyren 20161024
F-Prot 20161024
K7AntiVirus 20161024
K7GW 20161024
Kingsoft 20161024
Malwarebytes 20161024
Qihoo-360 20161024
SUPERAntiSpyware 20161024
Symantec 20161024
Tencent 20161024
TheHacker 20161022
VBA32 20161024
Zoner 20161024
nProtect 20161024

File Detail

Contained files
This file is a compressed stream containing 1 file.

Compression metadata
Contained files 1
Uncompressed size 360903
Highest datetime 2016-09-08 00:10:20
Lowest datetime 2016-09-08 00:10:20

Contained files by extension
zip 1

Contained files by type
ZIP 1

ExifTool file metadata
MIMEType application/zip
ZipRequiredVersion 20
ZipCRC 0x6c17e2fd
FileType ZIP
ZipCompression Deflated
ZipUncompressedSize 360903
ZipCompressedSize 360975
FileTypeExtension zip
ZipFileName 08.09.2016
ZipBitFlag 0
ZipModifyDate 2016:09:08 00:10:10

Zusätzliche Informationen

File identification

MD5 8b3b4b1b701818f9553f861563acfc1c
SHA1 a7d5802b0d88e9d25a56564a8e95d64af87af930
SHA256 8af585a24fd63df8760ab5dcebe2c07d703a08d476626d92d909cc94c94a5ebf
ssdeep
6144:IWa81f5PbZoylj7wkyrktzPPM+lMrQowx/WGgvToCC3JUq9dgFToXypIQJAQEZYR:EyFbZogj7TWktT0SZowx/XgvTXUOq9de

File size 352.7 KB ( 361211 bytes )
File type ZIP
Magic literal Zip archive data, at least v2.0 to extract
TrID ZIP compressed archive (100.0%)
Tags zip

VirusTotal metadata First submission 2016-10-24 17:12:07 UTC ( vor 8 Minuten )
Last submission 2016-10-24 17:12:07 UTC ( vor 8 Minuten )
Dateinamen...

Erkennungsrate: 35 / 56
Analyse-Datum: 2016-10-24 17:12:07 UTC ( vor 0 Minuten )

Beim Scan des .zips durch Virustotal gibt es Einträge bis "Zillya", ab "AegisLab" sind grüne Häckchen gesetzt.

Ganz schön übel, ich hoffe, meine Möhre hat stand gehalten.

Grüße
"plastik"

Das wird ein Windows Trojaner sein, siehe bei einigen Scannern ...win32...

Hast du nach dem Öffnen des Archivs auch noch auf die enthaltenen Dateien geklickt? Oder nur das ZIP geöffnet, dann nichts mehr?

Ansonsten warte mal auf Dante, wenn was ist, kriegst du durch ihn Anweisungen zum Scannen deines Macs.

Hallo Stefan,
ganz ehrlich, bin mir nicht mehr sicher, ob ich das zip aufgemacht habe oder nicht.
Asche über mein Haupt.
Danke dir erstmal bis hierhin.
Viele Grüße

plastik,

zunächst mal, exe Dateien habe keinerlei Auswirkung auf einem macOS dennoch kann man das System mal scannen um zu sehen ob vielleicht doch was sein könnte.

EtreCheck installieren

1. Lade dir bitte EtreCheck herunter.
2. Entpacken und Ausführen.
3. Klicke auf das Pull-Down Menü und wähle No Problem - Just Checking, anschliessend auf Start Etrecheck
4. Nach Abschluss erscheint das Fenster mit dem Log. Klicke oben links auf den Button Share Report und anschließend Copy to Clipboard.
5. Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe Lesestoff.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Code: Alles auswählenAufklappen

ATTFilter

EtreCheck version: 3.0.6 (315)
Report generated 2016-10-24 20:36:42
Download EtreCheck from https://etrecheck.com
Runtime 1:28
Performance: Excellent

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: No problem - just checking

Hardware Information: ⓘ
    MacBook Pro (Retina, 15-inch, Late 2013) 
    [Technical Specifications] - [User Guide] - [Warranty & Service]
    MacBook Pro - model: MacBookPro11,3
    1 2,6 GHz Intel Core i7 CPU: 4-core
    16 GB RAM Not upgradeable
        BANK 0/DIMM0
            8 GB DDR3 1600 MHz ok
        BANK 1/DIMM0
            8 GB DDR3 1600 MHz ok
    Bluetooth: Good - Handoff/Airdrop2 supported
    Wireless:  en0: 802.11 a/b/g/n/ac
    Battery: Health = Normal - Cycle count = 455

Video Information: ⓘ
    Intel Iris Pro
    NVIDIA GeForce GT 750M - VRAM: 2048 MB
        Color LCD 2880 x 1800

System Software: ⓘ
    OS X El Capitan 10.11.6 (15G1004) - Time since boot: about 9 hours

Disk Information: ⓘ
    APPLE SSD SM1024F disk0 : (1 TB) (Solid State - TRIM: Yes)
        EFI (disk0s1) <not mounted> : 210 MB 
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
        Macintosh HD (disk1) /  [Startup]: 999.32 GB (827.64 GB free)
            Core Storage: disk0s2 999.70 GB Online

USB Information: ⓘ
    Apple Inc. Apple Internal Keyboard / Trackpad 
    Apple Inc. BRCM20702 Hub 
        Apple Inc. Bluetooth USB Host Controller 

Thunderbolt Information: ⓘ
    Apple Inc. thunderbolt_bus

Gatekeeper: ⓘ
    Mac App Store and identified developers

System Launch Agents: ⓘ
    [not loaded]    7 Apple tasks
    [loaded]    150 Apple tasks
    [running]    82 Apple tasks

System Launch Daemons: ⓘ
    [not loaded]    47 Apple tasks
    [loaded]    153 Apple tasks
    [running]    90 Apple tasks

Launch Agents: ⓘ
    [failed]    com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist (2016-10-14) [Support]

Launch Daemons: ⓘ
    [loaded]    com.adobe.ARMDC.Communicator.plist (2016-10-14) [Support]
    [loaded]    com.adobe.ARMDC.SMJobBlessHelper.plist (2016-10-14) [Support]
    [running]    com.adobe.agsservice.plist (2016-10-09) [Support]
    [loaded]    com.adobe.fpsaud.plist (2016-08-30) [Support]
    [loaded]    com.malwarebytes.HelperTool.plist (2016-09-08) [Support]

User Launch Agents: ⓘ
    [loaded]    com.adobe.ARM.[...].plist (2016-09-09) [Support]

User Login Items: ⓘ
    iTunesHelper    Programm  (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
    AdobeResourceSynchronizer    Programm Hidden (/Applications/Adobe Reader.app/Contents/Support/AdobeResourceSynchronizer.app)
    HP Device Monitor    SMLoginItem  (/Library/Printers/hp/Utilities/HP Utility.app/Contents/Library/LoginItems/HP Device Monitor.app)
    HP Device Monitor    SMLoginItem  (/Library/Printers/hp/Utilities/HP Utility.app/Contents/Library/LoginItems/HP Device Monitor.app/Contents/Library/LoginItems/HP Device Monitor.app)

Internet Plug-ins: ⓘ
    FlashPlayer-10.6: 23.0.0.162 - SDK 10.9 (2016-10-06) [Support]
    QuickTime Plugin: 7.7.3 (2016-08-17)
    AdobePDFViewerNPAPI: 15.010.20056 - SDK 10.8 (2015-12-18) [Support]
    AdobePDFViewer: 15.010.20056 - SDK 10.8 (2015-12-18) [Support]
    Flash Player: 23.0.0.162 - SDK 10.9 (2016-10-06) Outdated! Update
    Default Browser: 601 - SDK 10.11 (2016-08-17)
    DirectorShockwave: 12.2.4r194 - SDK 10.6 (2016-02-23) [Support]
    JavaAppletPlugin: 15.0.1 - SDK 10.11 (2015-07-11) Check version

3rd Party Preference Panes: ⓘ
    Flash Player (2016-08-30) [Support]

Time Machine: ⓘ
    Time Machine not configured!

Top Processes by CPU: ⓘ
         5%    WindowServer
         3%    firefox
         2%    fontd
         1%    kernel_task
         0%    SystemUIServer

Top Processes by Memory: ⓘ
    1.41 GB    firefox
    1.20 GB    kernel_task
    1.09 GB    PDF Expert
    803 MB    Mail
    590 MB    com.apple.WebKit.WebContent(2)

Virtual Memory Information: ⓘ
    3.41 GB    Free RAM 
    13.00 GB    Used RAM (3.00 GB Cached)
    0 B    Swap Used 

Diagnostics Information: ⓘ
    Oct 24, 2016, 11:28:11 AM    ~/Library/Logs/DiagnosticReports/accountsd_2016-10-24-112811_[redacted].crash
        /System/Library/Frameworks/Accounts.framework/Versions/A/Support/accountsd
    Oct 24, 2016, 11:19:58 AM    Self test - passed
         

Hallo Dante12,
danke schön für deine schnelle Antwort
Lieben Gruß :-)

Alles Ok, von meiner Seite wenn du noch Fragen hast dann her damit

Du kannst jetzt EtreCheck wieder deinstallieren wenn du es nich mehr nutzen willst.

1. Verschiebe EtreCheck in den Papierkorb
2. Lösche die Fett markierten Einträge (falls vorhanden)
3. Der Ablauf zum dem jeweiligen Ordner sieht wie folgt aus und ist immer gleich:
4. Klicke auf den Finder, drücke die Tasten CMD + Shift + G und kopiere in das kleine Fenster den Pfad aus der Code-Box. Drücke Enter um den Zielordner zu öffnen.

Code: Alles auswählenAufklappen

ATTFilter

~/Library/Application Support
         

EtreCheck

Code: Alles auswählenAufklappen

ATTFilter

~/Library/Application Support/com.apple.sharedfilelist/com.apple.LSSharedFileList.ApplicationRecentDocuments
         

com.etresoft.etrecheck.sfl

Code: Alles auswählenAufklappen

ATTFilter

~/Library/Caches/
         

com.etresoft.EtreCheck

Code: Alles auswählenAufklappen

ATTFilter

~/Library/Preferences/
         

com.etresoft.EtreCheck.plist

Hey Dante12 - du bist echt klasse! Danke für alles.
Lieben Gruß von plastik-)