|
Trojaner unter OS X Hallo, beim Komplettscan meines MacBook Pro mit avast! wurden mir zwei Infektionen angezeigt: /.Spotlight-V100/Store-V2/2AD18945-76C3-491C-B482-A7A3B8AA0668/Cache/0000/0000/0060/6353808.txt (HTML:Bankfraud-BKZ [Trj]) und /.Spotlight-V100/Store-V2/2AD18945-76C3-491C-B482-A7A3B8AA0668/Cache/0000/0000/007f/8329641.txt (JS:Bankfraud-CJ [Trj]) Da ich bisher noch nie mit Infektionen zu tun hatte, habe vielleicht etwas vorschnell gehandelt und die beiden in Quarantäne verschoben. Bei einem erneuten Scan wurden sie allerdings wieder gefunden und im Quarantäne-Ordner sind sie gar nicht aufgelistet. Irgendwas scheint da schief gelaufen zu sein. Ich würde gerne komplette Logfiles aus avast! posten, allerdings kann ich die nur als .plist speichern - kann ich die Datei hier anhängen oder sollte ich mit einem anderen Programm erneut scannen und das dann hier posten? Generelle Angaben zu meinem System hier: Mac OS X 10.8.4 Firefox 21.0 avast! 7.0 Entschuldigt, wenn noch Angaben fehlen, ich werde sie nachliefern, wenn ich weiß, welche noch benötigt werden bzw wie ich drankomme. Es wäre schön, wenn mir jemand helfen könnte. Herzlichen Dank jetzt schon! Einen schönen Abend! subtimal |
Moin Moin, das, was Du Dir "eingefangen" hast ist, gehört zu einer Phishingattacke und liegt irgendwo bei Dir im Cache. Ich vermute mal ganz stark, dass auf Deinen Rechner in den letzten Tagen eine Phishing-Seite aufgerufen wurde. Sofern auf diese Fake-Seite nicht reingefallen wurde und dort irgendwelche wichtigen Daten (Kreditkartendaten, Bankdaten, PayPal-Login etc.) eingegeben wurden ist alles ok. Falls doch, oder wenn Du Dir nicht sicher bist, dann würde ich empfehlen sämtliche Passwörter zu ändern und alle Kontoaktivitäten zu überprüfen. |
Hej RSIT, vielen Dank für die Antwort. Da muss ich irgendwo aus Versehen draufgeklickt haben, aber eingegeben habe ich definitiv nichts. Das ist schon mal beruhigend zu wissen, dass dann alles okay sein müsste. Und die Meldung aus avast! verschwindet, wenn ich den kompletten Cache lösche oder muss ich da andere Geschosse auffahren? |
Der Eintrag müsste im Cache vom Spotlight liegen. Das was Avast findet müsste Skript-Code sein und dieser wird indiziert von der Suche. Mit den Terminalbefehl sudo mdutil -E / löscht Spotlight den Index und baut den neu auf. Das kann je nach Inhalt auf den Platten einige Stunden dauern. Das erkennst Du, wenn Du oben links auf die Lupe klickst. Dort sollte stehen, das der Rechner gerade indiziert. Falls das nicht der Fall ist, nochmal den Befehl im Terminal nachschieben: sudo mdutil -i on / |
Perfekt, jetzt ist alles wieder einwandfrei. Ich danke Dir vielmals für Deine Hilfe! |
Hallo, exakt diesen Trojaner erhielt ich auch gestern. Hatte zu der Zeit Safari auf und Avast wie üblich laufen. Ansonsten Mac OSX 10.8.4. Habe ebenfalls den Spotlight Index (auf Rat von Apple) gelöscht. Der Trojaner wird mir auch in Avast als gelöscht angezeigt. ABER: Beim Aufrufen von Safari und der Google-Startseite taucht immer noch eine rote 1 von Avast oben auf der Webseite auf, obwohl Avast mir keine neue aktuelle Infektion meldet. Rufe ich die Google-Startseite mit anderen Browsern auf, passiert das nicht. Ich fürchte, irgendetwas sitzt noch im Cache, z.B. ein infiziertes gespeichertes Safari-Dokument. Ich fand über die Spotlight-Suche (v-100) noch ein seltsames schwarz markiertes Dokument, das offenbar ein Programm aufrufen will. Bleibt mir noch etwas anderes als den Mac neu zu formatieren? Vielen Dank für Tipps! |
Moin, am besten Mal den Cache von Safari löschen. Dafür kurz in die Einstellungen von Safari und dann den Menüpunkt "Erweitert". Ganz unten ein Haken in das Kästchen "Menü Entwickler anzeigen". Im Menü gibt es jetzt den Punkt Entwickler - dort wirst Du fündig. |
Dankedanke! Hatte auf den neuen Safari-Versionen schon immer die Option ,Cache leeren´gesucht - früher war die leichter zu finden. Hab Cache geleert und deaktiviert und alles was ging. Nützt nur leider nix: Nach wie vor leuchtet bei Safari auf der Google-Startseite die rote Alarm-1. Plus Hinweis auf eine Phishing-Seite. Bei Avast wird der erkannte Trojaner noch angegeben, mit dem Hinweis: Infizierte Dateien im Archiv:1, und Status: Gelöscht. Die Endungen des Trojaners sind einmal txt und einmal .exe. Ggfs. ist MS Word auch betroffen. Tja, schätze, wir werden mühselig und zeitaufwändig den Mac irgendwann doch formatieren müssen... |
Zitat:
.exe sind ausführbare Dateien für Windows und nicht für den Mac, wieso bitte kommst du da gleich auf den Trichter deswegen MacOS neu installieren zu müssen?! :confused: |
U.a. deshalb, weil offenbar noch Bestandteile des Trojaners auf dem Rechner sind (sonst würde Avast die Info-Meldung nicht anzeigen), und weil auch schon vor dem Avast-Alarm meine Kamera einmal selbstständig ausgelöst hatte. Reine Vorsichtsmaßnahme. |
Zitat:
|
Folgender Bericht steht im (vorletzten) Avast-Protokoll: /.Spotlight-V100/Store-V2.../0000/0013/1294587.tt Infizierte Dateien im Archiv:1 Status:Gelöscht /.Spotlight-V100/Store-V...ePost_ID789456-353.exe Status: Gelöscht Auf der Google-Startseite mit Safari steht oben (über dem Button: Top Sites einblenden) in einem Feld, was evtl. WOT ist, die rote AVAST-Warn-1. „This site has been marked as a phishing site” Und die verschwindet nicht... Wie gesagt, bei anderen Browsern wird DAS nicht angezeigt auf der Google-Startseite. |
Wenn ich das richtig gelesen habe, kann dieser ganze Spotlight-Ordner eigentlich gelöscht werden. Da drin werden Indizes aufbewahrt, es kann also nur etwas Performance kosten sobald der neu erstellt wird und dementsprechend neue Indizes aufbaut. Kannst aber auch so lassen wenn Avast nun still sein sollte. Den Safari-Browser kenn ich zwar wenig bis garnicht, aber auch dieser Browser sollte eine Möglichkeit bieten testweise mit einem anderen Profil mal zu arbeiten, vllt hilft das weiter => Zurücksetzen von Safari | Safari Ansonsten: Firefox oder Google Chrome statt Safari verwenden :D |
Safari zurücksetzen gehört zu meinen Routine-Aktionen... Scheint nix geholfen zu haben. Mit Chrome lassen sich aber Mails im Rosa-Riese-Account nicht öffnen. Ob es inzwischen mit Firefox wieder geht, weiß ich nicht. Ich arbeite ständig ohnehin schon im Privatmodus (ohne Erstellung einer Chronik bzw. Speicherung von aufgerufenen Webseiten). Habe auch nichts über fragwürdige Seiten bestellt und an dem Tag der Infektion auch nichts wissentlich herunterladen. Muss allerdings öfters mal Seiten speichern, was in Safari am besten geht. Von daher jetzt wohl das Safari-/Avastproblem. Der Spotlight-Index wurde gelöscht, aber ohne Erfolg. Also, seltsam alles. |
Zitat:
Mal davon ab, fände ich eine Umstellung auf einen Mailclient wie zB Mozilla Thunderbird deutlicher sinnvoller als sich Webmailing anzutun.... |
Wenn Du mich fragst, dann hast Du ein generelles Problem mit der Software auf Deinen Rechner. Dieser "Schädling" dürfte dafür nicht verantwortlich sein. Phishing ist ein Versuch Dich zu täuschen und mir ist nicht bekannt, dass bis auf den Täuschungsversuch dort noch irgendwelche Schadroutinen drin sind. Selbst wenn - diese würden auf Windows abzielen und nicht auf Unix bzw. MacOS. Vielleicht hat Avast einen falschen Eintrag in der sog. Blacklist. Für mich hört es sich so an, als wenn diese Google-Seite als Phishing-Seite vermerkt ist und es sich nicht um einen Schädling handelt. Vielleicht bei der Gelegenheit noch einmal Avast manuell auf den neusten Stand bringen, neu starten und noch einmal probieren. Dann wäre es für eine Diagnose auch sehr interessant, wenn wir Deine Startobjekte kennen. Die Google-Seite - ist das wirklich Google oder sieht die nur so aus und hat ne ganz andere Domain oder gar ne IP Adresse? |
Kurzer Nachtrag: 1. Zum T-Account-Problem: Mittlerweile lassen sich die Mails wieder mit Chrome und Firefox öffnen. Ging eine ganze Zeit nicht, als T die Oberfläche geändert hatte. Da der rosa Riese auch iphone vertickert, muss er natürlich auch Safari akzeptieren... 2. Sodele, gerade was Neues eingefangen. Und zwar via Chrome (im Incognito-Modus) auf der ebay-Startseite. Kopie aus avast: hxxp://dlv.netadserv.de/adclick_de.php Virus-Name: JS:lframe-CPZ(Trj) Die Anzeige von meinem ersten Fang: hxxp://www.gartenliteratur-forum.de/misc.php?v=408&g=js; Virus-Name: HTML:RedirDL-inf (Trj) - das was das, was bis heute wohl als Avast-Warnung auf der google-Startseite mit Safari angezeigt wird. Wie erkenne ich denn, ob es die ,echte' google-Seite ist? Sieht jedenfalls bei den anderen Browsern identisch aus.... PS: Hab das Problem an avast gemailt. Support/Antwort bis heute: Nada. Kamen zwar 2 Updates, haben leider nix genützt. Noch mal was: Im Safari-Protokoll steht ,240event.layerX and event.layerY are broken and deprecated in WebKit. They will be removed from the engine in the near future.´ Verrät uns das irgendwas? Danke! |
zu 1. Kann natürlich sein, dass das Problem bei der Telekom zu suchen war. Aber das dort Safari bevorzugt behandelt wird, glaube ich nicht. Safari hat kaum ein Marktanteil und die Telekom vetreibt auch Android und Windows Phone Geräte... zu 2. Hier wurde nen JavaScript - wahrscheinlich für nen iFrame geladen und als schädlich erkannt. Meiner Erfahrung nach und auch Aufgrund der Tatsache, dass es bei Ebay passiert ist, glaube ich an einem Fehlalarm. Auf den Mac brauchst Du da eigentlich keine Panik fahren. |
Herzlichen Dank für die Info! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board