Trojaner-Board - OSX - Spotlightnethelper fragt Bilder by Cloudfront.net ab. Malware?

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- - OSX - Spotlightnethelper fragt Bilder by Cloudfront.net ab. Malware? (https://www.trojaner-board.de/177079-osx-spotlightnethelper-fragt-bilder-by-cloudfront-net-ab-malware.html)

OSX - Spotlightnethelper fragt Bilder by Cloudfront.net ab. Malware?

Hallo zusammen,

mir ist aufgefallen, dass SpotlightnetHelper Bilder bei Cloudfront.net abfragt.
Details gleich später.

Kurz als Hintergrund:
Ich hatte am Samstag auf meinem Mac (MBP -End-2013, Retina, 10.11.3; alle Updates installiert) auf irgendeiner Seite eine Javascript Meldung bekommen "Blabla 100€ zahlen - Polizei...". Auf welcher Seite weiß ich nicht, wurde wohl über einen ad-server verbreitet.

Safari geschlossen.
Beim Nachforschen habe ich gesehen, dass SpotlightNethelper versucht von Cloudfront.net Bilder zu ziehen (ich weiß, dass ist der Amazon-Service).

Malwarebytes - keine Treffer
Avast laufen lassen - Absturz

Also, Festplatte plattgemacht, formatiert, und El Captain neu installiert.

Nach der installation (ich hatte bis auf GarageBand und Numbers über den AppStore) noch nichts anderes installiert, fand ich wieder die Meldungen, dass SPotlightNetHelper versucht Bilder von cloudfront.net zu laden.

Der "Ansturm" an Meldungen dauerte ca halbe Minute. Seit dem habe ich auch die Meldungen nicht mehr gesehen.

Ich bin ziemlich verwirrt, warum nach der Neuinstallation CLoudfront.net wieder auftaucht in den Logs der Konsole für SpotlightNetHelper.

Addons oder ä. ist für Safari auch nicht installiert.
Spotlight und Safari habe ich so eingestellt, dass weder Definitionen, oder Vorschläge verwendet werden dürfen.

Anbei ein Screenshot.

Hat jemand eine Idee was das ist.

Habe jetzt nach der Neuinstallation nochmal MalwareBytes und diesmal Avira laufen lassen, sowie ClamX. Überall keine Treffer.

Ich bin aber schwer verunsichert.
Auf dem Mac meines Freundes, sehe wir keine Meldungen zu cloudfront.net

Hilfe. :(

Das hier habe ich gefunden, was sehr nach den URLs riecht - kann aber nix damit anfangen:
https://gist.github.com/landonf/51daa1f70cf9962fa141

Vielen Dank
Viele Grüße
Eddie

Hallo eddi80,

Öffne bitte mal in den Systemeinstellungen Spotlight und deaktiviere folgende Optionen:

1. Definitionen
2. Spotlight-Vorschläge
3. Den Haken ganz unten am Fenster "Spotlight-Vorschläge in Spotlight und beim Nachschlagen erlauben."

Sag mir ob das geholfen hat.

Du kannst testen ob alle Optionen oder nur eine davon betroffen sind indem du diese testweise aktivierst.

Erstelle mit der nachfolgenden Anweisung ein Log um zu sehen ob dein Rechner sauber ist.

EtreCheck installieren

Lade dir bitte EtreCheck herunter.
Entpacken und Ausführen.
Klicke auf den Options-Button und markiere die Checkbox Check the digital Signatures of Apple tasks. anschliessend auf Start Etrecheck
Nach Abschluss erscheint das Fenster mit dem Log. Klicke oben links auf den Button Share Report und anschließend Copy to Clipboard.
Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://dante.trojaner-board.de/bilder/code-tags.png

Im Apple Forum hat einer geantwortet. Es scheint eine Fehlkonfiguration von Spotlight gewesen zu sein.
Es muss in den Systemeinstellungen UND im Safari deaktiviert sein. Ich kann nicht mehr mit Gewissheit sagen, ob ich die Knotig in Safari rechtzeitig ausgeschaltet hatte.
Jedenfalls habe ich seit dem diese Meldungen nicht mehr.

Habe auch gesehen, die Meldung sagt ja "SpotlightNetHelper - SLSUGGESTIONS" dass es die Spotlight Suggestions waren, die da was geladen haben.... ich gehe derzeit also eher davon aus, dass irgendwo noch netzseitige Vorschläge erlaubt waren... .

Zur Sicherheit hier aber noch das Log. Als Leihe hätte ich gesagt, sieht "sauber" aus, oder? :)

Code:



EtreCheck version: 2.9.10 (261)

Report generated 2016-03-22 09:22:42

Download EtreCheck from https://etrecheck.com

Runtime 1:35

Performance: Excellent
 

Click the [Support] links for help with non-Apple products.

Click the [Details] links for more information about that line.
 

Check Apple signatures: Enabled
 

Problem: Other problem
 

Hardware Information: ?

    MacBook Pro (Retina, 15-inch, Late 2013) 

    [Technical Specifications] - [User Guide] - [Warranty & Service]

    MacBook Pro - model: MacBookPro11,3

    1 2,3 GHz Intel Core i7 CPU: 4-core

    16 GB RAM Not upgradeable

        BANK 0/DIMM0

            8 GB DDR3 1600 MHz ok

        BANK 1/DIMM0

            8 GB DDR3 1600 MHz ok

    Bluetooth: Good - Handoff/Airdrop2 supported

    Wireless:  en0: 802.11 a/b/g/n/ac

    Battery: Health = Normal - Cycle count = 174
 

Video Information: ?

    Intel Iris Pro

        Color LCD 2880 x 1800

    NVIDIA GeForce GT 750M - VRAM: 2048 MB
 

System Software: ?

    OS X El Capitan 10.11.3 (15D21) - Time since boot: about one day 
 

Disk Information: ?

    APPLE SSD SM0512F disk0 : (500,28 GB) (Solid State - TRIM: Yes)

        EFI (disk0s1) <not mounted> : 210 MB 

        Mac-FIle HDD (disk0s2) / : 424.42 GB (399.65 GB free)

        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 

        BOOTCAMP (disk0s4) /Volumes/BOOTCAMP : 75.00 GB (11.98 GB free)
 

USB Information: ?

    Apple Inc. Apple Internal Keyboard / Trackpad 

    Apple Inc. BRCM20702 Hub 

        Apple Inc. Bluetooth USB Host Controller 
 

Thunderbolt Information: ?

    Apple Inc. thunderbolt_bus
 

Gatekeeper: ?

    Mac App Store and identified developers
 

Kernel Extensions: ?

        /Library/Extensions

    [loaded]    com.avira.kext.FileAccessControl (1.2.2 - SDK 10.9 - 2016-03-21) [Support]

    [loaded]    com.objective-see.OstiariusKext (1.0.1 - SDK 10.11 - 2016-03-21) [Support]

    [loaded]    com.objectiveSee.kext.BlockBlock (0.9.4 - SDK 10.11 - 2016-03-21) [Support]
 

System Launch Agents: ?

    [not loaded]    5 Apple tasks

    [loaded]    149 Apple tasks

    [running]    82 Apple tasks
 

System Launch Daemons: ?

    [not loaded]    46 Apple tasks

    [loaded]    151 Apple tasks

    [running]    90 Apple tasks
 

Launch Agents: ?

    [failed]    com.avira.antivirus.general.agent.plist (2016-01-21) [Support]

    [loaded]    com.avira.antivirus.ipm.ui.plist (2016-01-21) [Support]

    [failed]    com.avira.antivirus.notifications.agent.plist (2016-01-21) [Support]

    [loaded]    com.avira.antivirus.odscan.default.plist (2016-03-21) [Support]

    [failed]    com.avira.antivirus.scheduler.agent.plist (2016-01-21) [Support]

    [running]    com.avira.antivirus.systray.plist (2016-01-21) [Support]

    [loaded]    com.avira.antivirus.telemetry.agent.plist (2016-01-21) [Support]

    [loaded]    com.avira.antivirus.update.default.plist (2016-01-21) [Support]

    [running]    com.avira.helper.avstats.plist (2016-01-21) [Support]
 

Launch Daemons: ?

    [loaded]    com.avira.antivirus.dbcleaner.plist (2016-01-21) [Support]

    [loaded]    com.avira.antivirus.ipm.loader.plist (2016-01-21) [Support]

    [running]    com.avira.helper.watchdox.plist (2016-01-21) [Support]

    [loaded]    com.malwarebytes.MBAMHelperTool.plist (2016-03-21) [Support]

    [running]    com.objectiveSee.blockblock.plist (2016-03-21) [Support]
 

User Launch Agents: ?

    [running]    com.objectiveSee.blockblock.plist (2016-03-21) [Support]

    [failed]    com.valvesoftware.steamclean.plist (2016-03-21) [Support]
 

User Login Items: ?

    None
 

Other Apps: ?

    [loaded]    com.spotify.webhelper

    [running]    com.valvesoftware.steam.ipctool

    [loaded]    388 Apple tasks

    [running]    197 Apple tasks
 

Internet Plug-ins: ?

    Default Browser: 601 - SDK 10.11 (2016-01-14)

    QuickTime Plugin: 7.7.3 (2016-01-14)
 

Safari Extensions: ?

    Wipr (2016-03-21)
 

3rd Party Preference Panes: ?

    None
 

Time Machine: ?

    Time Machine not configured!
 

Top Processes by CPU: ?

        16%    softwareupdated

        14%    kernel_task

         2%    fontd

         1%    com.apple.WebKit.WebContent(2)

         0%    avguard-ondemand-mgmt
 

Top Processes by Memory: ?

    1.13 GB    kernel_task

    524 MB    icdd

    475 MB    softwareupdated

    393 MB    savapi

    246 MB    WindowServer
 

Virtual Memory Information: ?

    5.91 GB    Free RAM 

    10.00 GB    Used RAM (5.49 GB Cached)

    0 B    Swap Used 
 

Diagnostics Information: ?

    Mar 21, 2016, 09:49:12 AM    Self test - passed

Also sonst sehe ich nichts, allerdings solltest du Avira deinstallieren es ist für das System mehr Ballast als nutzen.

ok, habe wieder runtergeschmissen...
war in der Hoffnung, wenn wirklich "Echtzeit" ne Datei auf den Rechner käme, das Avira das gleich findet... aber wenn es ohne besser ist, ok

Avira meldet sehr viele FPs und auch andere Programme greifen so in das System ein, dass die Systemstabilität leidet.