|
Facebook Malware Problem auf Mac OSX 10.6.8 Hallo Trojaner-Board, ich habe folgendes Problem: ich möchte mich über Firefox für Mac bei FB einloggen, bekomme aber direkt nach dem Log In folgende Meldung: "Dein Konto sichern Hallo Heinrich, wir glauben, dass dein Computer mit Malware infiziert ist und über dein Facebook-Konto Spam verbreitet. Wir erklären dir in einigen Schritten Näheres dazu und überprüfen deinen Computer auf Malware. " Und weiter: "1.Weitere Informationen zu Malware, 2.Malware-Scanner herunterladen, 3.Scanner ausführen, 4.Anmeldung." Anschließend kann ich einen "Los geht's" Button drücken oder mich wieder ausloggen. Letzteres habe ich bisher immer gemacht, da ich nicht einfach irgendwas von FB runterladen möchte. Ich habe das Problem jetzt seit ca. 1,5-2 Wochen und habe es auch mehrfach an Windows PC's versucht, bekam aber immer die selbe Meldung. Komischerweise war die Typo bei einem der Anmeldeversuche anders als bei den anderen Versuchen. Normalerweise sieht sie für mich aus wie Helvetica oder Arial, das eine mal wo sie anders war, sah sie aus wie Timer New Roman. Ich habe das Problem gegoogelt und das hat mich hierher in dieses Forum geführt. Ich habe auch versucht das Problem mit dem kostenlosen "Malwarebytes Anti-Malware"-Programm zu lösen, da bekam ich allerdings die Meldung, dass ich das Programm erst ab OSX 10.8 oder neuer benutzten kann. Einfach ein neues Betriebssystem installieren würde ich momentan allerdings ungern, da der Rechner schon fast zehn Jahre alt ist und ich davon ausgehe, dass er dann noch langsamer wird als er eh schon ist und für einen neuen habe ich leider nicht die Mittel. Vielleicht weiß eine_r von Euch Rat? LG Heiko |
Hallo H31k0 :hallo: Welche OSX-Version hast du denn - wenn du minimum 10.6 hast das kannst du deinen Rechner mit EtreCheck scannen. Allerdings glaube ich das hier dein Mail-Account mit dem du dich bei Facebook anmeldest gehackt wurde. EtreCheck installieren
 Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
seine Version steht im Betreff :blabla: => Mac OSX 10.6.8 |
Zitat:
|
Hi Dante 12, danke, dass Du mir hilfst. Hat n bisschen gedauert, bis ich Zeit dafür hatte den EtreCheck zu machen, aber jetzt hab ich's geschafft. Mit folgendem Ergebnis: Code: Danke nochmal! LG H31k0 |
Das Log ist soweit sauber. Du hast wenig Speicher, benötigst du denn unbedingt die Samsung Software die ist nämlich ganz schön speicherhungrig. Da du dein E-Mail Passwort geändert hast, sollte eigentlich ruhe einkehren. Wenn du andere E-Mail Adressen mit Facebook verknüpft hast, dann bitte auch bei diesen das Passwort ändern. |
Die Samsung Software find ich auch eher bescheiden, brauche sie aber leider für mein Handy. Ich habe jetzt alle Mailaccounts die von meinem Rechner an FB gehen mit neuen PW's ausgestattet. Habe auch heute nochmal von der Arbeit aus versucht, mich bei FB einzuloggen. Geht immer noch nicht. Auch von meinem Zuhause-Rechner geht es weiterhin nicht. Die anfangs beschriebene Meldung erscheint immernoch. Soll ich einfach noch ein paar Tage warten und es dann weiter versuchen? Ab wann erkennt denn FB, dass von meinem Rechner keine Gefahr ausgeht? |
Vom Mac kommst es sicher nicht, hast du deinen Windows PC auf Malware gescannt? Schritt 1 Ich empfehle deinen Beitrag auch für Windows in diesem Forum zu stellen und deinen Windows Rechner zu scannen: Log-Analyse und Auswertung - Trojaner-Board Schritt 2: MAC
Bitte teile mir das Ergebnis von Schritt 2 mit. Ich denke mal die Facebook-Hilfe kennst du? Hier noch ein Link für weitere Schritte: https://de-de.facebook.com/help/103873106370583 |
Leider kann ich den Windows PC nicht scannen. Das Ding steht bei mir auf der Arbeit. Ist n größerer Laden im sozialen Bereich, mit eigener IT Abteilung, und ich bin nur Mitarbeiter. Und aus Gründen würde ich irgendwie gern drumrum kommen, denen das Problem darzulegen. Schritt Nr.2 hat nichts gebracht. Da bekomme ich die selbe Fehlermeldung. Leider hat der Facebook-Hilfe Link auch nichts gebracht. Ich habe darüber jetzt mein Passwort geändert, aber ich bekomme trotzdem die vermaledeite Fehlermeldung. Das Einzige, was mir noch einfällt, ist, das ich der Sperrung widerspreche. Dann müsste ich offenbar allerdings meinen Perso einscannen und meine echte Identität preisgeben. Das will ich nicht. Oder halt den Malwarescanner von denen runterladen. Aber das habe ich ja auch von Anfang an ausgeschlossen. |
Zitat:
Wenn die das nicht glauben, können die mich ja gerne anschreiben.... Du kannst ja auch mit Verweis auf dieses Forum denen mitteilen das du alles getan hast und es eigentlich nur noch an deren Seite liegt dein Konto zu entsperren - hier bist du leider machtlos. Hast du den Link worüber die Virenscanner angeboten werden? |
Liste der Anhänge anzeigen (Anzahl: 1) Welchen Virenscanner-Link meinst Du? Den von FB? Das ist so ein Vier-Punkte-Plan. Der sieht aus wie auf dem angehängten Bild. |
Also weder Facebook noch andere Sicherheitstools können direkt in deinen Rechner schauen. Diese Meldungen liegen in den Caches und Cookies deines Browsers. Also: Bedenke das alle gespeicherten Information von Webseiten verloren gehen! Safari -> Verlauf löschen = gesamten Verlauf Safari -> Einstellungen -> Datenschutz -> Webseitendaten verwalten... -> Suche entweder nach Facebook oder lösche die kompletten Webseitendaten. Danach Safari beenden (CMD + Q) und neu starten. Bei Facebook Anmelden. Wenn du Flash verwendest solltest du auch dort vorher die Daten löschen. Systemeinstellungen -> Flash und dort die Daten löschen. |
Ich hab das jetzt so gemacht, wie Du beschrieben hast. Bei Safari und Firefox. Leider wieder ohne Erfolg. Komme weder bei Safari noch bei Firefox in FB rein. Den Router hab ich auch neu gestartet. Ich habe festgestellt, das ich Adware (Yontoo) bei Firefox drin hatte. Ich habe die jetzt aus den Add-Ons entfernt, gebracht hat es nichts. |
Schritt 3 Prüfen mit DetectX
Sofern DetectX auf deinen Rechner nicht läuft, lade dir bitte diese Version herunter. |
Bei Malwarebytes bekomme ich die Meldung, dass ich das Programm erst ab OSX 10.8 oder neuer benutzten kann. Ich hab 10.6.8. DetectX hat folgendes zu Tage gebracht: Code: DetectXSL Inspector: |
Also auch hier nichts ungewöhnliches obwohl ich sagen muss das ich einige Programme nicht kenne. Hast du das alles aus legitimen quellen? - manche haben beim Suchen nichts ergeben. Schritt 4 1. Suche nach den Browser - Erweiterungen torrentbrowser und Yontoo in Safari und Firefox und entferne diese. 2. Lösche nochmal den Cache und Webseitendaten von Safari wie oben beschrieben. 3. Den Cache und Webseitendaten von Firefox mit den Anleitungen von HIER und HIER 4. Für Firefox gehe auch diese Anleitung bitte nochmal durch 5. Bitte befolge den nachfolgenden Lesestoff und arbeite diesen durch. Sicherer Systemstart
Schritt 5
|
Hi, ich habe Schritt 4 komplett gemacht. Bei Schritt 5 gibt es ein Problem. Das system b26 stürzt beim öffnen sofort ab. Der Fehlerbericht sagt folgendes: Code: Process: launchd [285] |
Ok das liegt wohl daran da ich mit AppleScript keine ältere Version zur Verfügung habe. Inkompatibilität weil dein System zu alt ist :heulen: Dann kopiere alles aus der Codebox unten in dein Terminal und drücke enter. Ein neues Fenster mit dem Log erscheint. Kopiere den Inhalt und füge es hier ein. Code: cd ~/Desktop/; p="syslist.txt"; sw_vers >> $p; date | cut -c 1-20 >> $p;echo "==kextstat==" >> $p;kextstat -kl >> $p; echo "==User launchctl==" >> $p;launchctl list >> $p;echo "==Root lauchctl==" >> $p;sudo launchctl list >> $p;echo "==packages==" >> $p;sudo pkgutil --pkgs >> $p;echo "==extensions==" >> $p;ls -1A /e*/mach* {,/}L*/{Ad,Compon,Ex,Fram,In,Keyb,La,Mail/Bu,P*P,Priv,Qu,Scripti,Servi,Spo,Sta}* L*/Fonts 2> /dev/null >> $p;echo "==Login items==" >> $p;osascript -e 'tell application "System Events" to get the name of every login item' >> $p;echo "==hostfile==" >> $p; cat /etc/hosts >> $p;open -e $p |
Nee, leider komme ich immernoch nicht rein. Ich hab auch den Verdacht, dass FB mich einfach nur zwingen will, ihnen meine wahre Identität/meine Daten zu offenbaren, damit sie die verkaufen können, Stichpunkt Werbung und so. Denn offebar ist es mittlerweile so, das man eine Telefonnummer angeben muss, wenn man einen FB Accaount anlegen will. Das war früher nicht so. Deswegen geh ich halt von der Datenverkaufsgeschichte aus. Code: ProductName: Mac OS X |
Also nochmal, alles sauber hier ich kann von meiner Seite aus leider nichts mehr tun. Vielleicht kannst du ja probieren den angeblichen Virenscanner "nur" herunterzuladen, bewirkt vielleicht das dadurch die Sperre aufgehoben wird. Keine Ahnung ausführen würde ich es aber nicht bzw. mal diesen Scanner auf Virustotal hochladen - um ganz sicher zu gehen. |
Nachdem ich Deine Antwort am 16. gelesen hatte, dachte ich, ok, fuck, ich muss das jetzt mit dem FB Scanner machen und denen alles geben, was sie dafür wollen. Aber, man glaubt es kaum und ich finde das ist wirklich ein seltsamer Zufall, als ich mich eingeloggt habe, funktionierte alles so, als wäre nie was gewesen. Keine Schadsoftwaremeldung mehr, einfach einloggen und los geht's. Keine Ahnung warum das auf einmal ging. Ich danke Dir von Herzen, dass Du Dir die Arbeit gemacht und mir geholfen hast! Eine Sache hab ich noch. Ich habe in meinem Codefenster vom 13.10. (s.u.) unter LoginItems ein Ding namens "instutillaunch" gefunden. Das ist wohl von nem alten Brotherdrucker (soweit bin ich mit der Recherche selbst gekommen), den ich seit bestimmt drei, vier Jahren nicht mehr besitze. Ich möchte das deinstallieren, finde es aber nirgends. Wie mache ich das am besten? |
Am bequemsten ist es wenn du Find Any File benutzt. Gib einfach in das kleine Fenster den Suchbegriff ein und starte den Vorgang. Wenn du Systemweit suchen möchtest halte die ALT - Taste gedrückt dann erscheint auf den Button "Suchen (root)". Dafür musst du dien Login Passwort eingeben. Achte besonders bei Systemverzeichnissen (also alles was sich ausserhalb deines Benutzerordners befindet), was du löscht. Du kannst natürlich vor dem löschen eine Kopie auf dein Desktop verschieben - als Rückversicherung. |
Zitat:
find kennst du ja, entweder mit grep/awk nach pipe nutzen oder mit entsprechendem Parameter |
Zitat:
|
Naja :D sowas wie find /verzeichnis | grep -i suchmuster find ich jetzt nicht allzu kompliziert. |
So einfach mache ich es mir nicht, da die Malwareschreiber mittlerweile ihren Sch**SS überall auf dem System hinterlassen muss ich etwas ausgeklügelter suchen. Beispiel wenn ich z.B. nach allen Anwendungen suchen will die Java benötigen bzw. verwenden sieht so aus: Code: find /[AL]* -type d -name *.app -prune -exec sh -c 'ls -R "$1" | grep -q \.jar\$' {} {} \; -print0 2>&- | xargs -0 basename -s .app | open -ef |
Ok, wenn du das so speziell haben willst, dann wird der Befehl natürlich um einiges länger ;) Du verkettest da ja auch einiges.Du musst mir jetzt nicht alles erklären :D vllt solten wir unsere Nebendiskussion dann auch besser auslagern aus diesem Thread, aber warum suchst du so: 1. nach allen Ordner mit der Endung .app 2. diese werden dann mit ls ausgelistet 3. die Ausgabe wird nach .jar durchgegrept Lässt sich das nicht abkürzen, indem du gleich nur nach files suchst (-type f -name *.jar) oder willst du wirklich nur die jarfiles die in den entsprechenden .app Ordner sind auflisten weil es sonst zu unübersichtlich ist? |
Eine Application.app auf den Mac beinhaltet alle Komponenten die für den Betrieb der Anwendung nötig sind. Das heisst die *.app extension ist nicht anderes als ein gepacktes Verzeichnis mit all seinen Komponenten. Wenn ich z.B. Code: find /Applications -name “*.jar”Code: find /Applications -type f -name *.jarDer Obige String tut also nicht anderes als alle java-Komponenten zu finden, wobei mit find type d die Suche von der untersten Ebene eines Verzeichnisses beginnt - sonst umgekehrt, -prune veranlasst find nicht in die Datei zu suchen, zum Schluss wird mit xargs der Dateiname an sich herausgefiltert = basename -s (nur die Suffix .app). Am Ende wird die Ausgabe im Texteditor angezeigt (open -ef) wobei hier dann nur noch die Programmnamen in der Liste stehen. EDIT: Ich muss dazu noch sagen das ich mit einer einfachen Suche begonnen habe, der String in seiner jetzigen Form wurde immer wieder geändert (auch mithilfe des Web :) ) und hat sehr viel Zeit in Anspruch genommen. Ich habe sehr viel ausprobiert bis ich dieses Ergebnis erlangt habe. |
ok, danke für deine Hinweise |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board