| |
| |||||||
Mülltonne: Flashplayer Trojaner Variante erfolgreich entfernt - nützliche HinweiseWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
30.12.2018, 11:54
| #1 |
| |  Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise Hallo, hier einige nützliche Hinweise für die manuelle Entfernung einer Variante des Flashplayer-Fake Trojaners, auch bekannt als "Shlayer" oder "Couponroller" ... Das Ding firmiert unter der Firmenbezeichnung (aus info.plist von MacOsDefender): CompanyUpdater com.company.CompanyUpdater Copyright 2018 CouponRoller. All rights reserved ich habe mir kürzlich eine Variante des Flashplayer Trojaners eingefangen. Über ca. 2 Wochen nach der unachtsamen Installation des Flashplayer-Fakes habe ich gar nicht erkannt, dass ich den hatte. Doch vor wenigen Tagen kam dann beim Öffnen von Safari plötzlich die Meldung, ob ich dem "MacOsDefender" die Kontrolle über Safari übergeben möchte. Ich war sehr müde und klickte dummerweise auch noch auf "ok" ... Die Folge war eine ca. 8-Stunden-Sitzung am Rechner, um das Ding wieder komplett zu entfernen. Zur Sicherheit, um festzustellen ob meine Arbeit erfolgreich war, habe ich mir dann noch die Malwarebytes Free-Version installiert - mit positiver Erfolgsmeldung. HIER NUN MEINE HOFFENTLICH AUSREICHENDE ABER SICHER NOCH ETWAS LÜCKENHAFTE MITSCHRIFT (weiteres siehe Anhang!): Schlagworte, die mit dieser Infizierung zusammenhängen, nach denen in Systemdateien gesucht werden kann. Als Suchprogramm verwende ich sehr gerne "EasyFind": Shlayer Trojaner CouponRoller.com / com.myshopcoupon / com.company Mac Cleanup Pro MacOS Defender ZNS --- Bei der Entfernung des Trojaners unbedingt alle Netzwerkverbindungen trennen. Dadurch wird verhindert, dass Verbindungen ins Netz und eventuelle Hintertürchen die Entfernung erschweren. Außerdem werden dadurch vergebliche Versuche des Trojaners seine Peer-Webseiten aufzurufen in der Konsole sichtbar, weil keine Internetverbindung existiert. --- Folgende Webadressen werden sowohl in einigen .plist als auch in verschiedenen Logdateien des Trojaners offengelegt, das bedeutet, dass man den Trojaner auch in der Konsole identiizieren kann, wenn diese Adressen geloggt werden: www.aww799.com www.incapable.life "www.bleed.live", "www.majority.life", "www.spite.life", "www.temptation.live", "www.violation.life" hxxp://meyerweb.com https://ajax.googleapis.com --- Bevor Dateien nachhaltig gelöscht werden können, müssen die selbstheilenden / selbst nachstartenden Fakeprozesse "MacOsDefender", "Dock" und "Finder" aus dem System entfernt werden, da durch sie alle re-Installationsdateien sofort wieder installiert werden, sollte entweder der MacOsDefender Fakeprozess oder der "Finder" Fake oder der "Dock" Fake beendet werden. Idealerweise lokalisiert man diese drei Fakeprozesse in der Aktivitätsanzeige (PID aufschreiben) und im Finder, öffnet die Inhalte der jeweiligen Application und manipuliert zuerst die .plist darin in der Art, dass ein Autostart der Prozesse darin ausgeschaltet wird. XCode wird zu dieser Operation empfohlen. Es geht aber auch mit einem normalen Texteditor. Danach kann man bequem alle drei Prozesse abschießen ohne dass sie sich wieder neu starten und dann die Datei-Derivate des Trojanerpakets entfernen. Details zum jeweiligen Fakeprozess und den Schad-Dateien siehe im Folgenden ... --- AdvancedMacTuner unbedingt aus dem System entfernen siehe "_mcp.plist" hxxp://cdn.macclean-pro.com/mcp/prefs/rlist.plist hxxp://maccleanpro.esecureshoppe.com/mcp/plan hxxp://maccleanpro.esecureshoppe.com/mcp/price hxxp://cdn.advancedmactuner.com/amc/more/numscrptprdct.html hxxp://cdn.macclean-pro.com/mcp/prefs hxxp://cdn.macclean-pro.com/mcp/update/helpermcp.zip --- MacOSDefender Das Schadprogramm befindet sich in folgenden Dateien, diese lassen sich aber erst nachhaltig entfernen, wenn man die Fakeprozesse "Dock" und "Finder" eliminiert hat (siehe oben): /Users/sonja/Library/LaunchAgents/com.company.InstallerAgent.plist /Users/sonja/Library/Application Support/.dir/MacOSDefender.app/Contents/MacOS/MacOSDefender Diese Bestandteile also bitte erst löschen, wenn die Fakeprozesse "Dock" und "Finder" zerst lahmgelegt und und dann eliminiert wurden: Wenn man die Inhalte des Application Pakets im Finder anzeigen lässt, dann kann man in der .plist darin den "MacOsDefender" so manipulieren, dass er sich nicht mehr selbst startet, nachdem er abgeschossen wurde. --> .plist manipulieren --> den falschen "MacOsDefender" über die Aktivitätsanzeige herausfinden (PID merken) --> im Terminal den Task dieser PID abschießen. --> Fake "MacOsDefender" ist tot. --- Ein Fake- "Finder" hatte sich installiert und zwar unter folgenden Dateien: /Users/ich/Library/Application Support/.dir/Finder /Users/ich/Library/Caches/Finder Wenn man die Inhalte des Application Pakets im Finder anzeigen lässt, dann kann man in der .plist darin den Finder so manipulieren, dass er sich nicht mehr selbst startet, nachdem er abgeschossen wurde. --> .plist manipulieren --> den falschen Finder über die Aktivitätsanzeige herausfinden (PID merken) --> im Terminal den Task dieser PID abschießen. --> Fake Finder ist tot. --- Vorsicht: Doppelter Prozessname "Dock" / Fakeprozess "Dock" Process Dock 66533 (das war die PID bei mir)! /Users/ich/Library/Application Support/.wbsb/Dock /ich/Library/Caches/Dock Wenn man die Inhalte des Application Pakets im Finder anzeigen lässt, dann kann man in der .plist darin den Finder so manipulieren, dass er sich nicht mehr selbst startet, nachdem er abgeschossen wurde. --> .plist manipulieren --> den falschen "Dock" Prozess über die Aktivitätsanzeige herausfinden (PID merken) --> im Terminal den Task dieser PID abschießen. --> Fake "Dock" ist tot. --- Bitte auch suchen nach und entfernen von folgenden Dateien: pcv mcp amc /Users/ich/Library/Application Support/mcp auch in diesem Application Paket gibt es wieder eine _mcp.plist, durch die man "mcp" deaktivieren kann. /Users/ich/Library/Application Support/hlprmcp /Users/ich/Library/Application Support/hlpramc /Users/ich/Library/Caches/com.pcv.mcpuninstall com.org.company.prototype com.adobe.helper --- ein "searchinstaller" befindet sich in folgenden Dateien: Diese sind auch unbedingt aus dem System zu entfernen: /Users/ich/Library/Caches/com.search.offer /Users/ich/Library/Caches/searchinstaller /Users/ich/Library/Caches/com.spherocrystal.heterocycle /Users/ich/Library/Caches/net.java.openjdk.cmd /Users/ich/Library/Caches/Oracle.MacJREInstaller --- Folgende Datei bitte auch unbedingt löschen: /Users/Sonja/Library/Caches/com.company.InstallerShell --- Diese Datei auch entfernen: /Users/ich/Library/Application Support/Passes installed_offer.json params.json quit_installer/Log-<Datum>/28/34/34.txt |
| Themen zu Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise |
| anzeigen, autostart, beendet, erkannt, falsche, folge, gelöscht, hängen, ide, installation, internetverbindung, klick, löschen, malwarebytes, netzwerkverbindungen, neu, nicht mehr, opera, rechner, sicherheit, startet, systemdateien, trojaner, unbedingt, öffnet |
Linear-Darstellung
