![]() |
Trojan-Downloader.MSWord.Agent.yc von Kaspersky auf MacBook gefunden Hallo, Kaspersky hat bei einem Virenschnelltest auf meinem MacBook (mit Mac OS X 10.6.8) den Trojaner Trojan-Downloader.MSWord.Agent.yc gefunden und zeigt ihn weiter unter Erkannte Bedrohungen/Aktiv an, ohne dass ich ihn "desinfizieren" kann. Der Virus liegt unter .../Library/Mail Downloads/11815--113686.doc//Module1. Merkwürdig ist, dass ein nochmaliger Virenschnelltest mit Kaspersky den Virus nicht mehr findet (die Anzeige bei "Erkannte Bedrohungen" bleibt aber bestehen). Was kann ich tun, um den Virus zu löschen? Muss ich dabei die ganze Festplatte neu formatieren? Kann mir jemand helfen? Viele Grüße, Björn |
:hallo: Mein Name ist Dante12 ich werde dir bei deinem Problem helfen so gut ich kann. Bei allen Aktionen die wir ausführen ist es wichtig vorher die persönlichen Daten zu sichern. Mache deshalb bitte ein backup deiner Daten. Bitte arbeite solange mit bis ich dir mein OK gebe - Danke. Die Meldung besagt das in einer deiner E-Mails ein Windows-Anhang vorhanden ist das womöglich infiziert ist. Auf einem Mac hat eine .doc-Datei keinen Einfluss du kannst also davon ausgehen das es ein Fehlalarm von Kaspersky ist (warum hast du es bloß installiert?). Lösche einfach die E-Mail und alles ist gut. Trotzdem kannst du mir eine Logdatei zukommen lassen: EtreCheck installieren
![]() Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo Dante, herzlichen Dank! Ich habe die Apple-Version von Word installiert, so dass ich doc-Dateien verarbeiten kann. Hier der Inhalt des Log; komisch ist folgender Eintrag: Unknown Files: ⓘ /Library/LaunchDaemons/com.tobit.rfx-server.plist One unknown file found. [Check files]. Viele Grüße, Björn Code: EtreCheck version: 2.9.4 (254) |
:D Du hast alles versucht das Problem zu lösen indem du Avast, Kaspersky und am schlimmsten Mackeeper installiert hast. Das wichtigste was du tun solltest: Keine Panik! - und hier oder einem Forum deiner Wahl das Problem beschreiben (gibt es denn eins?). - viel Arbeit für mich :headbang: Zitat:
Schritt 1 Mac Keeper entfernen Wichtig: Wenn du die Verschlüsselungsfunktion von MacKeeper nutzt bitte alle verschlüsselten Daten vorher entschlüsseln bevor du die Deinstallation durchführst! Bitte befolge diese Anleitung um Mac Keeper vollständig zu entfernen. Die Anleitung ist in Englisch, wenn du Probleme damit hast schreib mir kurz ich leite dich Schritt für Schritt. Öffne bitte Safari -> Einstellungen -> Erweiterungen und entferne bitte die Avast Online Security Erweiterung. Ich bin mir nicht sicher, ob das Virtual Keyboard dazu gehört. Schritt 2 Prüfen mit DetectX
|
Hallo Dante12, vielen Dank! Ich hatte mal den SWR-Radiorecorder drauf. Kann ich die Datei com.tobit.rfx-server-plist löschen? Die Avast Online Security Erweiterung ist in der Tat das Kaspersky Virutal Keyboard. Die Entfernung des MacKeeper hat geklappt, herzlichen Dank! Allerdings kann ich DetectX nicht laden - hier wird beim/nach dem Download die Fehlermeldung "Decomprimieren ist fehlgeschlagen" angezeigt. Was kann ich tun? Andere ZIP-Files werden normal entpackt. Viele Grüße, JohaG |
Zitat:
Zitat:
Eventuell verhindert Kasperky den Download, schalte es für die Dauer des Downloads ab. |
Hallo Dante12, nun hat es mit dem Download von DetectX geklappt (ich brauchte die Version für OS X 6.8...). Bei einer versteckten Datei bin ich mir nicht sicher: .3FAD0F65-FC6E-4889-B975-B96CBF807B78 Kann ich sie löschen, ohne Probleme zu bekommen? Viele Grüße, JohaG |
Da heisst die aktuelle Version läuft nicht auf deinen Rechner. Lade dann bitte diese hier. Zitat:
Verschiebe diese in den Papierkorb aber nicht löschen. Starte den Rechner neu und arbeite ganz normal mit deinen Anwendungen. Lösche erst den Papierkorb wenn alles ohne Probleme läuft. Du kannst mir per PN die Datei als Anhang zukommen lassen. Versuche anschließend über DetectX (den zweiten Link) die Logs zu erstellen. |
Hallo Dante12, vielen Dank, hier das Log; bei den privaten Launch Agents ist der Mackeeper immer noch dabei, ich finde die Datei im Finder allerdings nicht. Die versteckte andere Datei schicke ich per PN. Beste Grüße, JohaG Code: DetectXSL Inspector: da ich die versteckte Datei nicht anhängen kann (hier wird sie nicht gefunden, bei der PN finde ich keine Anhäng-Funktion), hier der Inhalt (keine Ahnung, ob das weiterhilft): fJHrQnNdmElH2bXFFhU46ZGWwjDgfpV6sEa31vlxps+m+QVKtdIVJSg/VdGE6Gm/lhAzK9L7EiFZKP6wZhS4QQ5oZRWvVbgYG1wzza9l/8n62qOv3Wk05VXXVg1og2tmGCPuIa2J+n5okwKa/OOy1/UODWwPATPlFW7JXdB1b+jLLoTaOzmYcmoR4Tx8//IrLaxTWnMj+HHiHS51N7vXBqQBc2FdgIWWD1oHsnt7tylYbU/f1uM6Jxf15uNLcxFjIjpjqtkQtD79NzX1HCnxwrAvM+q/+yPR9bRO6/FpA9Ak76vigbyzz0IwbMmsaaQ8HZjGWqecAmQTVWl3gunSFA== Danke für Deine Hilfe! Beste Grüße, JohaG |
Ok, diese Datei gehört zu Mackeeper, sofern es keine anderweitigen Problem gibt kannst du sie in den Papierkorb verschieben bzw. belassen. Wir wollen mal noch mal gegenchecken: Schritt 3 Sofern vorhanden, lösche bitte die zur Avast gehörende Erweiterung wrc.safariextz aus Safari. MalwareBytes for Mac
Terminal öffnen
|
Hallo Dante12, vielen Dank! Leider läuft das Programm MalewareBytes auf meiner OS X-Version 10.6.8 nicht. Gibt es eine Alternative? Hier der Code, den der Terminalbefehl ausgespuckt hat (1. Teil): Code: com.adobe.pkg.FlashPlayer |
2. Teil: Code: com.microsoft.office.de.graph.pkg.14.0.0 JohaG |
Schritt 4 Ok damit wir nicht all zu viele Schritte machen wird dieser etwas größer ausfallen. Versuche alles durchzuarbeiten wenn bei etwas Probleme entstehen, bitte nicht weitermachen und Fehler beschreiben. Einträge suchen und Entfernen (falls vorhanden).
Terminal öffnen Folgendes eingeben (immer ein Befehl pro Code-Box) - Du benötigst dazu dein Passwort. Code: sudo pkgutil --forget com.tobit.pkg.swrradiorecordersetup Code: sudo pkgutil --forget com.zeobit.MacKeeper.affid.pkg Code: sudo pkgutil --forget com.zeobit.MacKeeper.pkg CleanMyMac deinstallieren Das Mac OS X führt regelmässig im Hintergrund scripte aus die alte und nicht mehr benötigte Dateien entfernt. Mitunter kann ein Tool wie das oben mehr Schaden anrichten als Nutzen. Wenn du bisher damit keine Probleme hattest musst du es nicht entfernen. Da ich nicht genau deine Version kenne, hier drei Links such bitte die richtige Deinstallations-Routine aus: CleanMyMac Classic CleanMyMac 2 CleanMyMac 3 Kaspersky Deinstallieren Auch hier möchte ich dich nicht bevormunden. Ein AV kann u.a. bei Unixen / Linuxen Probleme bereiten. Zum Beispiel beansprucht es sehr viel Speicher und bremst das System aus. Zudem verursacht es sehr viele Fehlalarme die einen Nutzer verunsichern können. Das Mac OS X hat einen integrierten Schutz: Xprotect und Gatekeeper die zuverlässig dafür sorgen dass das System sauber bleibt aber: Nobody is perfekt, jeder Schutz kann ausgehebelt werden. Link für die Deinstallation Rechner Neustart und weiter mit Schritt 5 Schritt 5
![]() Sicherer Systemstart
![]() Versteckte Dateien mit Terminal Befehl Dies ist die einfachste Variante um versteckte Dateien anzeigen zu lassen.
Versteckte Dateien mit Tinker Tool anzeigen / verbergen Trinker Tool ist ein kostenloses Tool für die Verwaltung der Default-Werte von Mac OS X. Mit der grafischen Oberfläche kann man bequem entsprechende „Schalter“ setzen um die Standardeinstellungen des Systems zu ändern. So kannst du verborgene Dateien auf deinem System sichtbar machen:
Hinweis: Um die versteckten Dateien wieder zu verbergen entferne den Haken wieder und starte den Finder neu. |
Hallo Dante12, ich habe mehrfach versucht, die diagnostic-test.txt im Terminal auszuführen, leider vergeblich. In der Beschreibung steht zwar, man solle Geduld haben, aber der (noch andauernde) letzte Versuch dauert nun schon 48 Stunden und es werden nur die ersten beiden Schritte als ausgeführt angezeigt. Woran kann das liegen? Viele Grüße, JohaG |
Hast du Schritt 4 komplett ausgeführt? Wenn ja, überspringen wir Schritt 5 und machen diesen noch mal neu mit meinem Werkzeug. Schritt 5 (neu)
![]() Details einer Log-Datei unkenntlich machen - wenn gewünscht Wenn du das Log was du im Clipboard kopiert hast vorher bearbeiten möchtest, z.B. den Usernamen ändern kannst du das Log in TextEdit oder TextWrangler laden und bearbeiten. Bearbeitung mit TextEdit
Bearbeiten mit Textwrangler
|
Hallo Dante12, vielen Dank, aber die App lässt sich leider nicht öffnen (...wurde unerwartet beendet). Vielleicht liegt es an meinem Betriebssystem OS X 10.6.8... Gibt es noch eine Alternative? Viele Grüße, JohaG |
Ja liegt am System meine AppleScript Version sollte aber funktionieren - macht nichts ich gebe dir manuell die Anleitung. Bitte habe etwas Geduld bis morgen Mittag da ich noch dringend an einem anderen Projekt arbeite. Hast du noch Probleme? - wenn ja, bitte beschreiben. |
Gut ich habe das Script fertig sollte also bei dir funktionieren.
![]() Details einer Log-Datei unkenntlich machen - wenn gewünscht Wenn du das Log was du im Clipboard kopiert hast vorher bearbeiten möchtest, z.B. den Usernamen ändern kannst du das Log in TextEdit oder TextWrangler laden und bearbeiten. Bearbeitung mit TextEdit
Bearbeiten mit Textwrangler
|
Hallo Dante12, habe es noch einmal probiert, aber die app lässt sich leider nicht öffnen... Akute Probleme habe ich derzeit keine, bin aber noch nicht sicher, ob der Mac wirklich clean ist... Viele Grüße, JohaG |
Das Script sollte auf jeden Fall laufen das ist ein Bash-Script das du so wie ich oben beschrieben habe ausgeführt wird.
|
Hallo Dante12, jetzt hat es geklappt. Hier der Inhalt (1. Teil). Gibt es Auffälligkeiten? Viele Grüße, JohaG HTML-Code: SysInfo |
...und hier der 2. Teil: HTML-Code: Third Party |
Schritt 6 Manuelles entfernen
Pfad: Code: /Library/Extensions klif.kext klnke.kext Pfad: Code: ~/Library/Application Support/ CleanMyMac Kaspersky Lab Pfad: Code: ~/Library/Preferences com.kaspersky.kav.uninstaller.plist com.macpaw.CleanMyMac.plist Schritt 7 Öffne bitte die Safari-Erweiterungen und falls vorhanden lösche wrc.safariextz Schritt 8
Code: sudo pkgutil --forget com.zeobit.MacKeeper.pkg
Code: clear | sudo launchctl list | grep -v com.apple; launchctl list | grep -v com.apple Mache jetzt einen Neustart und zwar in den Sicheren Systemstart. Lese dazu bitte den Lesestoff unten. ![]() Sicherer Systemstart
Bitte gebe mir ein Feedback wie dein Rechner jetzt läuft und ob es noch Probleme gibt. Diese bitte beschreiben - Danke. |
Hallo Dante12, vielen Dank für die letzten Tipps. Hier die Zeilen, die im Terminal nach Schritt 8 angezeigt wurden: Code: PID Status Label Herzlichen Dank für Deine fachkundige Hilfe! Beste Grüße, JohaG |
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board