Trojaner-Board - DHL Mail geöffnet

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- - DHL Mail geöffnet (https://www.trojaner-board.de/167819-dhl-mail-geoeffnet.html)

DHL Mail geöffnet

So, Hallo!

Wie im anderen Thread schon bereits beschrieben, bin auch ich auf die Masche eingefallen und habe die Dateien der DHL Fake Mails runtergeladen. Ich weiß auch ehrlich gesagt nicht mehr, was da alles auf dem Desktop erschienen ist, weil ich so verwundert war. Es waren aber, glaube ich, 4 Dateien - eine .zip, zwei .exe und eine .pdf. Habe dann erstmal die Dateien in den Papierkorb geschoben und dann vor lauter Panik Avira runtergeladen und es laufen lassen - keine Warnungen. Hab das Gefühl, dass mein Macbook seitdem langsamer ist und habe im anderen Thread gelesen, dass Avira so viel Speicherplatz wegnimmt und habe es daher wieder gelöscht.

Anbei nun der Etre Check:

Code:

EtreCheck version: 2.2 (132)

Report generated 6/11/15, 10:08 AM

Download EtreCheck from hxxp://etresoft.com/etrecheck
 

Click the [Click for support] links for help with non-Apple products.

Click the [Click for details] links for more information about that line.
 

Hardware Information: ℹ️

    MacBook Air (13-inch, Early 2014) (Technical Specifications)

    MacBook Air - model: MacBookAir6,2

    1 1.4 GHz Intel Core i5 CPU: 2-core

    4 GB RAM 

        BANK 0/DIMM0

            2 GB DDR3 1600 MHz ok

        BANK 1/DIMM0

            2 GB DDR3 1600 MHz ok

    Bluetooth: Good - Handoff/Airdrop2 supported

    Wireless:  en0: 802.11 a/b/g/n/ac

    Battery: Health = Normal - Cycle count = 162 - SN = D86419507G8F90KAJ
 

Video Information: ℹ️

    Intel HD Graphics 5000

        Color LCD 1440 x 900
 

System Software: ℹ️

    OS X 10.9.3 (13D65) - Time since boot: 0:0:44
 

Disk Information: ℹ️

    APPLE SSD SD0256F disk0 : (251 GB)

        EFI (disk0s1) <not mounted> : 210 MB 

        Macintosh HD (disk0s2) / : 250.14 GB (134.07 GB free)

        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
 

USB Information: ℹ️

    Apple Internal Memory Card Reader 

    Apple Inc. BRCM20702 Hub 

        Apple Inc. Bluetooth USB Host Controller 
 

Thunderbolt Information: ℹ️

    Apple Inc. thunderbolt_bus
 

Gatekeeper: ℹ️

    Mac App Store and identified developers
 

Kernel Extensions: ℹ️

        /System/Library/Extensions

    [not loaded]    com.avira.kext.FileAccessControl (1.0.0d1 - SDK 10.9) [Click for support]
 

Launch Daemons: ℹ️

    [loaded]    com.adobe.fpsaud.plist [Click for support]
 

User Launch Agents: ℹ️

    [loaded]    com.adobe.ARM.[...].plist [Click for support]

    [loaded]    com.google.keystone.agent.plist [Click for support]

    [running]    com.mackeeper.MacKeeper.Helper.plist [Click for support]

    [running]    com.spotify.webhelper.plist [Click for support]
 

User Login Items: ℹ️

    iTunesHelper    Programm  (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)

    Dropbox    Programm  (/Applications/Dropbox.app)

    Android File Transfer Agent    Programm  (/Users/[redacted]/Library/Application Support/Google/Android File Transfer/Android File Transfer Agent.app)
 

Internet Plug-ins: ℹ️

    AdobePDFViewerNPAPI: Version: 11.0.09 - SDK 10.6 [Click for support]

    FlashPlayer-10.6: Version: 17.0.0.188 - SDK 10.6 [Click for support]

    AdobePDFViewer: Version: 11.0.09 - SDK 10.6 [Click for support]

    Flash Player: Version: 17.0.0.188 - SDK 10.6 Outdated! Update

    QuickTime Plugin: Version: 7.7.3

    Default Browser: Version: 537 - SDK 10.9
 

3rd Party Preference Panes: ℹ️

    Flash Player  [Click for support]
 

Time Machine: ℹ️

    Time Machine not configured!
 

Top Processes by CPU: ℹ️

        10%    WindowServer

         6%    Spotify Helper(2)

         6%    mdworker(5)

         5%    com.apple.WebKit.WebContent(2)

         5%    Safari
 

Top Processes by Memory: ℹ️

    399 MB    kernel_task

    279 MB    Spotify Helper(2)

    139 MB    Safari

    102 MB    com.apple.WebKit.WebContent(2)

    94 MB    Google Chrome
 

Virtual Memory Information: ℹ️

    1.26 GB    Free RAM 

    2.73 GB    Used RAM 

    0 B    Swap Used 
 

Diagnostics Information: ℹ️

    Jun 11, 2015, 10:06:58 AM    Self test - passed

Vielen herzlichen Dank für eure Hilfe! Ich kenn mich mit meinen 20 Jahren nämlich überhaupt nicht mit so etwas aus! :D

Liebe Grüße!

Wie bereits im anderen Thread geschrieben, EXE-Dateien sind nur für Windows und können auf einem Mac OS keinen Schaden anrichten.

Zitat:

[running] com.mackeeper.MacKeeper.Helper.plist [Click for support]

Du hast mackeeper in deinem System => http://www.apfelwerk.de/2014/06/mackeeper-test/

Von diesem Teil rät auch unser Mac-Experte Dante12 ab, ich erlaube mir mal wieder ihn zu zitieren:

Zitat:

Zitat von Dante12 (Beitrag 1469617)

Ein paar Anmerkungen:

Von MacKeeper solltest du die Finger lassen. Links zum entfernen und Artikel habe ich dir bereits oben gegeben. Es ist deine Entscheidung ich möchte da ungern hineinreden.
Auch ich habe einige Tools gekauft die ich am Ende Sch**** fand. Die landeten in den Papierkorb. Das ist immer noch besser als vor unlösbaren Problemen zu stehen und das System nicht mehr
zum laufen gebracht werden kann.

Lasse NIEMSALS einem AV an deine Time Machine backups rumfummeln. Wenn etwas von dort entfernt wird dann ist das Risiko sehr hoch das ein zurückspielen nicht mehr möglich ist.
Alles was du dort entfernen möchtest machst du direkt aus Time Machine heraus. Füge dein Backup-Volume zu den Ausnahmen dann bist du auf der sicheren Seite.

https://support.apple.com/de-de/HT1427

Lese dazu den Abschnitt Wenn die Kapazitätsgrenze des Backup-Volume erreicht ist ganz unten.

Zitat:

Zitat von cosinus (Beitrag 1476856)

Wie bereits im anderen Thread geschrieben, EXE-Dateien sind nur für Windows und können auf einem Mac OS keinen Schaden anrichten.

Du hast mackeeper in deinem System => MacKeeper Test | Apfelwerk - Apple Support aus Stuttgart

Von diesem Teil rät auch unser Mac-Experte Dante12 ab, ich erlaube mir mal wieder ihn zu zitieren:

Also schaut alles gut aus? Der Mackeeper hat sich gestern irgendwie automatisch geöffnet, als ich das Avira runtergeladen habe... Da stand ich solle meine Email-Adresse zur Registrierung eingeben, was ich aber nicht getan habe. Habe den Mackeeper jetzt deinstalliert :-) Danke!

Und Avira bitte auch deinstallieren!!! Das ist völlig sinnfrei auf einem System, das kein Windows hat!

Zum Rest des Log kann Dante12 vllt noch etwas schreiben, er ist der Mac-Experte, ich kenn mich dafür besser mit Linux und Windows aus.

Mach mal nach der Deinstallation von Avira und MacKeeper ein neues Log mit EtreCheck, dann hat Dante12 gleich aktualisierte Infos.

Avira hatte ich davor bereits deinstalliert.

Hier der neue Log, nach Neustart:

Code:

EtreCheck version: 2.2 (132)

Report generated 6/11/15, 12:44 PM

Download EtreCheck from hxxp://etresoft.com/etrecheck
 

Click the [Click for support] links for help with non-Apple products.

Click the [Click for details] links for more information about that line.
 

Hardware Information: ℹ️

    MacBook Air (13-inch, Early 2014) (Technical Specifications)

    MacBook Air - model: MacBookAir6,2

    1 1.4 GHz Intel Core i5 CPU: 2-core

    4 GB RAM 

        BANK 0/DIMM0

            2 GB DDR3 1600 MHz ok

        BANK 1/DIMM0

            2 GB DDR3 1600 MHz ok

    Bluetooth: Good - Handoff/Airdrop2 supported

    Wireless:  en0: 802.11 a/b/g/n/ac

    Battery: Health = Normal - Cycle count = 162 - SN = D86419507G8F90KAJ
 

Video Information: ℹ️

    Intel HD Graphics 5000

        Color LCD 1440 x 900
 

System Software: ℹ️

    OS X 10.9.3 (13D65) - Time since boot: 0:0:44
 

Disk Information: ℹ️

    APPLE SSD SD0256F disk0 : (251 GB)

        EFI (disk0s1) <not mounted> : 210 MB 

        Macintosh HD (disk0s2) / : 250.14 GB (140.73 GB free)

        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
 

USB Information: ℹ️

    Apple Internal Memory Card Reader 

    Apple Inc. BRCM20702 Hub 

        Apple Inc. Bluetooth USB Host Controller 
 

Thunderbolt Information: ℹ️

    Apple Inc. thunderbolt_bus
 

Gatekeeper: ℹ️

    Mac App Store and identified developers
 

Kernel Extensions: ℹ️

        /System/Library/Extensions

    [not loaded]    com.avira.kext.FileAccessControl (1.0.0d1 - SDK 10.9) [Click for support]
 

Launch Daemons: ℹ️

    [loaded]    com.adobe.fpsaud.plist [Click for support]
 

User Launch Agents: ℹ️

    [loaded]    com.adobe.ARM.[...].plist [Click for support]

    [loaded]    com.google.keystone.agent.plist [Click for support]

    [running]    com.spotify.webhelper.plist [Click for support]
 

User Login Items: ℹ️

    iTunesHelper    Programm  (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)

    Dropbox    Programm  (/Applications/Dropbox.app)

    Android File Transfer Agent    Programm  (/Users/[redacted]/Library/Application Support/Google/Android File Transfer/Android File Transfer Agent.app)
 

Internet Plug-ins: ℹ️

    AdobePDFViewerNPAPI: Version: 11.0.09 - SDK 10.6 [Click for support]

    FlashPlayer-10.6: Version: 17.0.0.188 - SDK 10.6 [Click for support]

    AdobePDFViewer: Version: 11.0.09 - SDK 10.6 [Click for support]

    Flash Player: Version: 17.0.0.188 - SDK 10.6 Outdated! Update

    QuickTime Plugin: Version: 7.7.3

    Default Browser: Version: 537 - SDK 10.9
 

3rd Party Preference Panes: ℹ️

    Flash Player  [Click for support]
 

Time Machine: ℹ️

    Time Machine not configured!
 

Top Processes by CPU: ℹ️

        20%    com.apple.WebKit.WebContent(2)

        12%    WindowServer

         5%    mdworker(9)

         5%    fontd

         2%    Safari
 

Top Processes by Memory: ℹ️

    385 MB    kernel_task

    270 MB    Spotify Helper(2)

    143 MB    Safari

    127 MB    com.apple.WebKit.WebContent(2)

    127 MB    mdworker(9)
 

Virtual Memory Information: ℹ️

    1.35 GB    Free RAM 

    2.64 GB    Used RAM 

    0 B    Swap Used 
 

Diagnostics Information: ℹ️

    Jun 11, 2015, 12:43:23 PM    Self test - passed

Öffne bitte Spotlight CMD+Space
Kopiere den Inhalt aus der Code-Box und füge es dort ein und drücke die ENTER-Taste.
Code:

/System/Library/Extensions/
Lösche bitte folgendes: - dein Passwort wird benötigt
Code:

com.avira.kext.FileAccessControl
Führe einen Neustart aus und starte direkt im Safe Boot - siehe Lesestoff. Du brauchst dich nicht einloggen. Es wird automatisch eine Treiberbereinigung durchgeführt.

Starten in Safe Boot

Lies dir bitte die nachfolgende Anleitung genau durch: Was ist der sichere Systemstart?
Halte während des Startvorgangs und bevor der Startton erfolgt die Shift-Taste gedrückt.
Der Startvorgang dauert in diesem Modus etwas länger. Auch ein Flackern des Bildschirms ist normal. Als Bestätigung wird oben rechts am Bildschirm der Sichere Systemstart angezeigt.

Mach anschließend ein neues EtreCheck log.

Das habe ich eben schon versucht, weil du das auch in dem anderen Thread zu jemandem geschrieben hast, nur gibts bei mir dieses "com.avira.kext..." nicht, schau:

http://i60.tinypic.com/21myjqd.png

Und wenn ich dieses sicheren Systemstart mache, passiert da nichts mit meinen Dateien auf dem PC?

Nein da passiert gar nichts. Bei diesem Start werden automatische Caches geleert und nicht mehr benötigte Treiber deinstalliert.

Du kannst Find Any File nutzen um nach Resten zu suchen.

Suche mit Find Any File

Find Any File ist ein Tool das als Ersatz für den find Terminal-Befehl das System nach Schlüsselworten durchsucht und vieles mehr. Es ist wesentlich bequemer als über das Terminal.

Lade dir Bitte Find Any File herunter. Entpacken, in den Programm-Ordner verschieben und Starten.
Nach dem Programmstart siehst du ein kleines Fenster (siehe Bild)
-
http://dante.trojaner-board.de/bilde...File_Suche.png
-
Gebe den Begriff Avira in das Feld wie im Bildbeispiel ein. Halte die ALT-Taste gedrückt und klicke auf Suche. Gebe dein Passwort für die Systemweite suche ein.
Ist die Suche fertig öffnet sich ein Fenster mit den Funden. Stelle bitte die Toolbar wie folgt ein: Listenansicht, Unsichtbare: Zeigen, Paketinhalte: Zeigen, Gelöschte: Ausblenden - Siehe Bild
-
http://dante.trojaner-board.de/bilde...ile_Leiste.png
-
Entferne die Reste von Avira in dem du mit der rechten Maustaste auf die Zeile klickst und in den Papierkorb verschiebst.
Wenn das löschen nicht geht ist es ein unsichtbarer Systemordner. In diesem Fall öffnest den Order in dem du mit der rechten Maustaste die Zeile anklickst und Im Finder anzeigen auswählst.
Wenn du nicht sicher bist kopiere die Liste wie unten beschrieben und füge sie hier ein.
Klicke jetzt auf das Hauptfenster und wähle alles aus mit CMD+A
Kopiere die Liste und füge sie hier ein.

Bitte habe etwas Geduld ich kann erst heute Abend wieder antworten.

Super, hat geklappt!

Code:

EtreCheck version: 2.2 (132)

Report generated 6/11/15, 1:40 PM

Download EtreCheck from hxxp://etresoft.com/etrecheck
 

Click the [Click for support] links for help with non-Apple products.

Click the [Click for details] links for more information about that line.
 

Hardware Information: ℹ️

    MacBook Air (13-inch, Early 2014) (Technical Specifications)

    MacBook Air - model: MacBookAir6,2

    1 1.4 GHz Intel Core i5 CPU: 2-core

    4 GB RAM 

        BANK 0/DIMM0

            2 GB DDR3 1600 MHz ok

        BANK 1/DIMM0

            2 GB DDR3 1600 MHz ok

    Bluetooth: Good - Handoff/Airdrop2 supported

    Wireless:  en0: 802.11 a/b/g/n/ac

    Battery: Health = Normal - Cycle count = 162 - SN = D86419507G8F90KAJ
 

Video Information: ℹ️

    Intel HD Graphics 5000

        Color LCD 1440 x 900
 

System Software: ℹ️

    OS X 10.9.3 (13D65) - Time since boot: 0:2:30
 

Disk Information: ℹ️

    APPLE SSD SD0256F disk0 : (251 GB)

        EFI (disk0s1) <not mounted> : 210 MB 

        Macintosh HD (disk0s2) / : 250.14 GB (144.21 GB free)

        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
 

USB Information: ℹ️

    Apple Internal Memory Card Reader 

    Apple Inc. BRCM20702 Hub 

        Apple Inc. Bluetooth USB Host Controller 
 

Thunderbolt Information: ℹ️

    Apple Inc. thunderbolt_bus
 

Gatekeeper: ℹ️

    Mac App Store and identified developers
 

Kernel Extensions: ℹ️

        /System/Library/Extensions

    [not loaded]    com.avira.kext.FileAccessControl (1.0.0d1 - SDK 10.9) [Click for support]
 

Launch Daemons: ℹ️

    [not loaded]    com.adobe.fpsaud.plist [Click for support]
 

User Launch Agents: ℹ️

    [not loaded]    com.adobe.ARM.[...].plist [Click for support]

    [not loaded]    com.google.keystone.agent.plist [Click for support]

    [not loaded]    com.spotify.webhelper.plist [Click for support]
 

User Login Items: ℹ️

    iTunesHelper    Programm  (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)

    Dropbox    Programm  (/Applications/Dropbox.app)

    Android File Transfer Agent    Programm  (/Users/[redacted]/Library/Application Support/Google/Android File Transfer/Android File Transfer Agent.app)
 

Internet Plug-ins: ℹ️

    AdobePDFViewerNPAPI: Version: 11.0.09 - SDK 10.6 [Click for support]

    FlashPlayer-10.6: Version: 17.0.0.188 - SDK 10.6 [Click for support]

    AdobePDFViewer: Version: 11.0.09 - SDK 10.6 [Click for support]

    Flash Player: Version: 17.0.0.188 - SDK 10.6 Outdated! Update

    QuickTime Plugin: Version: 7.7.3

    Default Browser: Version: 537 - SDK 10.9
 

3rd Party Preference Panes: ℹ️

    Flash Player  [Click for support]
 

Time Machine: ℹ️

    Time Machine not configured!
 

Top Processes by CPU: ℹ️

         5%    WindowServer

         5%    fontd

         0%    AppleSpell

         0%    imagent
 

Top Processes by Memory: ℹ️

    428 MB    kernel_task

    160 MB    Safari

    147 MB    com.apple.WebKit.WebContent

    147 MB    com.apple.IconServicesAgent

    127 MB    CVMCompiler(3)
 

Virtual Memory Information: ℹ️

    1.33 GB    Free RAM 

    2.67 GB    Used RAM 

    0 B    Swap Used 
 

Diagnostics Information: ℹ️

    Jun 11, 2015, 01:37:36 PM    Self test - passed

Nichts ungewöhnliches gefunden nur avira wird noch angezeigt.

Bitte lade dir dieses Programm herunter extenPkgs.zip
Das Programm erstellt ein Log. Es nimmt keine Veränderungen an das System vor.
Entpacke bitte das Archiv auf deinen Desktop und starte die App. Wichtig: Der entpackte Ordner muss sich auf deinem Desktop befinden sonst erhälst du eine Fehlermeldung!
Das Programm ist nicht signiert (gerade erstellt) deshalb halte beim Öffnen die Wahl-Taste gedrückt und klicke auf öffnen.
Kopiere anschließend den Inhalt der Textdatei hier in das Thema.

MAC-Tastaturkurzbefehle

Sollten Fehler auftreten bitte kurz beschreiben.

Flash Player aktualisieren

Öffne deine Systemeinstellungen und klicke auf Flash Player
Klicke auf den Reiter Update und anschließend auf Jetzt Überprüfen.
Wenn du auf die Flash Seite im Browser geführt wirst, achte bitte darauf das keine Haken bei anderer Software (McAfee, Adobe Produkte) gesetzt ist. Nehme den Haken raus und klicke auf den Button zum herunterladen der Aktualisierung.
Installier das Update - Fertig!