Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)
-   -   (iMac) Werbe Pop-up in Browser Links (https://www.trojaner-board.de/170980-imac-werbe-pop-up-browser-links.html)

Corinne 10.09.2015 21:22
(iMac) Werbe Pop-up in Browser Links
 
Hallo Board Mitglieder

ich habe Firefox auf meinem iMac installiert und seit kurzem habe zwei lästige Probleme
1. beim "Berühren" von Links poppen kleine Werbefenster auf (die i.d.R. beim Verlassen auch wieder verschwinden
2 beim "Clicken" eines beliebigen Links werde ich auf eine Werbeseite weiter geleitet. Die gewünschte öffnet sich nicht.

Was für eine Art Malware ist das (Trojaner??) und wie werde ich die Quälgeister wieder los?

Danke für Eure Hilfe.

VG
Corinne

cosinus 10.09.2015 21:47
hi,

iMac? Betriebssystem Windows oder MacOS X?

Corinne 11.09.2015 22:55
Hi Cosinus,
das Betriebssystem ist Mac OSX

cosinus 11.09.2015 23:02
Dann bist du hier falsch :zunge:

Ich verschieb diesen Thread ins passende Forum! :)

Corinne 11.09.2015 23:09
Ich habe schon sowas befürchtet. Meldet sich dann ein Kollege aus dem "richtigen" Forum?
Dank und Grüße
Corinne

cosinus 11.09.2015 23:10
Dante12 müsste sich melden... :)

Dante12 12.09.2015 04:13
Hallo Corinne,

Mein Name ist Dante12 ich werde dir bei deinem Problem helfen so gut ich kann.
Bei allen Aktionen die wir ausführen ist es wichtig vorher die persönlichen Daten zu sichern.
Mache deshalb bitte ein backup deiner Daten.

EtreCheck Log
  1. Lade dir bitte EtreCheck herunter.
  2. Entpacken und Ausführen
  3. Übergehe bitte das Fenster bei dem du dein Problem beschreiben sollst, indem du auf Start EtreCheck klickst.
  4. Anschließend Klicke auf Copy Report to Clipboard.
  5. Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt nun mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.


Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://dante.trojaner-board.de/bilder/code-tags.png

Corinne 12.09.2015 10:25
Code:
Problem description:
any browser link opens an undesired tab with ad

EtreCheck version: 2.4.2 (142)
Report generated 9/12/15, 11:12 AM
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.
Click the [Click to remove] links for help removing adware.

Hardware Information: (What does this mean?)
    iMac (21.5-inch, Mid 2010) (Technical Specifications)
    iMac - model: iMac11,2
    1 3.06 GHz Intel Core i3 CPU: 2-core
    4 GB RAM Upgradeable
        BANK 0/DIMM0
            Empty 
        BANK 1/DIMM0
            Empty 
        BANK 0/DIMM1
            2 GB DDR3 1333 MHz ok
        BANK 1/DIMM1
            2 GB DDR3 1333 MHz ok
    Bluetooth: Old - Handoff/Airdrop2 not supported
    Wireless:  en1: 802.11 a/b/g/n

Video Information: (What does this mean?)
    ATI Radeon HD 4670 - VRAM: 256 MB
        iMac 1920 x 1080

System Software: (What does this mean?)
    OS X 10.10.5 (14F27) - Time since boot: about 11 hours

Disk Information: (What does this mean?)
    WDC WD5000AAKS-40V6A0 disk0 : (500,11 GB) (Rotational)
        EFI (disk0s1) <not mounted> : 210 MB
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB
        Macintosh HD (disk1) / : 498.88 GB (224.46 GB free)
            Encrypted AES-XTS Unlocked
            Core Storage: disk0s2 499.25 GB Online

    OPTIARC DVD RW AD-5680H  ()

USB Information: (What does this mean?)
    Apple, Inc. Keyboard Hub
        Apple Inc. Apple Keyboard
    Logitech USB Laser Mouse
    Apple Internal Memory Card Reader
    Apple Inc. BRCM2046 Hub
        Apple Inc. Bluetooth USB Host Controller
    Apple Computer, Inc. IR Receiver
    Apple Inc. Built-in iSight

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Adware: (What does this mean?)
    Downlite, VSearch, Conduit, Trovi, MyBrand, Search Protect Adware! [Click to remove]

Kernel Extensions: (What does this mean?)
        /Incompatible Software/Parallels Service.app
    [not loaded]    com.parallels.kext.prl_hid_hook (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_hypervisor (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_netbridge (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_usb_connect (6.0 12106.694064) [Click for support]
    [not loaded]    com.parallels.kext.prl_vnic (6.0 12106.694064) [Click for support]

Launch Agents: (What does this mean?)
    [loaded]    com.citrix.AuthManager_Mac.plist [Click for support]
    [running]    com.citrix.ReceiverHelper.plist [Click for support]
    [running]    com.citrix.ServiceRecords.plist [Click for support]
    [loaded]    com.oracle.java.Java-Updater.plist [Click for support]

Launch Daemons: (What does this mean?)
    [loaded]    com.adobe.fpsaud.plist [Click for support]
    [loaded]    com.microsoft.office.licensing.helper.plist [Click for support]
    [loaded]    com.oracle.java.Helper-Tool.plist [Click for support]
    [loaded]    com.oracle.java.JavaUpdateHelper.plist [Click for support]
    [running]    com.sonos.SonosLibraryServer.plist [Click for support]

User Launch Agents: (What does this mean?)
    [loaded]    com.adobe.ARM.[...].plist [Click for support]
    [running]    com.cinemapro1-2.agent.plist [Click for support]
    [loaded]    com.extensions.updater69337.agent.plist [Click for support]
    [unknown]    com.extensions.updater69337.ver [Click for support]
    [running]    com.nchsoftware.expressaccounts.agent.plist [Click for support]
    [running]    com.nchsoftware.expressinvoicede.agent.plist [Click for support]
    [running]    com.nchsoftware.inventoriade.agent.plist [Click for support]
    [unknown]    UpdateDownloader [Click for support]

User Login Items: (What does this mean?)
    iTunesHelper    UNKNOWN Hidden (missing value)

Internet Plug-ins: (What does this mean?)
    JavaAppletPlugin: Version: Java 8 Update 45 Check version
    FlashPlayer-10.6: Version: 18.0.0.232 - SDK 10.6 [Click for support]
    Default Browser: Version: 600 - SDK 10.10
    AdobePDFViewerNPAPI: Version: 11.0.12 - SDK 10.6 [Click for support]
    AdobePDFViewer: Version: 11.0.12 - SDK 10.6 [Click for support]
    Flash Player: Version: 18.0.0.232 - SDK 10.6 [Click for support]
    QuickTime Plugin: Version: 7.7.3
    CitrixICAClientPlugIn: Version: 11.8.0 - SDK 10.7 [Click for support]
    SharePointBrowserPlugin: Version: 14.5.4 - SDK 10.6 [Click for support]
    iPhotoPhotocast: Version: 7.0 - SDK 10.8

3rd Party Preference Panes: (What does this mean?)
    Flash Player  [Click for support]
    Java  [Click for support]

Time Machine: (What does this mean?)
    Skip System Files: NO
    Auto backup: YES
    Volumes being backed up:
        Macintosh HD: Disk size: 498.88 GB Disk used: 274.42 GB
    Destinations:
        Untitled [Local]
        Total size: 499.76 GB
        Total number of backups: 8
        Oldest backup: 2015-07-24 00:03:15 +0000
        Last backup: 2015-07-24 07:13:54 +0000
        Size of backup disk: Too small
            Backup size 499.76 GB < (Disk used 274.42 GB X 3)

Top Processes by CPU: (What does this mean?)
        3%    WindowServer
        2%    fontd
        0%    plugin-container
        0%    taskgated
        0%    notifyd

Top Processes by Memory: (What does this mean?)
    926 MB    firefox
    367 MB    kernel_task
    119 MB    Finder
    98 MB    com.apple.WebKit.WebContent(2)
    94 MB    Sonos

Virtual Memory Information: (What does this mean?)
    82 MB    Free RAM
    3.92 GB    Used RAM (1021 MB Cached)
    0 B    Swap Used

Diagnostics Information: (What does this mean?)
    Sep 11, 2015, 11:50:20 PM    Self test - passed
    Sep 10, 2015, 10:58:58 PM    /Library/Logs/DiagnosticReports/firefox_2015-09-10-225858_[redacted].cpu_resource.diag [Click for details]

Dante12 12.09.2015 10:46
Du hast den CinemaPro Trojaner auf deinen Rechner. Des weiteren wird dadurch natürlich zusätzlich Adware installiert.

SCHRITT 1

MalwareBytes for Mac
  • Lade dir bitte MalwareBytes for Mac herunter.
  • Öffne das DMG und verschiebe die APP in den Programm-Ordner.
  • Programm starten und klicke auf Scan. Gefundene Malware wird in den Papierkorb verschoben.
  • In MalwareBytes gehe ganz oben auf deinem Bildschirm in das Menü Scanner und anschliessend zu Take System Snapshot. Beachte das die Anwendung Aktiv sein muss, also auf das Fenster der Anwendung klicken damit du oben auf deinen Bildschirm das Menu sehen kannst.
  • Kopiere den Inhalt des Fensters und füge es hier ein. Wenn möglich in Code-Tags.

Corinne 12.09.2015 20:35
Ich habe alles so ausgeführt und mein Rechner scheint wieder sauber zu sein.
Allerbesten Dank an das Trojaner Board

Corinne

Code:

Malwarebytes Anti-Malware for Mac 1.0.2.8 system report - Samstag, 12. September 2015 @ 21:34:24
Mac OS X version 10.10.5
21:34  up 19 mins, 1 user, load averages: 0.98 1.17 0.88

Safari extensions
---------------
None

Chrome extensions
---------------
None

Firefox extensions
---------------
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/add-to-searchbox@maltekraus.de.xpi
    Name: [name not found in install.rdf]
    Modified: Freitag, 29. Mai 2015 @ 22:17:09
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/heartbeat-telemetry-experiment-1@mozilla.com.xpi
    Name: Heartbeat Telemetry Experiment 1
    Modified: Freitag, 19. Dezember 2014 @ 18:54:45
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/testpilot@labs.mozilla.com.xpi
    Name: Test Pilot
    Modified: Sonntag, 26. April 2015 @ 21:36:07
/Users/corinnechristian/Library/Application Support/Firefox/Profiles/yl5vln1a.default/extensions/{d04b0b40-3dab-4f0b-97a6-04ec3eddbfb0}.xpi
    Name: Ecosia — The search engine that plants trees!
    Modified: Freitag, 29. Mai 2015 @ 22:17:09

Login items
---------------
iTunesHelper

Startup items
---------------
None

System startup items
---------------
None

User launch agents
---------------
total 40
-rw-r--r--  1 corinnechristian  staff  603 Jan  2  2015 com.adobe.ARM.202f4087f2bbde52e3ac2df389f53a4f123223c9cc56a8fd83a6f7ae.plist
-rw-r--r--  1 corinnechristian  staff  517 Mar 25 00:35 com.apple.FolderActions.folders.plist
-rw-r--r--  1 corinnechristian  staff  528 May 31 08:26 com.nchsoftware.expressaccounts.agent.plist
-rw-r--r--  1 corinnechristian  staff  527 Mar 28 23:09 com.nchsoftware.expressinvoicede.agent.plist
-rw-r--r--  1 corinnechristian  staff  515 Mar 28 22:45 com.nchsoftware.inventoriade.agent.plist

System launch agents
---------------
total 32
-rw-r--r--  1 root  wheel  639 Jun  7  2013 com.citrix.AuthManager_Mac.plist
-rw-r--r--  1 root  wheel  621 Jun  7  2013 com.citrix.ReceiverHelper.plist
-rw-r--r--  1 root  wheel  799 Jun  7  2013 com.citrix.ServiceRecords.plist
lrwxr-xr-x  1 root  wheel  104 Feb  3  2015 com.oracle.java.Java-Updater.plist -> /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/com.oracle.java.Java-Updater.plist

System launch daemons
---------------
total 40
-rw-r--r--  1 root  wheel  462 Aug  7 06:37 com.adobe.fpsaud.plist
-rw-r--r--  1 root  wheel  568 Aug 31  2010 com.microsoft.office.licensing.helper.plist
lrwxr-xr-x  1 root  wheel  103 Feb  3  2015 com.oracle.java.Helper-Tool.plist -> /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/com.oracle.java.Helper-Tool.plist
-rw-r--r--  1 root  wheel  588 May  3 15:55 com.oracle.java.JavaUpdateHelper.plist
-rw-r--r--  1 root  wheel  484 Jul 15 21:01 com.sonos.SonosLibraryServer.plist

Third-party kernel extensions
---------------
None

launchd.conf contents
---------------
None

DNS settings
---------------
Server:                192.168.178.1

Hosts file
---------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting.  Do not change this entry.
##
127.0.0.1        localhost
255.255.255.255        broadcasthost
::1            localhost

Scan log
---------------
2015-09-12 21:12:44: ----- Scan Started -----
2015-09-12 21:12:44: Scanning with signatures version 15
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/com.cinemapro1-2.agent.plist
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Applications/cinemapro1-2.app
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/cinemapro1-2
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/UpdateDownloader
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.agent.plist
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.ver
2015-09-12 21:12:55: Adware.Crossrider : /Users/corinnechristian/Library/ScriptingAdditions/BrowserHelper.osax
2015-09-12 21:12:56: Adware.Ask Toolbar : /Users/corinnechristian/Library/Application Support/Sponsors.framework
2015-09-12 21:12:59: ----- Scan Ended -----
 
2015-09-12 21:13:43: +++++ Attempting to remove adware +++++
2015-09-12 21:13:43: /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:13:43: /Users/corinnechristian/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/UCSN26038272@QZGIE4403652.com
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/com.cinemapro1-2.agent.plist
2015-09-12 21:13:43: /Users/corinnechristian/Applications/cinemapro1-2.app
2015-09-12 21:13:43: /Users/corinnechristian/Library/cinemapro1-2
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/UpdateDownloader
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.agent.plist
2015-09-12 21:13:43: /Users/corinnechristian/Library/LaunchAgents/com.extensions.updater69337.ver
2015-09-12 21:13:43: /Users/corinnechristian/Library/ScriptingAdditions/BrowserHelper.osax
2015-09-12 21:13:43: /Users/corinnechristian/Library/Application Support/Sponsors.framework
2015-09-12 21:13:43: +++++ File removal complete +++++
 
2015-09-12 21:14:19: ===== Attempting restart =====
 
2015-09-12 21:31:52: ----- Scan Started -----
2015-09-12 21:31:52: Scanning with signatures version 15
2015-09-12 21:32:07: No malware found
2015-09-12 21:32:07: ----- Scan Ended -----

Dante12 12.09.2015 21:13
:daumenhoc

SCHRITT 2
  • Bitte lade dir die App extensions-pkgs von unserem Server herunter.
  • Entpacken und auf deinem Desktop verschieben.
  • Halte die CTRL-Taste gedrückt und klicke auf die App. Wähle öffnen und bestätige den Systemdialog. Anschließend warte bis eine Meldung erscheint.
  • Das Log wird automatisch in die Zwischenablage (Clipboard) kopiert. Führe deshalb keine anderen kopiervorgänge durch!
  • Füge das Log mit Command+V in Code-Tags hier in das Forum ein.
  • Um selbst zu prüfen was die App gemacht hat, wurde auf deinem Desktop der Ordner Logfiles mit dem Inhalt erstellt.

Corinne 17.09.2015 20:44
sh: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory
sh: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory
sh: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory
cat: /Users/corinnechristian/Desktop/extensions-pkgs/extensions.txt: No such file or directory

Hi Dante12

ich denke ich habe es so gemacht wie du vorgegeben hast. Ich habe das Logfile nicht aus dem Clipboard kopieren können, deshalb habe ich DOCH die klassische Variante gewählt aber das kommt dabei heraus...??

Irgendwo ist noch der Wurm drin

VG
Corinne

Dante12 17.09.2015 22:09
sh funktioniert nicht hier das es kein Shell-Script ist.

Wenn du die App so ausgeführt hast, dann müsste sich auf dein Desktop der Ordner Logfiles befinden. In diesem ist auch das Log zu finden. Öffne die txt-Datei in dem Ordner und kopiere den Inhalt. Füge es dann hier ein.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131