Trojan-Downloader.MSWord.Agent.yc von Kaspersky auf MacBook gefunden
 

Hallo,

Kaspersky hat bei einem Virenschnelltest auf meinem MacBook (mit Mac OS X 10.6.8) den Trojaner Trojan-Downloader.MSWord.Agent.yc gefunden und zeigt ihn weiter unter Erkannte Bedrohungen/Aktiv an, ohne dass ich ihn "desinfizieren" kann. Der Virus liegt unter .../Library/Mail Downloads/11815--113686.doc//Module1.

Merkwürdig ist, dass ein nochmaliger Virenschnelltest mit Kaspersky den Virus nicht mehr findet (die Anzeige bei "Erkannte Bedrohungen" bleibt aber bestehen).

Was kann ich tun, um den Virus zu löschen? Muss ich dabei die ganze Festplatte neu formatieren? Kann mir jemand helfen?

Viele Grüße,
Björn

:hallo:

Mein Name ist Dante12 ich werde dir bei deinem Problem helfen so gut ich kann.
Bei allen Aktionen die wir ausführen ist es wichtig vorher die persönlichen Daten zu sichern. Mache deshalb bitte ein backup deiner Daten.

Bitte arbeite solange mit bis ich dir mein OK gebe - Danke.

Die Meldung besagt das in einer deiner E-Mails ein Windows-Anhang vorhanden ist das womöglich infiziert ist. Auf einem Mac hat eine .doc-Datei keinen Einfluss du kannst also davon ausgehen das es ein Fehlalarm von Kaspersky ist (warum hast du es bloß installiert?).

Lösche einfach die E-Mail und alles ist gut. Trotzdem kannst du mir eine Logdatei zukommen lassen:

EtreCheck installieren

1. Lade dir bitte EtreCheck herunter.
2. Entpacken und Ausführen. Wähle aus dem Pull-Down Menü des vorderen Fensters No Problem - just checking und klicke anschließend auf den Start button.
3. Nach Abschluss erscheint das Fenster mit dem Log. Klicke oben links auf den Button Share Report und anschließend Copy to Clipboard.
4. Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.

Hallo Dante,

herzlichen Dank! Ich habe die Apple-Version von Word installiert, so dass ich doc-Dateien verarbeiten kann.

Hier der Inhalt des Log; komisch ist folgender Eintrag:
Unknown Files: ⓘ
/Library/LaunchDaemons/com.tobit.rfx-server.plist
One unknown file found. [Check files].

Viele Grüße,
Björn

:D

Du hast alles versucht das Problem zu lösen indem du Avast, Kaspersky und am schlimmsten Mackeeper installiert hast. Das wichtigste was du tun solltest: Keine Panik! -
und hier oder einem Forum deiner Wahl das Problem beschreiben (gibt es denn eins?).

- viel Arbeit für mich :headbang:


Hattest du mal den Tobit Radiorecorder drauf?


Schritt 1

Mac Keeper entfernen

Wichtig: Wenn du die Verschlüsselungsfunktion von MacKeeper nutzt bitte alle verschlüsselten Daten vorher entschlüsseln bevor du die Deinstallation durchführst!


Bitte befolge diese Anleitung um Mac Keeper vollständig zu entfernen. Die Anleitung ist in Englisch, wenn du Probleme damit hast schreib mir kurz ich leite dich Schritt für Schritt.

Öffne bitte Safari -> Einstellungen -> Erweiterungen und entferne bitte die Avast Online Security Erweiterung. Ich bin mir nicht sicher, ob das Virtual Keyboard dazu gehört.

Schritt 2

Prüfen mit DetectX

1. Lade dir bitte DetectX herunter. Entpacken und auf deinen Desktop verschieben.
2. Starte die App und aktiviere die Checkbox See hidden Files. Oben im Fenster von DetectX klicke auf den Pull-Down Button und wähle All Searches und klicke anschließend auf Search.
3. Wenn etwas gefunden wurde, navigiere zu den entsprechenden Ordnern und lösche es manuell. Bei den Systemordnern musst du das Löschen mit deinem Passwort bestätigen.
4. Wenn du dir beim löschen nicht sicher bist, dann Frage lieber einmal mehr hier im Forum.
   
   http://dante.trojaner-board.de/bilder/detectX.png
   
5. Wenn du damit fertig bist, klicke anschließend auf den Slider von DetectX so das der Pfeil auf die Mitte zeigt. Siehe Bild.
   
   http://dante.trojaner-board.de/bilde...X-contents.png
   
6. Klicke anschließend auf den Button Copy um das Log in die Zwischenablage zu kopieren.
   
   http://dante.trojaner-board.de/bilder/detectX-copy.png
   
7. Füge das Log hier in das Forum in Code-Tags ein.
8. Klicke wieder auf den Slider so das der Pfeil ganz nach unten zeigt. und der gelbe Button daneben auf Runs zeigt. Siehe Bild (Der gelbe Button zeigt hier auf Changes!).
   
   http://dante.trojaner-board.de/bilde...tX-history.png
   
9. Kopiere und füge auch diesen Inhalt hier in das Forum ein.
10. Du kannst jetzt DetectX beenden. Wenn du die versteckten Datein (Hidden Files) weiter anzeigen lassen willst, klicke auf NO sonst auf YES.

Hallo Dante12,

vielen Dank! Ich hatte mal den SWR-Radiorecorder drauf. Kann ich die Datei com.tobit.rfx-server-plist löschen?

Die Avast Online Security Erweiterung ist in der Tat das Kaspersky Virutal Keyboard.

Die Entfernung des MacKeeper hat geklappt, herzlichen Dank! Allerdings kann ich DetectX nicht laden - hier wird beim/nach dem Download die Fehlermeldung "Decomprimieren ist fehlgeschlagen" angezeigt. Was kann ich tun? Andere ZIP-Files werden normal entpackt.

Viele Grüße,
JohaG

ja, verschiebe diese bitte erst auf den Desktop und anschließend starte neu. Falls es Probleme geben sollte...

Versuche bitte den Download nochmal wenn es nicht klappt, versuch es direkt von der Webseite des Herstellers. DetectX | sqwarq

Eventuell verhindert Kasperky den Download, schalte es für die Dauer des Downloads ab.

Hallo Dante12,

nun hat es mit dem Download von DetectX geklappt (ich brauchte die Version für OS X 6.8...).

Bei einer versteckten Datei bin ich mir nicht sicher:
.3FAD0F65-FC6E-4889-B975-B96CBF807B78

Kann ich sie löschen, ohne Probleme zu bekommen?

Viele Grüße,
JohaG

Da heisst die aktuelle Version läuft nicht auf deinen Rechner. Lade dann bitte diese hier.

Sofern Mackeeper entfernt wurde, hat diese versteckte Datei keinen Einfluss auf das System.

Verschiebe diese in den Papierkorb aber nicht löschen. Starte den Rechner neu und arbeite ganz normal mit deinen Anwendungen. Lösche erst den Papierkorb wenn alles ohne Probleme läuft.

Du kannst mir per PN die Datei als Anhang zukommen lassen.

Versuche anschließend über DetectX (den zweiten Link) die Logs zu erstellen.

Hallo Dante12,

vielen Dank, hier das Log; bei den privaten Launch Agents ist der Mackeeper immer noch dabei, ich finde die Datei im Finder allerdings nicht. Die versteckte andere Datei schicke ich per PN.

Beste Grüße,
JohaG

Hallo Dante 12,

da ich die versteckte Datei nicht anhängen kann (hier wird sie nicht gefunden, bei der PN finde ich keine Anhäng-Funktion), hier der Inhalt (keine Ahnung, ob das weiterhilft):

fJHrQnNdmElH2bXFFhU46ZGWwjDgfpV6sEa31vlxps+m+QVKtdIVJSg/VdGE6Gm/lhAzK9L7EiFZKP6wZhS4QQ5oZRWvVbgYG1wzza9l/8n62qOv3Wk05VXXVg1og2tmGCPuIa2J+n5okwKa/OOy1/UODWwPATPlFW7JXdB1b+jLLoTaOzmYcmoR4Tx8//IrLaxTWnMj+HHiHS51N7vXBqQBc2FdgIWWD1oHsnt7tylYbU/f1uM6Jxf15uNLcxFjIjpjqtkQtD79NzX1HCnxwrAvM+q/+yPR9bRO6/FpA9Ak76vigbyzz0IwbMmsaaQ8HZjGWqecAmQTVWl3gunSFA==

Danke für Deine Hilfe!

Beste Grüße,
JohaG

Ok, diese Datei gehört zu Mackeeper, sofern es keine anderweitigen Problem gibt kannst du sie in den Papierkorb verschieben bzw. belassen.

Wir wollen mal noch mal gegenchecken:

Schritt 3

Sofern vorhanden, lösche bitte die zur Avast gehörende Erweiterung wrc.safariextz aus Safari.

MalwareBytes for Mac

• Lade dir bitte MalwareBytes for Mac herunter.
• Öffne das DMG und verschiebe die APP in den Programm-Ordner.
• Programm starten und klicke auf Scan. Gefundene Malware wird in den Papierkorb verschoben. Mache ein Neustart wenn verlangt wird.
• Starte nochmal MalwareBytes (wenn noch nicht schon geöffnet), und öffne das Menü Scanner wähle anschliessend Take System Snapshot. Das Menü oben auf dein Bildschirm siehst du nur wenn die Anwendung aktiv ist (aktviere die Anwendung mit einem Klick in das Fenster).
• Kopiere den Inhalt des Fensters und füge es hier ein. Wenn möglich in Code-Tags siehe unten

Terminal öffnen

1. Klicke auf den Finder und wähle aus der Menüleiste Gehe Zu -> Dienstprogramme
2. Starte die Terminal.app und gebe folgendes ein:
3. Code:

   ---

   sudo pkgutil --pkgs | pbcopy

   ---

4. Bestätige die Eingabe mit deinem Passwort. Wichtig: Du siehst keine Ausgabe, der Inhalt befindet sich in der Zwischenablage!. Füge es mit Command + V hier ein.

Hallo Dante12,

vielen Dank! Leider läuft das Programm MalewareBytes auf meiner OS X-Version 10.6.8 nicht. Gibt es eine Alternative?

Hier der Code, den der Terminalbefehl ausgespuckt hat (1. Teil):

2. Teil:

Beste Grüße,
JohaG

Schritt 4

Ok damit wir nicht all zu viele Schritte machen wird dieser etwas größer ausfallen. Versuche alles durchzuarbeiten wenn bei etwas Probleme entstehen, bitte nicht weitermachen und Fehler beschreiben.

Einträge suchen und Entfernen (falls vorhanden).

1. Für diesen Arbeitsschritt müssen die versteckten Dateien angezeigt werden. Siehe Lesestoff weiter unten.
2. Der Ablauf ist immer derselbe: Klicke auf den Finder und dann die Tastenkombination Command + Shift + G
3. Füge in dem kleinen Fenster das Verzeichnis aus der Code-Box und entferne die in Fett markierten Einträge (falls vorhanden).
4. Verzeichnis:
5. Code:

   ---

   ~/Library/LaunchAgents/

   ---

6. Entferne falls vorhanden:com.zeobit.MacKeeper.Helper.plist
7. Verzeichnis:
8. Code:

   ---

   ~/Library/Application Support/

   ---

9. Entferne:
10. Radio.fx

Terminal öffnen

Folgendes eingeben (immer ein Befehl pro Code-Box) - Du benötigst dazu dein Passwort.
Mache jetzt einen Rechnerneustart! und fahre fort...

CleanMyMac deinstallieren

Das Mac OS X führt regelmässig im Hintergrund scripte aus die alte und nicht mehr benötigte Dateien entfernt. Mitunter kann ein Tool wie das oben mehr Schaden anrichten als Nutzen. Wenn du bisher damit keine Probleme hattest musst du es nicht entfernen.

Da ich nicht genau deine Version kenne, hier drei Links such bitte die richtige Deinstallations-Routine aus:

CleanMyMac Classic
CleanMyMac 2
CleanMyMac 3


Kaspersky Deinstallieren

Auch hier möchte ich dich nicht bevormunden. Ein AV kann u.a. bei Unixen / Linuxen Probleme bereiten. Zum Beispiel beansprucht es sehr viel Speicher und bremst das System aus. Zudem verursacht es sehr viele Fehlalarme die einen Nutzer verunsichern können. Das Mac OS X hat einen integrierten Schutz: Xprotect und Gatekeeper die zuverlässig dafür sorgen dass das System sauber bleibt aber: Nobody is perfekt, jeder Schutz kann ausgehebelt werden.

Link für die Deinstallation

Rechner Neustart und weiter mit Schritt 5

Schritt 5

1. Starte bitte nochmal Neu in den Sicheren Systemstart siehe Lesestoff! - Danach erst weiter mit Punkt 2.
2. Öffne bitte diesen Link das ist ein Script das Linc Davis für die Apple Community erstellt hat.
3. Klicke oben auf den Button download. In deinem Download-Ordner befindet sich jetzt die Datei diagnostic-test.txt.
4. Führe einen Doppelklick auf diese Datei. Der Texteditor wird mit dem Inhalt geöffnet.
5. Mache dir keine sorgen über dieses bash-script das kein Ende findet.
6. Klicke in den Texteditor und dann die Tastenkombination Command + A (alles Auswählen) und Command + C (kopieren).
7. Öffne dein Terminal und füge es mit Command + V ein. Drücke ENTER und gebe anschiessend dein Passwort ein.
8. Dieser Vorgang kann u.U. sehr lange dauern. Habe also Geduld. Das Terminal schliesst sich danach automatisch und das Log wird in das Clipboard kopiert.
9. Füge es mit Command + V hier ein.

Hallo Dante12,

ich habe mehrfach versucht, die diagnostic-test.txt im Terminal auszuführen, leider vergeblich. In der Beschreibung steht zwar, man solle Geduld haben, aber der (noch andauernde) letzte Versuch dauert nun schon 48 Stunden und es werden nur die ersten beiden Schritte als ausgeführt angezeigt.

Woran kann das liegen?

Viele Grüße,
JohaG

Hast du Schritt 4 komplett ausgeführt?

Wenn ja, überspringen wir Schritt 5 und machen diesen noch mal neu mit meinem Werkzeug.

Schritt 5 (neu)

1. Bitte lade dir die app System_b26 vor unserem Server herunter.
2. Entpacken und auf deinem Desktop verschieben.
3. Halte die CTRL-Taste gedrückt und klicke auf die app.
4. Aus dem Menü wähle bitte öffnen und bestätige den Systemdialog
5. Nach einer Weile gebe dein Passwort als Bestätigung ein
6. Klicke anschließend auf den Button Copy to Clipboard und füge das Log mit Command + V hier ein

Hallo Dante12,

vielen Dank, aber die App lässt sich leider nicht öffnen (...wurde unerwartet beendet). Vielleicht liegt es an meinem Betriebssystem OS X 10.6.8... Gibt es noch eine Alternative?

Viele Grüße,
JohaG

Ja liegt am System meine AppleScript Version sollte aber funktionieren - macht nichts ich gebe dir manuell die Anleitung. Bitte habe etwas Geduld bis morgen Mittag da ich noch dringend an einem anderen Projekt arbeite.

Hast du noch Probleme? - wenn ja, bitte beschreiben.

Gut ich habe das Script fertig sollte also bei dir funktionieren.

1. Lade bitte das script.sh.zip von unserem Server herunter, entpacken und auf deinem Desktop verschieben.
2. Öffne bitte dein Terminal und gebe bzw. kopiere den folgenden Inhalt dort hinein.
3. Code:

   ---

   sudo ~/Desktop/script.sh

   ---

4. Gebe das Passwort ein. Ein neues Fenster öffnet sich mit dem Inhalt.
5. Ganz am Ende des Logs - die vorletzte Zeile- ist ein Pfad den ich suchen musste. Kopiere bitte diesen Pfad und gebe folgendes in das Terminal ein:
6. Code:

   ---

   plutil -p <Füge den kompletten Pfad ohne Klammern nach dem Befehl ein>

   ---

7. Drücke Enter.
8. Kopiere die Ausgabe des Terminals und füge es am Ende des Logs hinzu.
9. Kopiere anschliessend alles und füge es hier ins Thema.
10. Falls du das Log noch bearbeiten möchtest befolge den Lesestoff unten.

Hallo Dante12,

habe es noch einmal probiert, aber die app lässt sich leider nicht öffnen... Akute Probleme habe ich derzeit keine, bin aber noch nicht sicher, ob der Mac wirklich clean ist...

Viele Grüße,
JohaG

Das Script sollte auf jeden Fall laufen das ist ein Bash-Script das du so wie ich oben beschrieben habe ausgeführt wird.

• Entpacke es bitte auf deinen Desktop - dort sollte das entpackte script.sh stehen.
• Öffne dein Terminal und kopiere den nachfolgenden Befehl hinein und bestätige es bitte mit deinem Password:
• Code:

  ---

  sudo chmod +x ~/Desktop/script.sh

  ---

• Wenn das ausgeführt wurde dann kopiere im nächsten Schritt den folgenden Befehl in das Terminal:
• Code:

  ---

  sudo ~/Desktop/script.sh

  ---

• Anschliessend öffnet sich TextEdit mit den Inhalt.
• Bearbeite es entsprechend, kopiere alles und füge es hier ein.

Hallo Dante12,

jetzt hat es geklappt. Hier der Inhalt (1. Teil). Gibt es Auffälligkeiten?

Viele Grüße,
JohaG

...und hier der 2. Teil:

Schritt 6

Manuelles entfernen

1. Markiere den Pfad aus der Code-Box (Button Alles Auswählen)
2. Klicke mit der rechten Maustaste oder CTRL-Klick auf die markierte Zeile
3. Wähle aus dem Kontext-Menü Dienste und anschliessend Im Finder anzeigen
4. Sollte es mit dem markieren nicht klappen, klicke auf den Finder und drücke die Tasten Command + Shift + G. Kopiere die Zeile aus der Code-Box, füge sie in das kleine Fenster und drücke Enter.
5. Lösche die in Rot markierte Datei(en).
6. In den Systemordnern wird nach deinem Passwort gefragt um Daten löschen zu können.
7. Wichtig: Den Papierkorb nicht leeren sondern erst dann wenn du nach Aufforderung einen Neustart ausführen sollst.

Pfad:
Lösche:
klif.kext
klnke.kext


Pfad:
Lösche:
CleanMyMac
Kaspersky Lab

Pfad:
Lösche:
com.kaspersky.kav.uninstaller.plist
com.macpaw.CleanMyMac.plist

Schritt 7
Öffne bitte die Safari-Erweiterungen und falls vorhanden lösche wrc.safariextz

Schritt 8

• Öffne bitte dein Terminal und kopiere die Zeile aus der Code-Box hinein.
• Drücke Enter und gebe dein Passwort ein.

• Kopiere die Zeile im nächsten Schritt aus der Code-Box in dein Terminal und drücke Enter.
• Gebe dein Passwort ein. Kopiere die ausgegebenen Zeilen aus dem Terminal und füge es hier ein.

Schritt 9

Mache jetzt einen Neustart und zwar in den Sicheren Systemstart. Lese dazu bitte den Lesestoff unten.



Bitte gebe mir ein Feedback wie dein Rechner jetzt läuft und ob es noch Probleme gibt. Diese bitte beschreiben - Danke.

Hallo Dante12,
vielen Dank für die letzten Tipps. Hier die Zeilen, die im Terminal nach Schritt 8 angezeigt wurden:

Probleme scheint es nicht mehr zu geben.

Herzlichen Dank für Deine fachkundige Hilfe!

Beste Grüße,
JohaG

Gern geschehen :daumenhoc

Vermeide bitte Software die in diesem Link beschrieben wird.