Trojaner-Board - Offen Vermutlich fremder Zugriff auf meinem iMac

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- -

Vermutlich fremder Zugriff auf meinem iMac (https://www.trojaner-board.de/197350-vermutlich-fremder-zugriff-meinem-imac.html)

Vermutlich fremder Zugriff auf meinem iMac

Sehr geehrte Damen und Herren,

Vorab möchte ich um Verständnis bitten da sich meine Kenntnisse im Bereich der IT ziemlich in Grenzen halten. Ich bemühe mich das Problem so kurz und so detailliert wie möglich zu beschreiben.

Vor circa 8 Tagen fand ich einen Ordner in meiner iCloud in denen ich "Anwendungsdateien" für das Programm Automator fand. Die Dateien habe ich aus der iCloud genommen in den Papierkorb verschoben und gelöscht. Dennoch merkte ich bei allen Geräten (iMac. Macbook Pro, sowie iPhone) deutliche Veränderungen. Unter anderem auch das selbständige ändern von Passwörtern. Somit habe ich alle Geräte aus dem WLAN und der iCloud entfernt. Alle Geräte habe ich separat auf Werkseinstellung zurückgesetzt und neu installiert. Den iMac (27 Zoll (0,69 m), Ende 2009) habe ich von der CD/DVD gestartet. Die weiteren Betriebssysteme des IMacs duch den Apple Store.

Damit mir soetwas nicht noch einmal passiert habe ich mich im Internet zu erkundigt. Dadurch habe ich folgende Programme gedoenloaded: Malewarebytes, Avast sowie die CC Cleaner App.

Erst dann bin ich auf Ihre Seite gestoßen und habe mich von dem Avast wieder getrennt. Dafür die Programme Detect und EtreCheck installiert. Beide Programme finden nichts Außergewöhnliches. Jedoch habe ich das Gefühl, das die Fehler und Problemmeldungen in der Konsole um ein vielfaches zugenommen haben.

Vermutlich habe ich durch das viele Downloaden der ganzen Software auch noch dazu beigetragen. Was mich nun unsicher macht ist, das sich u.a Einstellungen ändern.

Nach der Installation das Betriebssystem aktiviere ich die Firewall und gestatte den download nur aus dem App Store. Wie ich gerade feststellen musste, ist die Einstellung auf App Store und verifizierte Entwickler gestellt.

Wie Sie vermuten, bin ich ziemlich überfragt und bitte Sie freundlicherweise um Ihre Einschätzung. Zum besseren Verständnis finden Sie im Anhang den aktuellen Report von Etrecheck sowie einige Screenshots der Konsole.

Sollten Sie weitere Informationen benötigen stelle ich Ihnen diese schnellstmöglich zur Verfügung.

Im Vorfeld bedanke ich mich für Ihre investierte Zeit.

Herzlichen Dank und beste Grüße,
Dennis Robers

Sry aber hast du mal deine eigenen Screenshots geprüft? Ich kann da bei dem Pixelbrei beim besten Willen nichts erkennen.

Und ich versteh auch nicht was ein angeblich infiziertes System mit deiner iCloud zu tun hat. iCloud ist doch dein Online-Speicherplatz bzw deine 'Festplatte im Internet', das Pendant zu Microsofts OneDrive. Falls da überhaupt was gewesen wär, hast du alle Möglichkeiten zerstört weil ja sofort alles neu installiert wurde.

Vllt kannst du mal freundlicherweise erklären, was man für dich tun soll bzw welche Fragen man beantworten soll. :kaffee:

Hallo cosinus,

vorab wünsche ich Dir ein frohes neues Jahr und vielen Dank das Du dich gemeldet hast. Bitte entschuldige das übereilte hochladen der Screenshots aber der Vorgang hat mich ziemlich nervös gemacht. In dem Moment habe ich nicht nachgedacht und kontrolliert.

Zu Deiner Frage: Was hat das mit iCloud zu tun?

- In meiner iCloud habe ich einen neuen sichtbaren Ordner entdeckt. In dem Ordner waren eine Vielzahl von Automator Dateien. Der Ordner stammt nicht von mir weil, wie Du möglicherweise vorstellen kannst, habe ich davon Null Ahnung. Ich weiß, das ich einige Dateien mit dem Programm Textedit geöffnet habe.

Somit öffnete sich eine Textdatei mit <string> und </key> die ich natürlich nicht entziffern kann. Was ich allerdings lesen konnte war Anweisungen meine Passwörter zu ändern, eine neue Emailadresse anzulegen usw.

Auch mein WLAN war betroffen. Überall wurden neue Passwörter (WLAN, Google Konto, Social Media, eMail usw) vergeben. In dem Moment habe ich den Stecker gezogen und alle Geräte vom Netz genommen und den Router auf Werkseinstellung zurückgesetzt usw.

Meine Frage ist jetzt:

Besteht die Möglichkeit das noch etwas vorhanden ist ?
Was war es?
Und wie kann ich mich in Zukunft schützen? Welche Programme würdest Du empfehlen?

Warum ich das frage?
Im Appstore bekomme ich zum ersten mal inkompatible Updates.
Google führt mich gestern zu einer angeblichen Unterseite. (Verlauf und Cache werden regelmäßig gelöscht)

Und ich habe das Gefühl das meine Konsole mehr Fehler und Probleme anzeigt.

Ich freue mich von dir zu hören und nochmals Danke für die Hilfe und deine Geduld.

HG

Dennis

Erklär uns doch mal, wie man dir sagen soll, was das alles war, wenn wir außer dem unerkennbaren Pixelbrei in den Screenshots keine verwertbaren Infos haben, außer dass du glaubst da sei irgendwas.

Schutz bekommt man, in dem man sich ein umfassendes Sicherheitskonzept erarbeitet, ständig anpasst und konsequent umsetzt.
Auch wenn du wohl anscheinend nur irgendein Programm installieren und das Thema dann abhaken willst. Sry aber so funktioniert keine Sicherheit. Weder unter Windows, noch OS X oder Linux. Was wir für Windows-Computer für Maßnahmen empfehlen steht hier (unter dem Abschnitt Cleanup) - mindestens 90% kannst du auch so auf OS X oder Linux anwenden (Thema Updates, KEINE(!) Virenscanner installieren, Rechtekonzept beachten, Browser absichern, Passwortkonzept erstellen etc. pp.)

Hallo Cousinus,

was könnte ich Dir zu Verfügung stellen aus denen Du die verwertbaren Informationen bekommst?

Sagmal red ich rückärts oder was ist los? Zum dritten Mal: aus deinem Pixelbrei kann man nichts erkennen. Dann thematisierst du laufend diese Dateien aber warum zum Geier POSTEST DU NICHT EINFACH was da drinsteht? :balla:

Sry aber langsam fühle ich mich verschaukelt.

Hallo Denis,

Hast du immer noch Probleme mit deinem Rechner? Wie Cosinus schon geschrieben hat, kann man auf den Bildern von dir nicht erkennen was dort steht. Ich sehe aber dass das die Auszüge aus der Konsole sind die für einen Anfänger keinerlei Bedeutung haben.

Sofern die Probleme noch bestehen:

EtreCheck installieren

Lade dir bitte EtreCheck vom App Store herunter und starte es bitte.
Klicke auf das Pull-Down Menü und wähle No Problem - Just Checking, anschliessend auf Start Etrecheck
Nach Abschluss erscheint das EtreCheck-Fenster. In der linken Spalte kannst du verschiedene Informationen über deinen Rechner abrufen (mehr in der gekauften Version).
Klicke oben links auf den Button Share Report und anschließend Copy Report.
Akzeptiere die Lizenz-Bedingungen, danach wird das Log in die Zwischenanlage (Clipboard) kopiert.
Füge den Inhalt mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe Lesestoff.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://dante.trojaner-board.de/bilder/code-tags.png

Hallo Dante,

vielen Dank für Deine Nachricht. Ich vermute das alles soweit ok ist. Euer Forum hat dazu erheblich beigetragen. Das siehst Du auch im Report den ich Dir unten angehangen habe.

Wenn Du dir noch die Zeit nimmst würde ich mich freuen wenn Du mir folgende Frage beantworten könntest.

Thema Sicherheit

1. Ich nutze High Sierra 10.13.6 (17G10021) und habe EtreCheck und ClamXAV installiert.
EtreCheck behalten? Ich kann damit nichts anfangen, jedoch werde ich informiert wenn etwas nicht stimmt. ClamXAV behalten oder deinstallieren?

2. Als Standardbrowser nutze ich Safari. Chrome ist der zweite. In der Chrome Einstellungen ist ausser Safe Browsing deaktiviert sodass die Hintergrundaktivitäten so gering wie möglich bleiben. Als Erweiterung nute ich nur SafeInCloud und Pokyglot. Gibt es irgendwas auf das ich noch achten sollte? Was ist mit sogenannten VPN Trecker´n oder ADBlock´s ?

3. Seid gestern finde ich meine Router, Speedport Smart 3 in meinem Finder als Netzwerk.
Das ist neu. Gestern habe ich ein neues WPA2 Kennwort vergeben und die Zugangsberechtigung beschränkt. HOTSPOT, WBS usw. ist aus. Hast Du eine Erklärung?

Vielen Dank für Deine Mühe.

Code:

EtreCheck version: 5.4.8 (5091)

Report generated: 2020-01-05 14:01:07

Download EtreCheck from https://etrecheck.com

Runtime: 3:11

Performance: Good

Sandbox: Enabled

Full drive access: Disabled
 

Problem: No problem - just checking
 

Major Issues:

  Anything that appears on this list needs immediate attention. 

  Obsolete hardware - This machine may be considered obsolete.
 

Minor Issues:

  These issues do not need immediate attention but they may indicate future problems or opportunities for improvement. 

  Unsigned files - There are unsigned software files installed. They appear to be legitimate but should be reviewed.

  32-bit Apps - This machine has 32-bits apps will not work on macOS 10.15 “Catalina”.

  Limited drive access - More information may be available with Full Drive Access.
 

Hardware Information:

  iMac (2009) - Obsolete!

  iMac Model: iMac10,1

  1 3,06*GHz Intel Core 2 Duo (Duo) CPU: 2-core

  12 RAM - Upgradeable

    BANK 0/DIMM0 - 4*GB DDR3 1067* 

    BANK 1/DIMM0 - 4*GB DDR3 1067* 

    BANK 0/DIMM1 - 2*GB DDR3 1067* 

    BANK 1/DIMM1 - 2*GB DDR3 1067* 
 

Video Information:

  ATI Radeon HD 4670 - VRAM: 256*MB

    iMac 2560 x 1440
 

Drives:

  disk0 - Hitachi HDE721010SLA330 1.00*TB (Mechanical - 7200 RPM) 

  Internal SATA 3 Gigabit Serial ATA

    disk0s1 - EFI (MS-DOS FAT32) [EFI] 210*MB

    disk0s2 [Core Storage Container] 999.35*GB

      disk1 - M****D (Journaled HFS+) 998.97*GB (25.24*GB used)

    disk0s3 - Recovery HD (Journaled HFS+) [Recovery] 650*MB
 

Mounted Volumes:

  disk1 - M****D

    998.97*GB (25.24*GB used, 978.45*GB available, 973.47*GB free)

    Journaled HFS+

    Mount point: /

    Encrypted
 

Network:

  Interface en0: Ethernet

  Interface en3: iPhone

  Interface fw0: FireWire

  Interface en2: Bluetooth PAN

  Interface en1: Wi-Fi

    802.11 a/b/g/n
 

System Software:

  macOS High Sierra 10.13.6 (17G10021) 

  Time since boot: Less than an hour
 

Notifications:

  Notifications not available without Full Drive Access.
 

Security:

  System Status

  Gatekeeper: Enabled

  System Integrity Protection: Enabled
 

  Antivirus software: Apple and ClamXAV
 

Unsigned Files:

  Launchd: /Library/LaunchDaemons/uk.co.canimaansoftware.ClamXAV.Engine.plist

    Executable: /usr/local/ClamXAV3/sbin/clamd --foreground

    Details: Exact match found in the whitelist - probably OK
 

32-bit Applications:

  One 32-bit app
 

System Launch Agents:

  [Not Loaded]  16 Apple tasks

  [Loaded]  162 Apple tasks

  [Running]  115 Apple tasks
 

System Launch Daemons:

  [Not Loaded]  37 Apple tasks

  [Loaded]  188 Apple tasks

  [Running]  112 Apple tasks
 

Launch Agents:

  [Loaded] com.google.keystone.agent.plist (Google, Inc. - installed 2020-01-03)

  [Loaded] com.google.keystone.xpcservice.plist (Google, Inc. - installed 2020-01-03)

  [Running] uk.co.canimaansoftware.ClamXAV.UI-Helper.plist (Mark Allan - installed 2019-12-13)

  [Loaded] uk.co.canimaansoftware.ClamXAV.UninstallWatcher.plist (Mark Allan - installed 2019-12-13)
 

Launch Daemons:

  [Loaded] com.google.keystone.daemon.plist (Google, Inc. - installed 2020-01-03)

  [Running] uk.co.canimaansoftware.ClamXAV.Engine.plist (? c1636c12  - installed 2019-12-13)

  [Running] uk.co.canimaansoftware.ClamXAV.HelperTool.plist (Mark Allan - installed 2019-12-13)

  [Loaded] uk.co.canimaansoftware.ClamXAV.HelperToolUpdater.plist (Mark Allan - installed 2019-12-13)
 

User Launch Agents:

  [Loaded] com.dropbox.DropboxMacUpdate.agent.plist (Dropbox, Inc. - installed 2019-12-30)
 

User Login Items:

  [Not Loaded] StartUpHelper (Spotify - installed 2019-12-12)

    Modern Login Item

    /Applications/Spotify.app/Contents/Library/LoginItems/StartUpHelper.app
 

Audio Plug-ins:

  BluetoothAudioPlugIn: 6.0.7 (Apple - installed 2019-12-30)

  iSightAudio: 7.7.3 (Apple - installed 2019-12-30)

  AirPlay: 2.0 (Apple - installed 2019-12-30)

  AppleAVBAudio: 683.1 (Apple - installed 2019-12-30)

  BridgeAudioSP: 4.69.2 (Apple - installed 2019-12-30)

  AppleTimeSyncAudioClock: 1.0 (Apple - installed 2019-12-30)
 

Safari Extensions:

  Polyglot - App Store (installed 2019-12-31)

  SafeInCloud Safari Extension - App Store (installed 2020-01-03)
 

Time Machine:

  Time Machine information not available without Full Drive Access.
 

Performance:

  System Load: 1.47 (1 min ago) 2.48 (5 min ago) 5.35 (15 min ago)

  Nominal I/O speed: 2.95*MB/s

  File system: 39.39 seconds

  Write speed: 100*MB/s

  Read speed: 103*MB/s
 

CPU Usage Snapshot:

  Type Overall

  System 2*%

  User 4*%

  Idle 94*%
 

Top Processes Snapshot by CPU:

  Process (count) CPU (Source - Location)

  EtreCheck 6.50*% (App Store)

  Other processes 5.37*% (?)

  Activity Monitor 0.07*% (Apple)

  SafeInCloud Password Manager 0.03*% (App Store)

  Dock 0.03*% (Apple)
 

Top Processes Snapshot by Memory:

  Process (count) RAM usage (Source - Location)

  EtreCheck 459*MB (App Store)

  com.apple.WebKit.WebContent (3) 158*MB (Apple)

  Mail 148*MB (Apple)

  Activity Monitor 116*MB (Apple)

  CalendarAgent 114*MB (Apple)
 

Top Processes Snapshot by Network Use:

  Process (count) Input / Output (Source - Location)

  Mail 354*KB / 49*KB (Apple)

  Other processes 101*KB / 105*KB (?)

  com.apple.WebKit.Networking 34*KB / 12*KB (Apple)

  SystemUIServer 0*B / 72*B (Apple)

  routined 0*B / 0*B (Apple)
 

Virtual Memory Information:

  Physical RAM: 12*GB
 

  Free RAM: 3.62*GB

  Used RAM: 4.15*GB

  Cached files: 4.23*GB
 

  Available RAM: 7.85*GB

  Swap Used: 0*B
 

Software Installs (past 30 days):

  Install Date Name (Version)

  2019-12-26 Security Update 2013-004 (1.0)

  2019-12-27 CleanMyDrive 2 (2.1.14)

  2019-12-27 Adobe Flash Player

  2019-12-27 AppleDisplays (1.0)

  2019-12-27 Gatekeeper Configuration Data (181)

  2019-12-27 AvastHUB

  2019-12-27 iTunes (12.8.2)

  2019-12-27 Malwarebytes for Mac

  2019-12-27 Avast Security (14.3)

  2019-12-30 XProtectPlistConfigData (2110)

  2019-12-30 MRTConfigData (1.51)

  2019-12-30 EtreCheck (5.4.8)

  2019-12-30 Pages (8.0)

  2019-12-30 Safari (13.0.4)

  2019-12-30 SoundCloud (1.3.2)

  2019-12-31 Polyglot (3.1)

  2019-12-31 WhatsApp (0.3.9309)

  2020-01-02 The Document Converter (11.0)

  2020-01-03 SafeInCloud Passwort Manager (19.3.3)

  2020-01-03 ClamXAV v3.0.15

  2020-01-03 Malwarebytes for Mac Deinstallationsprogramm

  2020-01-05 Spark (2.5.2)
 

Diagnostics Information (past 7-30 days):

  Directory /Library/Logs/DiagnosticReports is not accessible.

  Enable Full Drive Access to see more information.
 

End of report

In den Logs ist nichts zu sehen. Das jetzt dein Speedport angezeigt wird kann auch an ClamAV liegen das vorher die Verbindung nich zugelassen hat.
Du kannst Etrecheck wieder deinstallieren. Ich würde ClamAV auch entfernen das hat mir in der Vergangenheit sehr viele Fehlmeldung angezeigt. Die aktuelle Version kenne ich nicht.
Du brauchst ClamAV nur in der Papierkorb verschieben. Nach kurzer Zeit solltest Du eine Meldung erhalten ob der Scanner auch entfernt werden soll. Das musst du "bejahen" um diesen zu entfernen.

Sollte keine Meldunge erscheinen, dann hat da was nicht funktioniert. In diesem Fall bitte den Uninstaller von ClamAV herunterladen und ausführen.

Für gelegentliche Scans reicht Malwarebytes (in der freien oder kostenpflichtigen Version) Der Autor Thomas Reed leistet da sehr gute Arbeit.