|
Mac Book Pro - "JS:ScriptSH-inf(Trj)" und "VBS:Bicololo-BM(Trj)"gefunden Hallo! Habe mein Mac Book Pro (MacOS Sierra) mit Avast wieder einmal komplett durchgecheckt und bin auf folgende Infizierungen gestoßen: "JS:ScriptSH-inf(Trj)" und "VBS:Bicololo-BM(Trj)" Es wurden auf 292 nicht spannbare Dateien gefunden. Ich kenne mich computer-technisch leider nicht wirklich aus und weiß nicht, was ich damit anfangen soll. Vorher war mein Laptop ziemlich langsam, aber ich dachte, das liegt daran, dass die Festplatte ziemlich voll ist. Ich hoffe, mir kann jemand helfen. Danke schonmal! |
Aha, MacBook - und welches Betriebssystem? :glaskugel: |
MacOS Sierra MacOS Sierra Ich denke, das ist das Betriebssystem, oder? Sorry... bin technisch echt auf Anfängerniveau! |
Du hast also Mac OS X. Dann verschieb ich in den Linux/Mac Bereich, denn hier im Analysebereich wird nur Windows nach Malware durchsucht. Ein Virenscanner auf einem unixoiden System wie Linux oder Mac macht wenig bis keinen Sinn, kann sehr oft sogar kontraproduktiv sein. Du solltest Avast deinstallieren. Mach danach ein Log mit EtreCheck und poste es hier in CODE-Tags, dante12 unser Mac-Spezialist wird sich das Log dann bei Zeiten anschauen. EtreCheck installieren
 Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Logfiles Code: EtreCheck version: 3.1.3 (337) |
Hallo Anette, Wie hast du denn mit Avast gescannt? Ich hab da keine Installation von Avast gesehen? Schritt 1: Bitte starte noch mal EtreCheck und suche den folgenden Eintrag: Code: Adware: ⓘ ~/Library/LaunchAgents/com.jdibackup.JustCloud.autostart.plist ~/Library/LaunchAgents/com.jdibackup.JustCloud.notify.plist 2 adware files found. [Remove]Starte den Rechner neu und fahre mit Schritt 2 fort. Schritt 2: MalwareBytes for Mac
Schritt 3: Gegencheck mit DetectX Prüfen mit DetectX
|
Logfiles Malwarebytes Code: Malwarebytes Anti-Malware 1.2.5.715 system report - 26. November 2016 um 09:52:00 MEZ |
Funde mit DetectX Liste der Anhänge anzeigen (Anzahl: 1) Hallo Dante! Vielen Dank schon mal für deine Hilfe. DetextX hat ein paar Sachen gefunden, von denen ich nicht weiß, ob sie weg müssen, oder nicht. Ich hänge den screenshot mal an und hoffe, auf deine Rückmeldung. |
Zitat:
Sieht gut aus, du hast noch einige Reste von Avast in dein Chrome Browser einfach diese über die Erweiterungen entfernen und fahre mit den nächsten Schritt fort. |
Finde in den Erweiterungen nichts :-( Und die Funde aus DetextX kann ich löschen? |
Ja kannste löschen poste bitte auch das Log wie in der Beschreibung oben. |
Code: DetectX Inspector: |
Schritt 4:
Antivirus for Mac Avira Bei GDATA bin ich mir nicht sicher - war es eine vorherige Antivirus Installation? - wenn ja, kannst du diesen Ordner auch löschen. Wichtig: Bitte nicht den Order "Application Support" oder "Library" löschen nur das was in ROT markiert ist. Wie läuft der Rechner jetzt? |
Super, vielen Dank. Läuft auf jeden Fall schneller. Ist es nicht etwas ungewöhnlich, dass ich auf einem Mac gleich 2 Trojaner bekomme? Und woher kommen die denn? Welche Programme könnte ich gegen Viren & Trojaner installieren? Kann das irgendwas angerichtet haben? Muss ich Passwörter ändern, Konten kontrollieren usw? Tausend Dank schon mal für deine Hilfe! Werde anschließend gleich spenden :-) Bin doch noch auf etwas gestoßen: wenn ich surfe (Safari) kommt hin und wieder folgender Fehler: Safari-Webinhalt wurde unerwartet beendet. Kann das was mit den Trojanern zu tun haben? Danke für deine Hilfe! |
Du hattest irgendwann mal Mackeeper installiert bzw. eine Software die Mackeeper quasi "huckepack" mitinstalliert hatte. Mackeeper seinerseits installiert noch zusätzlich Software die mit seiner Funktion keinerlei Bezug hat. Dies sind keine Trojaner sondern Adware (also Software die ohne dein Wissen) installiert wird. https://www.ifun.de/mackeeper-fragwu...tertuer-79814/ Der Mac ist in den meisten Fällen gegen Malware durch Gatekeeper und XProtect geschützt. Bring also von Haus aus eigene Sicherheitsmechanismen. Natürlich versuchen solche Programme diese Mechanismen zu umgehen in den meisten Fällen funktioniert das nicht aber es gibt ausnahmen, da hilft auch keine zusätzliche AV-Software. Zu Safari: Lösche bitte mal den Cache, gehe zum Menu -> Safari und Verlauf löschen... wähle dort gesamten Verlauf und test ob es geholfen hat. Kannst du bitte den Link posten mit welchen das Problem auftritt? - Danke. |
Eher auf der Seite Unter anderem ist der Fehler auf folgender Seite aufgetreten (aber auch auf anderen): hxxp://www.getcoloringpages.com/dreamworks-trolls-coloring-pages Unter anderem ist der Fehler auf folgender Seite aufgetreten (aber auch auf anderen): hxxp://www.getcoloringpages.com/dreamworks-trolls-coloring-pages |
Ich kann die Seite problemlos laden, leere den Cache von Safari wie beschrieben und prüfe die Erweiterungen. Zum Abschluss führe bitte noch folgendes aus (wenn nötige drucke diese Abschnitt aus): Sicherer Systemstart
Sierra: Für gewöhnlich steht oben rechts in roter Schrift der Hinweis für den sicheren Systemstart. Bei Sierra kann es vorkommen das dieser Hinweis nicht angezeigt wird. Log dich deshalb bitte ein und prüfe das in dem du folgende Schritte ausführst.
Fahre fort mit folgender Anleitung: Festplattendienstprogramm Rechte Reparieren
Anleitung bis einschießlich Yosemite [*] Klicke unten links auf Zugriffsrechte des Volumes überprüfen und anschließend auf Zugriffsrechte des Volumes reparieren http://dante.trojaner-board.de/bilde...reparieren.png Anleitung für EL CAPITAN und SIERRA [*] Klicke oben auf den Button Erste Hilfe http://dante.trojaner-board.de/bilder/FP_ELC.png Starte den Rechner neu und während des starts mache bitte folgendes: NVRAM zurücksetzen Setze den Computerspeicher (NVRAM) nach dieser Anleitung zurück. Alternativ: Halte einfach die Tasten CDM + ALT + P + R während des starts gleichzeitig gedrückt, so lange bis ein zweiter Ton zu hören ist. Das wars... Flash Player kannst du deinstallieren, da du über Chrome einen eingebauten Player verwenden kannst. Ausserdem sicherer als der installierte von Adobe. Meide Downloadportale die bringen solche Adware mit, lade Programme direkt von Hersteller oder aus dem App Store. Wenn weitere Fragen sind bitte Melden :daumenhoc |
Fehler im Festplattendienstprogramm Liste der Anhänge anzeigen (Anzahl: 1) Hey, super vielen Dank für alles. Hat soweit geklappt. Im Festplattendienstprogramm wurde wohl ein Fehler gefunden, mit dem ich nichts anfangen kann. Screenshot anbei. Repariert sich das dann bei "Erste Hilfe" selbst, oder hätte ich da irgendwas machen müssen? |
Wenn du auf Fertig geklickt hast, dann sollte die Reparatur automatisch ausgeführt werden. Danach sollten keine Fehler mehr auftreten. Hat sich das Problem mit Safari gelöst nachdem du den Cache geleert hattest? |
Safari Also die Fehlermeldungen bei diversen Seitenaufrufen sind jetzt nicht mehr aufgetreten. Allerdings braucht der Laptop nun ziemlich lange, bis er komplett hochgefahren ist und man Programme öffnen kann. Was ist denn mit den Programmen, die ich im Laufe dieses Chats heruntergeladen habe - soll ich die drauf lassen, oder wieder löschen. |
Doch wieder Fehler :-( Liste der Anhänge anzeigen (Anzahl: 1) Fehler bei Seitenaufruf ist schon wieder aufgetreten. Wieder bei Ebay... Und irgendwie ist der Laptop insgesamt ganz schön langsam :-( |
Kannst du bitte noch mal ein EtreCheck Log erstellen? Mach auch mal bitte ein Bildschirmfoto von folgender Anzeige: Safari: Menü -> Safari -> Einstellungen -> Erweiterungen Safari: Menü -> Hilfe -> Installierte Plug-Ins (falls die Seite leer ist brauchst du kein Foto machen) |
EtreCheck Log Code: EtreCheck version: 3.1.3 (337)Java Applet Plug-in Displays Java applet content, or a placeholder if Java is not installed. – von Datei „JavaAppletPlugin.plugin“. MIME-Typ Beschreibung Erweiterungen application/x-java-applet Basic Java Applet application/x-java-applet;deploy=11.111.2 Java Applet application/x-java-applet;javafx=8.0.111 JavaFX Applet application/x-java-applet;jpi-version=1.8.0_111 Java Applet application/x-java-applet;version=1.1 Java Applet application/x-java-applet;version=1.1.1 Java Applet application/x-java-applet;version=1.1.2 Java Applet application/x-java-applet;version=1.1.3 Java Applet application/x-java-applet;version=1.2 Java Applet application/x-java-applet;version=1.2.1 Java Applet application/x-java-applet;version=1.2.2 Java Applet application/x-java-applet;version=1.3 Java Applet application/x-java-applet;version=1.3.1 Java Applet application/x-java-applet;version=1.4 Java Applet application/x-java-applet;version=1.4.1 Java Applet application/x-java-applet;version=1.4.2 Java Applet application/x-java-applet;version=1.5 Java Applet application/x-java-applet;version=1.6 Java Applet application/x-java-applet;version=1.7 Java Applet application/x-java-applet;version=1.8 Java Applet application/x-java-vm Java Applet SharePoint Browser Plug-in Microsoft Office for Mac SharePoint Browser Plug-in – von Datei „SharePointBrowserPlugin.plugin“. MIME-Typ Beschreibung Erweiterungen application/x-sharepoint Microsoft Office for Mac SharePoint Browser Plug-in application/x-sharepoint-protocolhandler Microsoft Office for Mac Protocol Handler Shockwave Flash Shockwave Flash 23.0 r0 – von Datei „Flash Player.plugin“. MIME-Typ Beschreibung Erweiterungen application/futuresplash FutureSplash Player spl application/x-shockwave-flash Shockwave Flash swf |
Programmierst du mit Java wenn nicht, dann bitte deinstallieren. Auch Flash wird nicht benötigt du kannst Flash Inhalte mit dem Chrome Browser abspielen. Schritt 5 Deinstallation von Java: Öffne im Finder den Ordner Programme -> Dienstprogramme und starte das Terminal. Kopiere und füge folgendes in das Terminal ein und drücke Enter. Gebe dein Admin-Passwort ein. Hinweis: Die Eingabe des Passworts siehst du im Terminal nicht. Bitte einfügen und Enter drücken: Code: sudo rm -fr /Library/Internet\ Plug-Ins/JavaAppletPlugin.pluginCode: sudo rm -fr /Library/PreferencesPanes/JavaControlPanel.prefPaneLade bitte den Uninstaller herunter öffne das DMG und führe das Programm aus. Malwarebytes deinstallieren Starte Malwarebytes und navigiere zum Menü Help -> Uninstall Malwarebytes Anti-Malware. Safari: Wenn du Lesezeichen behalten möchtest, dann bitte diese auf deinem Desktop oder einem Ort deiner Wahl exportieren. Menü: Ablage -> Lesezeichen exportieren. Verlauf löschen: Menü: Safari -> Verlauf löschen... Menü: Einstellungen -> Erweitert den Punkt Menü Entwickler in der Menüleiste anzeigen, aktivieren Menü: Entwickler -> Cache Speicher leeren auswählen und Safari beenden. Klicke auf den Finder und drücke CMD + Shift + G. Füge folgendes in das kleine Fenster ein: Code: ~/Library/Saved Application State/com.apple.Safari.savedState Starte den Rechner neu und teste Frage: Woher hast du das Programm Secrets? Ich habe da nur Quellen von Chip und Macupdate gesehen es gibt eine Google Seite aber die Installer von Chip und Macupdate beinhalten auch zusätzliche Software die mitinstalliert wird. Es kann sein das z.B. auf diesem Wege die Adware auf deinen Rechner gelangt ist. |
Keine Ahnung, woher das Programm "Secrets" kommt... Soll ich es runterschmeißen? Habe alle Schritte durchgeführt, hat sich aber leider nichts verändert. Was heißt denn eigentlich "Performance: poor" aus dem EtreCheck Log? Kann doch gar nicht sein, dass ich so wenig Arbeitsspeicher habe, oder? |
Du hast 4 GB Ram das ist für heutige Verhältnisse sehr wenig, bei Start werden sehr viele Hintergrundprozesse geladen was schon mal den Speicher "aufrisst"fibit, adobe, java sind schon Speicherfresser. In diesem Fall würde ich folgendes vorschlagen bevor wir da noch weiter nach Fehlern suchen: Mache ein backup deiner Daten und installiere das System von Grund auf neu. Wenn Du das möchtest, dann schreibe bitte zurück. |
ja, ich glaube das wäre sinnvoll. Kannst du mir bitte erklären, wie ich das machen soll? Danke schonmal! |
Bitte habe etwas Geduld ich schreibe eine Anleitung für eine Installation. Was du benötigst für die Vorbereitung ist ein 8 GB USB Stick und wenn möglich eine externe Festplatte in der Speicherkapazität deiner internen Festplatte. Da ich gerade noch ein anderes Projekt am laufen habe, poste ich die Anleitung bis spätestens morgen früh - Danke. Hallo Anette, Lies dir diese Anleitung genau durch oder drucke diese bitte aus. Falls noch fragen gestellt werden müssen, bitte jetzt stellen bevor du diese Anleitung abarbeitest. 1. Was bei der Neu-Installation gemacht wird und was wir benötigen
1.1 Wir brauchen 1 x 8 GB USB Stick 1 x externe USB-Festplatte mind. 500 GB (Optional) Backup-Tool (nur wenn die externe Festplatte verwendet wird) 2. Vorbereitung 2.1 Sierra Laden und auf USB-Stick speichern
http://dante.trojaner-board.de/bilde...SB-Crreate.png
Kopieren und in dein Terminal einfügen: Code: sudo /Applications/Install\ macOS\ Sierra.app/Contents/Resources/createinstallmedia --volume /Volumes/Sierra-Installer --applicationpath /Applications/Install\ macOS\ Sierra.app --nointeractionhttp://dante.trojaner-board.de/bilde...-usbCreate.png 2.2 Backup deiner Daten
http://dante.trojaner-board.de/bilde...kup-sample.png http://dante.trojaner-board.de/bilder/ccc-helper.jpg 2.3 Weitere Daten extra Sichern Da bei einer Neu-Installation (Clean Install) keine Konfigurationsdateien oder andere Daten mehr zur Verfügung stehen kannst du einige Daten in einem eigenen Ordner auf der externen Festplatte separat Sichern. Zum Beispiel:
3. Installation Sind die oben genannten Schritte abgeschlossen dann kann es mit der Installation von Sierra losgehen... Sei dir bitte ganz Sicher ob alles Fehlerfrei abgeschlossen ist, insbesondere deine persönlichen Daten.
http://dante.trojaner-board.de/bilde...ra-Install.jpg
BILD 1: http://dante.trojaner-board.de/bilde...mat-system.jpg BILD 2: http://dante.trojaner-board.de/bilde...at-system2.jpg
Starte danach den Rechner neu... 4. Nacharbeiten
4.1 Daten zurückspielen und Programme installieren Wenn du den Carbon Copy Cloner verwendet hast, dann ist es relativ leicht die Daten wieder zurück zu holen. Kopiere einfach die persönlichen Daten von der externen Festplatte in dein neues Benutzerverzeichnis. Melde dich nun bei allen Diensten an (AppStore, iTunes, iCloud usf.) Führe ein Systemupdate über den App Store aus und installiere deine Software. Hast du Time-Machine genutzt dann musst du jetzt die Platte anschliessen und in den Systemeinstellungen Time-Machine einschalten um Zugriff auf die gespeicherten Daten zu erhalten - bei Problemen hier bitte melden. Dritt-Software bitte nicht von der gesicherten Platte installieren. Lade dir diese direkt vom Hersteller erneut herunter. Flash nicht installieren - wenn du Chrome verwendest kannst du diese Inhalte abspielen - ohne Adobe. Java nicht installieren - wenn du kein Programmierer bist ist es unnötig. Anstatt den Adobe Reader kannst du andere für den Mac besser optimierte PDF Reader verwenden. Die Vorschau ist schon ein gutes Werkzeug das vorinstalliert ist. Wenn du mehr benötigst, dann schau dir mal PDF Expert an. Damit ist der Vorgang abgeschlossen, wenn du noch Probleme oder Fragen hast bitte melden. Die externe Festplatte mit den alten Daten nicht löschen bis alles sauber bei dir läuft. Viel Spass mit deinem neuen System...:kaffee_reboot: |
Time Capsule Wow, da hast du dir aber eine Menge Arbeit gemacht. Habe eine Time Capsule, auf die die Backups gespeichert werden. Ändert das irgendwas am Ablauf? |
Nein mach ein aktuelles backup und ignorier das mit der externen Festplatte. Wenn es Probleme mit Time-Machine nach der Neu-Installation gibt dann schreib noch mal. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board