Zurück   Trojaner-Board > Web/PC > Alles rund um Mac OSX & Linux

Alles rund um Mac OSX & Linux: Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet

Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate.

Antwort
Alt 16.03.2015, 09:48   #1
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Hallo an alle,

ich Depperl habe vor drei Tagen eine der getürkten DHL-Mails geöffnet und auch auf den Link geklickt. Habe ich mir jetzt den Trojaner geholt? Ich merke erstmal noch nichts davon.

Meine Recherche beim BSI ergab, dass es sich wohl um den Trojaner Geodo handelt. Auf meine Anfrage bei der Servicehotline erhielt ich die Auskunft, er könne überall aktiv werden (also auch auf Mac). Ich solle eine Antivirensoftware drüberlaufen lassen und den Virus in Quarantäne setzen.

Uff, bin nicht gerade sehr versiert in Computerdingen. Habe mir das Antivirenprogramm ClamXav heruntergeladen und über meinen Rechner laufen lassen. Es hat nichts gefunden. Heißt das, der Mac ist nicht befallen?

Meine Fragen im Einzelnen:

- Kann es sein, dass der Virus trotz AV-Software noch irgendwo lauert? Kann ich ihn per Mail, Stick oder Datei auf einen anderen Computer, insbesondere einen PC, übertragen?

- Kann ich den Mac noch fürs Online-Banking nutzen? (Hatte anschließend mein Konto sperren und meine Benutzerdaten ändern lassen.)

- Ist ClamXav als Antivirensoftware okay?

- Gibt es für meinen zweiten älteren Mac (Betriebssystem OSX 10.4.11) überhaupt ein AV-Programm?

Hoffentlich sind das nicht zu viele Fragen! Hoffe auf euer Feedback und bin dankbar für alle Tipps und Hinweise!!!

Alt 16.03.2015, 10:04   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



ich schieb dich mal ins passende Forum
__________________

__________________

Alt 16.03.2015, 15:04   #3
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Hallo diev

1. Versteckte Dateien/Ordner sichtbar machen
  1. Öffne bitte dein Terminal. Spotlight -> Terminal eingeben und starten.
  2. Gebe folgenden Befehl in das Terminal ein:
    Code:
    ATTFilter
    defaults write com.apple.finder AppleShowAllFiles TRUE;killall Finder
             
  3. Um es rückgängig zu machen ersetze den Wert TRUE durch FALSE.

2. Log erstellen mit AdwareMedic
Hinweis: AdwareMedic läuft erst ab Mac OS X 10.7 (Lion) oder höher.
  1. Lade dir bitte AdwareMedic herunter
  2. Starte das dmg-Archiv und installier es.
  3. Starte AdwareMedic und öffne das Menü Scanner. Dort den Punkt Take System Snapshot
  4. Kopiere das Ergebnis des Logs in das Clipboard und füge es hier in Code-Tags ein.

3. Alternative Log erstellen mit EtreCheck (oder beides )
  1. Lade bitte EtreCheck herunter.
  2. Archiv entpacken und die App auf den Desktop oder in den Programm-Ordner legen.
  3. Starten und anschließend das Ergebnis ins Clipboard kopieren.
  4. Füge es hier in Code-Tags ein.
__________________
__________________

Alt 16.03.2015, 21:28   #4
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Hallo Dante12,
danke erstmal für die Infos! Ich kapier nur nicht, wie ich das mit Terminal mache. Wenn ich das Programm öffne, erscheint nur ein Fenster mit
Last login: Fri Sep 24 14:56:01 on console (etc)
Wie soll ich da etwas eingeben? Und wo finde ich den Code??

Geändert von diev (16.03.2015 um 22:24 Uhr)

Alt 16.03.2015, 22:26   #5
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Das ist OK so. Wenn du das Terminal öffnest zeigt es dir die letzte Verwendung.

Code:
ATTFilter
defaults write com.apple.finder AppleShowAllFiles TRUE;killall Finder
         
Diesen Inhalt oben bitte in dein Terminal kopieren (Klicke auf Alles auswählen und anschließend mit Command-C kopieren), mit Command-V in dein Terminal einfügen und mit Enter bestätigen. Dieser Befehl sorgt dafür, dass im Finder alle versteckten Dateien und Ordner angezeigt werden.

Befolge danach die Anweisungen in den Punkten 2 und 3.

__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Alt 16.03.2015, 22:38   #6
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Sorry, eine schwere Geburt, aber vielen Dank, jetzt hab ichs kapiert und gemacht. Nun sagt er mir aber, dass ich die runtergeladene EtreCheck-Version nicht mit meiner OSX Version verwenden kann (10.5.8). Gibts noch eine Alternative dazu?

Alt 17.03.2015, 17:00   #7
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Hallo diev,

Ich hab jetzt auf die schnelle ein Script erstellt das du mit dem Script Editor ausführen kannst. Ich kann nicht garantieren ob es läuft. Getestet habe ich es ab Mac OS X 10.9.

1. TextWranger installieren falls nicht vorhanden
Der Standardtexteditor TextEdit hat da seine Probleme mit großen Datenmengen. Deshalb nutze ich für die Ausgabe TextWrangler. Wenn du es noch nicht auf dein System hast kannst du es dir vom AppStore runterladen - es ist kostenlos.

2. Anleitung für die Verwendung des Scripts.
  1. Installiere bitte TextWrangler wie oben beschrieben und starte das Programm.
  2. Kopiere den nachfolgenden Inhalt aus der Code-Box. Dazu klicke auf Alles auswählen und kopiere es mit Command-C.

    Code:
    ATTFilter
    (*
    --------------------------------------------------------------------
     System Reporter
     Testversion
    *)
    
    global kHomeFolderPath
    set kHomeFolderPath to POSIX path of (path to home folder)
    
    global gOutput
    set gOutput to "System Report Log" & return & "Scanned " & (current date)
    set osver to system version of (system info) -- Get system version
    set gOutput to gOutput & return & "Mac OS X version " & osver
    
    
    
    -- Get login items
    tell application "System Events"
    	set loginItems to the name of every login item
    end tell
    if length of loginItems is 0 then
    	set loginItemsOutput to "None"
    else
    	set firstItem to true
    	repeat with oneItem in loginItems
    		if firstItem then
    			set loginItemsOutput to oneItem
    			set firstItem to false
    		else
    			set loginItemsOutput to loginItemsOutput & return & oneItem
    		end if
    	end repeat
    end if
    AddToOutput(loginItemsOutput, "Login items")
    
    -- Get sandboxed login items
    set theOverrides to GetOutputForShellScript("plutil -p /private/var/db/launchd.db/com.apple.launchd.peruser.501/overrides.plist", "No login items")
    AddToOutput(theOverrides, "Sandboxed login items (overrides.plist)")
    
    -- Get contents of specific interesting folders
    set thingsToScan to {{"Startup items", "/Library/StartupItems"}, ¬
    	{"System startup items", "/System/Library/StartupItems"}, ¬
    	{"User launch agents", "~/Library/LaunchAgents"}, ¬
    	{"Root launch agents", "/Library/LaunchAgents"}, ¬
    	{"Root launch daemons", "/Library/LaunchDaemons"}, ¬
    	{"Safari extensions", "~/Library/Safari/Extensions/"}, ¬
    	{"Applications", "Applications"}, ¬
    	{"Preference Panes", "Library/PreferencePanes"}, ¬
    	{"User Internet Plug-Ins", "~/Library/Internet\\ Plug-Ins"}, ¬
    	{"Internet Plug-Ins", "/Library/Internet\\ Plug-Ins"}}
    repeat with oneThing in thingsToScan
    	set nameOfThing to item 1 of oneThing
    	set pathToThing to item 2 of oneThing
    	try
    		set contentsOfThing to (do shell script ("ls -Al " & pathToThing))
    	on error errMsg number errn
    		if errn = 1 then
    			set contentsOfThing to "Folder does not exist."
    		else
    			set contentsOfThing to "Error " & errn & " : " & errMsg
    		end if
    	end try
    	if contentsOfThing is "" then
    		set contentsOfThing to "None"
    	end if
    	AddToOutput(contentsOfThing, nameOfThing)
    end repeat
    
    -- Get Chrome extensions
    set chromeExtensions to GetChromeExtensionInfo()
    AddToOutput(chromeExtensions, "Chrome extensions")
    set chromeExternalExtensions to GetChromeExternalExtensionInfo()
    AddToOutput(chromeExternalExtensions, "Chrome external extensions")
    
    -- Get Firefox extensions
    set mozillaExtensions to GetFirefoxExtensionInfo(kHomeFolderPath & "Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/")
    AddToOutput(mozillaExtensions, "Mozilla extensions")
    set firefoxProfileFolder to GetFirefoxDefaultProfileFolder()
    if firefoxProfileFolder is not "" then
    	set firefoxExtensions to GetFirefoxExtensionInfo(firefoxProfileFolder & "extensions/")
    else
    	set firefoxExtensions to "Folder does not exist"
    end if
    AddToOutput(firefoxExtensions, "Firefox extensions")
    
    -- Get third-party kexts
    set kextOutput to (do shell script "kextstat -l | grep -v com.apple | cut -c53-")
    if length of kextOutput is 0 then
    	set kextOutput to "None"
    end if
    AddToOutput(kextOutput, "Third-party kexts")
    
    -- Get user and root cron tasks
    try
    	set userCronOutput to (do shell script "crontab -l")
    on error
    	set userCronOutput to "No user cron tasks"
    end try
    try
    	set rootCronOutput to (do shell script "crontab -l" with administrator privileges)
    on error
    	set rootCronOutput to "No root cron tasks"
    end try
    set cronOutput to "User tasks:" & return & userCronOutput & return & "Root tasks:" & return & rootCronOutput
    AddToOutput(cronOutput, "Cron tasks")
    
    -- Get LoginHook
    set theLoginHook to GetOutputForShellScript("defaults read com.apple.loginwindow LoginHook", "No login hooks")
    AddToOutput(theLoginHook, "LoginHook")
    
    -- Apps to relaunch at restart
    try
    	set theFolder to POSIX path of (path to home folder) & "/Library/Preferences/ByHost/"
    	tell application "Finder"
    		set theItems to name of items of folder (theFolder as POSIX file)
    	end tell
    	set foundItem to ""
    	repeat with oneItem in theItems
    		if oneItem begins with "com.apple.loginwindow" then
    			set foundItem to theFolder & oneItem
    			exit repeat
    		end if
    	end repeat
    	if foundItem = "" then
    		set plistContents to "Property list not found"
    	else
    		set plistContents to (do shell script "plutil -p " & foundItem)
    	end if
    on error errMsg number errn
    	set plistContents to "Error: " & errMsg & " : " & errn
    end try
    AddToOutput(plistContents, "Apps to relaunch at restart")
    
    -- Get launchd.conf
    set theStartupItems to GetOutputForShellScript("cat /etc/launchd.conf", "No custom settings")
    AddToOutput(theStartupItems, "Launchd configuration")
    
    -- Get DNS settings
    try
    	set theDNS to (do shell script "nslookup thesafemac.com | grep Server.*")
    on error
    	set theDNS to "Error getting DNS settings"
    end try
    AddToOutput(theDNS, "DNS settings")
    
    -- Get hosts file
    try
    	set theHosts to (do shell script "cat /etc/hosts")
    on error
    	set theHosts to "Error getting hosts file contents"
    end try
    AddToOutput(theHosts, "Hosts file")
    
    -- Done creating output, now what do we do with it?
    set dialogResult to display alert "Send or view report?" as informational message "Do you want to send this information via e-mail using the Mail app, or open it in TextWrangler?" buttons {"Send with Mail", "Open in TextWrangler"}
    if button returned of dialogResult is "Send with Mail" then
    	tell application "Mail"
    		set theNewMessage to make new outgoing message with properties {subject:"My system report", content:gOutput, visible:true}
    		tell theNewMessage
    			make new to recipient at end of to recipients with properties {address:"forum-dante@posteo.eu"}
    		end tell
    	end tell
    else
    	set textEditName to "TextWrangler"
    	tell application textEditName
    		activate
    		make new document
    		set text of document 1 to gOutput
    	end tell
    end if
    
    
    on AddToOutput(outputString, titleString)
    	set formattedOutput to return & return & titleString & return & "---------------" & return & outputString
    	set gOutput to gOutput & formattedOutput
    end AddToOutput
    
    on GetOutputForShellScript(theScript, err1Message)
    	try
    		set scriptOutput to (do shell script theScript)
    	on error errMsg number errn
    		if errn = 1 then
    			set scriptOutput to err1Message
    		else
    			set scriptOutput to "Error " & errn & " : " & errMsg
    		end if
    	end try
    	if scriptOutput = "" then
    		set scriptOutput to err1Message
    	end if
    	return scriptOutput
    end GetOutputForShellScript
    
    -----------------------------------------------------------------------
    -- Gets a path to the folder for the default profile in Firefox
    -----------------------------------------------------------------------
    on GetFirefoxDefaultProfileFolder()
    	set firefoxProfileFolder to POSIX path of (path to home folder) & "Library/Application Support/Firefox/Profiles/"
    	tell application "System Events" to set itemExists to exists disk item firefoxProfileFolder
    	if not itemExists then
    		return ""
    	end if
    	
    	tell application "Finder"
    		set allProfiles to name of folders of folder (firefoxProfileFolder as POSIX file)
    	end tell
    	
    	repeat with oneFolder in allProfiles
    		if oneFolder ends with ".default" then
    			return firefoxProfileFolder & oneFolder & "/"
    		end if
    	end repeat
    	
    	return ""
    end GetFirefoxDefaultProfileFolder
    
    -----------------------------------------------------------------------
    -- Gets information about installed Chrome extensions
    -----------------------------------------------------------------------
    on GetChromeExtensionInfo()
    	return GetInfoForFolderStyleChromeExtension(POSIX path of (path to home folder) & "Library/Application Support/Google/Chrome/Default/Extensions/")
    end GetChromeExtensionInfo
    
    -----------------------------------------------------------------------
    -- Given a folder, iterates over the folders it contains looking for the "name"
    -- field from any json files inside that folder. Returns a formatted list of
    -- file names and grep search results.
    -----------------------------------------------------------------------
    on GetInfoForFolderStyleChromeExtension(inFolder)
    	-- ignore default Chrome extensions
    	set ignoreList to {"aohghmighlieiainnegkcijnfilokake", "apdfllckaahabafndbhieahigkjlhalf", "bepbmhgboaologfdajaanbcjmnhjmhfn", "blpcfgokakmgnkcojhhkbfbldkacnbeo", "coobgpohoikkiipiblmjeljniedjpjpf", "nmmhkkegccagdldgiimedpiccmgmieda", "pjkljhegncpnkpknbcohdijeoejaedia"}
    	
    	tell application "System Events" to set itemExists to exists disk item inFolder
    	if not itemExists then
    		return "Folder does not exist"
    	end if
    	
    	tell application "Finder"
    		set allExtensions to name of folders of folder (inFolder as POSIX file)
    	end tell
    	if (count of allExtensions) is 0 then
    		return "None"
    	end if
    	
    	set theOutput to ""
    	repeat with oneExtension in allExtensions
    		if oneExtension is not in ignoreList then
    			if theOutput is not "" then
    				set theOutput to theOutput & return
    			end if
    			tell application "System Events" to set theModDate to the modification date of item (inFolder & oneExtension)
    			set theOutput to theOutput & oneExtension & " : modified " & theModDate & return & "	-> "
    			try
    				set nameInfo to do shell script ("grep -r '\"name\":[ 	]*\"[^\"]*\"' " & quoted form of inFolder & oneExtension & "/")
    			on error
    				set nameInfo to "Error getting extension information"
    			end try
    			set theOutput to theOutput & nameInfo
    		end if
    	end repeat
    	
    	if theOutput is "" then
    		return "None"
    	end if
    	
    	return theOutput
    end GetInfoForFolderStyleChromeExtension
    
    ----------------------------------------------------------------------
    -- Gets information about installed Chrome external extensions
    -----------------------------------------------------------------------
    on GetChromeExternalExtensionInfo()
    	set userExtensionsInfo to GetInfoForFileStyleChromeExtension(POSIX path of (path to home folder) & "/Library/Application Support/Google/Chrome/External Extensions/")
    	set globalExtensionsInfo to GetInfoForFileStyleChromeExtension("/Library/Application Support/Google/Chrome/External Extensions/")
    	
    	set theOutput to "   +++ For user +++" & return & userExtensionsInfo & return & "   +++ Global +++" & return & globalExtensionsInfo
    	
    	return theOutput
    end GetChromeExternalExtensionInfo
    
    -----------------------------------------------------------------------
    -- Given a folder, iterates over the files it contains looking for the "name"
    -- field from any json files inside that folder. Returns a formatted list of
    -- file names and contents.
    -----------------------------------------------------------------------
    on GetInfoForFileStyleChromeExtension(inFolder)
    	tell application "System Events" to set itemExists to exists disk item inFolder
    	if not itemExists then
    		return "Folder does not exist"
    	end if
    	
    	tell application "Finder"
    		set allExtensions to name of files of folder (inFolder as POSIX file)
    	end tell
    	if (count of allExtensions) is 0 then
    		return "None"
    	end if
    	
    	set theOutput to ""
    	repeat with oneExtension in allExtensions
    		if theOutput is not "" then
    			set theOutput to theOutput & return
    		end if
    		try
    			set fileContents to do shell script ("cat " & quoted form of (inFolder & oneExtension))
    			set theOutput to theOutput & "--- Contents of " & oneExtension & " ---" & return & fileContents & return & "--- End Contents ---"
    		on error
    			set theOutput to return & "Error getting extension information"
    		end try
    	end repeat
    	
    	if theOutput is "" then
    		return "None"
    	end if
    	
    	return theOutput
    end GetInfoForFileStyleChromeExtension
    
    -----------------------------------------------------------------------
    -- Given a Firefox extension folder, outputs a list of the items in the folder,
    -- as well as the name found in any install.rdf or manifest.xml files inside.
    -- Searching will be done with egrep or zipgrep, and is not limited to those files,
    -- though patterns will be used that should only be found in them.
    -----------------------------------------------------------------------
    on GetFirefoxExtensionInfo(inFolder)
    	tell application "System Events" to set itemExists to exists disk item inFolder
    	if not itemExists then
    		return "Folder does not exist"
    	end if
    	
    	tell application "Finder"
    		set allExtensions to name of items of folder (inFolder as POSIX file)
    	end tell
    	if (count of allExtensions) is 0 then
    		return "None"
    	end if
    	
    	set theOutput to ""
    	repeat with oneExtension in allExtensions
    		if theOutput is not "" then
    			set theOutput to theOutput & return
    		end if
    		tell application "System Events" to set theModDate to the modification date of item (inFolder & oneExtension)
    		set theOutput to theOutput & oneExtension & " : modified " & theModDate & return & "	-> "
    		
    		tell application "System Events" to set extensionKind to class of item (inFolder & oneExtension) as string
    		if extensionKind is "folder" then
    			try
    				set nameInfo to do shell script ("egrep -r '(em:name=\"[^\"]*\")|(<ShortName>[^<]*</ShortName>)|(<em:name>[^<]*</em:name>)' " & quoted form of inFolder & oneExtension & "/")
    			on error
    				set nameInfo to "Error getting extension information"
    			end try
    		else -- if the extension is a file
    			if oneExtension ends with ".xpi" then
    				try
    					set nameInfo to do shell script ("zipgrep '<em:name>[^<]*</em:name>' " & quoted form of inFolder & oneExtension)
    				on error
    					set nameInfo to "Error getting extension information"
    				end try
    			else
    				set nameInfo to "Unknown extension file format"
    			end if
    		end if
    		set theOutput to theOutput & nameInfo
    	end repeat
    	
    	if theOutput is "" then
    		return "None"
    	end if
    	
    	return theOutput
    end GetFirefoxExtensionInfo
             
  3. Füge das Script mit Command-V in TextWrangler ein.
  4. Speicher es unter den Namen Systemreport.scpt auf dein Desktop. TextWrangler kannst du danach beenden.
  5. Führe bitte nun einen Doppelklick auf die Datei Systemreport.scpt die sich auf dein Desktop befindet. Daraufhin sollte sich der Script Editor mit dem Inhalt öffnen.
  6. Klicke nun oben auf das Dreieck (steht für Ausführen) oder wähle aus dem Menü Script den Befehl Ausführen.
  7. Wenn gefordert gebe dein Passwort ein.
  8. Sollte jetzt alles ohne Probleme laufen, öffnet sich anschließend ein Dialogfenster. Klicke auf den Button Open in TextWrangler.

3. Bearbeitung und Posten
  1. Gehe in TextWrangler auf das Menu Search und wähle dort Find.. aus.
  2. Du siehst nun eine neue Eingabebox. Oben steht Find und darunter Replace.
  3. Suche nach persönlichen Informationen wie z.B deinen Namen oder email-Adressen und mache sie unkenntlich indem du im Eingabefeld Find den gesuchten Text eingibst und im Eingabefeld Replace etwas anderes hineinschreibst z.B. xxxxx.
  4. Klicke dann auf Replace All. Mit Command-Z kannst du Änderungen rückgängig machen.
  5. Ist alles erledigt, kopiere nun den Inhalt mit Command-A und Command-C und füge es anschließend hier in deinem nächsten Post in Code-Tags ein.

Solltest du damit Probleme haben, dann versuche ich noch etwas anderes. Bitte schreib mir gleich ob du seit deinem Vorfall, Änderungen am System wahrgenommen hast. Zum Beispiel Pop-ups oder ähnliches.
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Alt 17.03.2015, 20:30   #8
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Hallo Dante12,
ich dank dir vielmals, dass du dir die Mühe gemacht hast!! Das sieht nach echt viel Arbeit aus! Ich versuche es jetzt mal.
Noch eine kleine Frage zu Terminal: Soll ich da den gestrigen Vorgang wiederholen, d.h. den Code wieder reinkopieren? Und soll ich dabei den Inhalt (Last login etc) überschreiben oder den Code einfach nur dazukopieren?
Veränderungen oder Eigentümlichkeiten sind mir bisher noch nicht aufgefallen, habe mich aber kaum im Netz bewegt...
(...)
War inzwischen im App Store:
Leider scheint auch der TextWrangler nix für meinen alten Mac zu sein. Der App Store sagt: Zum Laden von TextWrangler benötigen Sie einen Mac mit OS X 10.6.6 oder neuer.
Vielleicht gibts irgendwo die Möglichkeit, eine ältere Version von Etrecheck zu bekommen, etwa die 1.9.11? Hab leider keine "seriöse" Seite dazu gefunden.

Geändert von diev (17.03.2015 um 20:55 Uhr)

Alt 17.03.2015, 21:08   #9
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Nein, wenn du es gestern ausgeführt hast, brauchst du es nicht noch mal machen. Die Einstellung geht nicht verloren.

Last Login ist Teil der Terminals und da brauchst du nix machen kommt immer wieder automatisch wenn du dein Terminal öffnest. Aufgrund des alters deines Betriebssystems vergiss das oben genannte Script. Das läuft dann auch nicht.

Wir machen das so wie du es gestern mit dem Terminal gemacht hast.

Hinweis: Das nachfolgende ist ein sehr langes Bash-Script das ausschließlich Daten sammelt und daraus ein Log erstellt.

1. Unten sieht du die Code-Box. Klicke auf Alles Auswählen und kopiere es mit Command-C.
Code:
ATTFilter
PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/libexec;clear;cd;p=({Soft,Hard}ware Memory Diagnostics Power FireWire Thunderbolt USB Bluetooth SerialATA Extensions Applications Frameworks PrefPane Fonts Displays 85 percent 20480 1 MB/s 25000 ports KiB/s DYLD_INSERT_LIBRARIES\ DYLD_LIBRARY_PATH 10 "` route -n get default|awk '/e:/{print $2}' `" 25 N\\/A down up 102400 25600 recvfrom sendto CFBundleIdentifier 25 25 25 1000 MB 'com.adobe.AAM.Updater-1.0 com.adobe.AAM.Updater-1.0 com.adobe.AdobeCreativeCloud com.adobe.CS4ServiceManager com.adobe.CS5ServiceManager com.adobe.fpsaud com.adobe.SwitchBoard com.adobe.SwitchBoard com.apple.aelwriter com.apple.AirPortBaseStationAgent com.apple.FolderActions.enabled com.apple.installer.osmessagetracing com.apple.mrt.uiagent com.apple.ReportCrash.Self com.apple.rpmuxd com.apple.SafariNotificationAgent com.apple.usbmuxd com.citrixonline.GoToMeeting.G2MUpdate com.google.keystone.agent com.google.keystone.daemon com.microsoft.office.licensing.helper com.oracle.java.Helper-Tool com.oracle.java.JavaUpdateHelper com.oracle.java.JavaUpdateHelper org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.startx' '879294308 4071182229 461455494 3627668074 1083382502 1274181950 1855907737 2758863019 1848501757 464843899 3694147963 1233118628 2456546649 2806998573 2778718105 2636415542 842973933 2051385900 3301885676 891055588 998894468 695903914 1443423563 4136085286 523110921 2883943871 3873345487' 51 5120 files 4 1000 25 5120 -\\t PlistBuddy{,' 2>&1'}' -c Print' OSBundleRequired 1174 20 ' function f() { n++;sub(/^/,"^");gsub(/\./,"\\.");gsub(/\+/,"\\+");gsub(/\-/,"\\-");gsub(/\?/,"\\?");print|"sort|uniq";};function g(N,d) { if(n<N) print d;};' {{,'\.'{kext,xpc,'(appex|pluginkit)'}'\/(Contents\/)?'}Info,'Launch[AD].+'}'\.plist' Label '|sort|uniq'{,\ -c} 1024 );N5=${#p[@]};p[N5]=` networksetup -listnetworkserviceorder|awk ' NR>1 { sub(/^\([0-9]+\) /,"");n=$0;getline;} $NF=="'${p[26]}')" { sub(/.$/,"",$NF);print n;exit;} ' `;f=(\\n%s{:\ ,\\n\\n}%s\\n '\nRAM details\n%s\n' %s\ %s '%s\n'"${p[50]}"'%s\n' '%s (UID %s) is using %s %s' '\nContents of %s\n   '"${p[50]}"'mod date: %s\n   '"${p[50]}"'checksum: %s\n%s\n' '\n   ...and %s more line(s)\n' 'RSSI: %s\nNoise: %s\nTx rate: %s\n' {Privacy,Mode}': %s\n' );S0() { echo ' { q=$NF+0;$NF="";u=$(NF-1);$(NF-1)="";gsub(/^ +| +$/,"");if(q>='${p[$1]}') printf("'"${f[5]}"'",$0,u,q,"'${p[$2]}'");} ';};S4() { echo "${p[56]}"\ ' /'${p[$1]}'$/ { p="'"${p[52]}"'\\ :'${p[$2]}' \""$0"\"";p|getline;close(p);if($0!~/ /) f();};END{g('$3',"^com\.apple\.")} ';};s=(' s/[0-9A-Za-z._]+@[0-9A-Za-z.]+\.[0-9A-Za-z]{2,4}/EMAIL/g;/faceb/s/(at\.)[^.]+/\1NAME/g;/\/Shared/!s/(\/Users\/)[^ /]+/\1USER/g;s/[-0-9A-Fa-f]{22,}/UUID/g;' ' s/^ +//;/de: S|[nst]:/p;' ' {sub(/^ +/,"")};/er:/;/y:/&&$2<'${p[46]} ' 1s/://;3,6d;/[my].+:/d;s/^ {4}//;H;${ g;s/\n$//;/s: (E[^m]|[^EO])|x([^08]|02[^F]|8[^0])/p;} ' ' 5h;6{ H;g;/P/!p;} ' ' ($1~/^Cy/&&$3>'${p[47]}')||($1~/^Cond/&&$2!~/^N/) ' ' /:$/{ N;/:.+:/d;s/ *://;b0'$'\n'' };/^ *(V.+ [0N]|Man).+ /{ s/ 0x.... //;s/[()]//g;s/(.+: )(.+)/ (\2)/;H;};$b0'$'\n'' d;:0'$'\n'' x;s/\n\n//;/Apple[ ,]|Genesy|Intel|SMSC/d;s/\n.*//;/\)$/p;' ' s/^.*C/C/;H;${ g;/No th|pms/!p;} ' '/= [^GO]/p' '{$1=""};1' ' /Of/!{ s/^.+is |\.//g;p;} ' ' BEGIN{FS=":"};{ if($2&&$2!="-") { $2="status: "$2;printf("'"${f[4]}"'",$1,$2);} else print $1;} ' ' { sub(/ :/,"");print|"tail -n'${p[48]}'";} ' ' NR==2&&$4<='${p[49]}' { print $4;} ' ' END { $2/=256;if($2>='${p[65]}') print int($2) } ' ' NR!=13{next};{sub(/[+-]$/,"",$NF)};'"`S0 21 22`" 'NR!=2{next}'"`S0 37 17`" ' NR!=5||$8!~/[RW]/{next};{ $(NF-1)=$1;$NF=int($NF/10000000);for(i=1;i<=3;i++){$i="";$(NF-1-i)="";};};'"`S0 19 20`" 's:^:/:p;' "`S4 58 35 80`" 's/^.{52}(.+) <.+/\1/p' "`S4 61 62 80`" "`S4 59 35 80`" ' NR>1&&$3!~/0x|\.([0-9]{3,}|[-0-9A-F]{36})$/ { print $3":"$2;} ' ' /\.(framew|lproj)|\):/d;/plist:|:.+(Mach|scrip)/s/:.+//p ' '/^root$/p' "${p[56]}"\ ' /\.(bundle|component|framework|kext|mdimporter|plugin|qlgenerator|saver|wdgt)$/{f()} END{g(900,"^/System/")} ' ' /\.dylib$/!d;s/(\.|\+|\-|\?)/\\\1/g;s/^/^/p;' "${p[56]}"\ ' /Temp|emac/{next};/(etc|Preferences|Launch[AD].+)\// { sub(".(/private)?","");f();} END { split("'"${p[41]}"'",b);split("'"${p[42]}"'",c);for(i in b) print b[i]"\.plist\t"c[i];g(500,"Launch");} ' ' /^\/(Ap|Dev|Inc|Prev)/d;/((iTu|ok).+dle|\.(component|mailbundle|mdimporter|plugin|qlgenerator|saver|wdgt))$/p;' 's/Pr.+n //p' ' /^\// { sub("/dev/","",$1);printf("%s: %s\n",$1,$9);} ' p '{print $3"\t"$1}' 's/\'$'\t''.+//p' 's/1/On/p' '/Prox.+: [^0]/p' '$2>'${p[43]}'{$2=$2-1;print}' ' BEGIN { i="'${p[26]}'";M1='${p[16]}';M2='${p[18]}';M3='${p[31]}';M4='${p[32]}';} !/^A/{next};/%/ { getline;if($5<M1) a="user "$2"%, system "$4"%";} /disk0/&&$4>M2 { b=$3" ops/s, "$4" blocks/s";} $2==i { if(c) { d=$3+$4+$5+$6;next;};if($4>M3||$6>M4) c=int($4/1024)" in, "int($6/1024)" out";} END { if(a) print "CPU: "a;if(b) print "I/O: "b;if(c) print "Net: "c" (KiB/s)";if(d) print "Net errors: "d" packets/s";} ' ' /r\[0\] /&&$NF!~/^1(0|72\.(1[6-9]|2[0-9]|3[0-1])|92\.168)\./ { print $NF;exit;} ' ' !/^T/ { printf "(static)";exit;} ' '/apsd|BKAg|OpenD/!s/:.+//p' ' (/k:/&& $3!~/(255\.){3}0/)||(/v6:/&&$2!~/A/) ' ' $1=="op" {m=$3};$1~"lN" {N=$2};$1~"lR" {S=$2};$1~"Tx" {T=$2};$1~/^st/ {s=$2};$1~"li"&&$3!~"wpa2" {printf("'"${f[9]}"'",toupper($3))};END { if(S*N*T&&(S-N<'${p[25]}'||T<'${p[55]}')) printf("'"${f[8]}"'",S,N,T);if(s~/^r/&&m!~/^st/) printf("'"${f[10]}"'",m);} ' ' BEGIN { FS=":";p="uniq -c|sed -E '"'s/ +\\([0-9]+\\)\\(.+\\)/\\\2 x\\\1/;s/x1$//'"'";} { n=split($3,a,".");sub(/_2[01].+/,"",$3);print $2" "$3" "a[n]$1|p;b=b$1;} END { close(p);if(b) print("\n\t* Code injection");} ' ' NR!=4{next} {$NF/=10240} '"`S0 27 23`" ' END { if($3~/[0-9]/)print$3;} ' ' BEGIN { L='${p[36]}';} !/^[[:space:]]*(#.*)?$/ { l++;if(l<=L) f=f"\n   "$0;} END { F=FILENAME;if(!F) exit;if(!f) f="\n   [N/A]";"cksum "F|getline C;split(C, A);C=A[1];"stat -f%Sm "F|getline D;"file -b "F|getline T;if(T~/^Apple b/) { f="";l=0;while("'"${p[51]}"' "F|getline g) { l++;if(l<=L) f=f"\n   "g;};};if(T!~/^(AS.+ (En.+ )?text(, with v.+)?$|(Bo|PO).+ sh.+ text ex|XM)/) F=F"\n   '"${p[50]}"'"T;printf("'"${f[6]}"'",F,D,C,f);if(l>L) printf("'"${f[7]}"'",l-L);} ' ' s/^ ?n...://p;s/^ ?p...:/-'$'\t''/p;' 's/0/Off/p' ' END{print NR} ' ' /id: N|te: Y/{i++} END{print i} ' ' /kext:/ { split($0,a,":");s=system("'"${p[51]}"'\\ :'${p[53]}' \""a[1]"\"/*/I*|grep -q Sa");if(!s) a[1]=a[1]" S";if(!a[2]) a[2]="'"${p[28]}"'";printf("'"${f[4]}"'",a[1],a[2]);next;} !/^ *$/ { p="'"${p[52]}"'\\ :'"${p[35]}"' \""$0"\"/*/'${p[57]}'";p|getline b;close(p);if(b~/ /||b=="") b="'"${p[28]}"'";printf("'"${f[4]}"'",$0,b);} ' '/ en/!s/\.//p' ' NR!=13{next};{sub(/[+-M]$/,"",$NF)};'"`S0 39 40`" ' $10~/\(L/&&$9!~"localhost" { sub(/.+:/,"",$9);print $1": "$9|"sort|uniq";} ' '/^ +r/s/.+"(.+)".+/\1/p' 's/(.+\.wdgt)\/(Contents\/)?'${p[57]}'$/\1/p' 's/^.+\/(.+)\.wdgt$/\1/p' ' /l: /{ /DVD/d;s/.+: //;b0'$'\n'' };/s: /{ /V/d;s/^ */- /;H;};$b0'$'\n'' d;:0'$'\n'' x;/APPLE [^:]+$/d;p;' ' /^find: /d;p;' "`S0 44 45`" ' BEGIN{FS="= "} /Path/{print $2} ' ' /^ *$/d;s/^ */   /;' ' s/^.+ |\(.+\)$//g;p ' "`S4 60 35 20`" ' /2/{print "WARN"};/4/{print "CRITICAL"};' ' /EVHF|MACR|^s/d;s/^.+: //p;' ' $3~/^[1-9][0-9]{0,2}(\.[1-9][0-9]{0,2}){2}$/ { i++;n=n"\n"$1"\t"$3;} END { if(i>1) print n;} ' ' s/:[^:]+$//;s/ +([0-9]+)(.+)/\2: \1/p;' ' { gsub(/[()"]/,"",$3);if($2!="="||!$3) $3="N/A";print $3;} ' ' /es: ./{ s/^.+://;b0'$'\n'' };/^ +C.+ted: +[NY]/H;/:$/b0'$'\n'' d;:0'$'\n'' x;/: +N/d;s/\n.+//p;' ' 1d;/:$/b0'$'\n'' $b0'$'\n'' /(D|^ *Loc.+): /{ s/^.+: //;H;};/(By|m): /H;d;:0'$'\n'' x;/[my]: [AM]|^\/Vo/d;s/(^|\n) [ -~]+//g;s/(.+)\n(.+)/\2:\1/;s/\n//g;/[ -~]/p;' 's/$/:(0|-(4[34])?)$/p' ' /^ {6}[^ ]/d;s/:$//;/([^ey]|[^n]e):/d;/e: Y/d;s/: Y.+//g;H;${ g;s/ \n (\n)/\1/g;s/\n +(M[^ ]+)[ -~]+/ (\1)/;s/\n$//;/( {8}[^ ].*){2,}/p;} ' );c1=(system_profiler pmset\ -g nvram fdesetup find syslog df vm_stat sar ps crontab iotop top pkgutil "${p[52]}\\" whoami cksum kextstat launchctl smcDiagnose sysctl\ -n defaults\ read stat lsbom 'mdfind -onlyin /' ' for i in ${p[24]};do ${c1[18]} ${c2[27]} $i;done;' pluginkit scutil dtrace profiles sed\ -En awk /S*/*/P*/*/*/C*/*/airport networksetup mdutil lsof test osascript\ -e netstat mdls kextfind );S1() { printf kMDItemContentTypeTree=com.apple.$1;};S2() { printf 'L*/Ca*/com.ap*.Saf*/E*/* -d 1 -name '${p[57]}' -exec '"${c1[14]}"' :'$1' {} \;|uniq';};c2=(com.apple.loginwindow\ LoginHook ' /L*/P*/loginw*' "'tell app \"System Events\" to get properties of login items'|tr , \\\n" "`S2 CFBundleDisplayName`" '~ $TMPDIR.. \( -flags +sappnd,schg,uappnd,uchg -o ! -user $UID -o ! -perm -600 \)' '-F \$Message -k Sender kernel -k Message CReq "a underr|I/O e"'"${p[64]}" '-nl -print' '-F \$Sender -k Level Nle 3 -k Facility CReq "apple\.(bird|i?clou)"'"${p[64]}" '{/,}L*/{Con,Pref}* -type f ! -size 0 -name *.plist -exec plutil -s {} \;' "-f'%N: %l' Desktop L*/Keyc*" therm sysload boot-args status " -F '\$Time \$(RefProc): \$Message' -k Sender Req 'fsev|kern|launchd' -k RefProc Rne 'Aq|WebK' -k Message Rne '08012|Goog|ksadm|probe|Roame|SMC:|smcD|sserti|suhel| VALI|ver-r|xpma' -k Message Req 'abn|bad |Beac|caug|corru|dead[^bl]|FAIL|fail|GPU |hfs: Ru|idle ex|inval|jnl:|last value [1-9]|lv_c|NVDA\(|pagin|pci pa|proc: t|Roamed|rror|SL|TCON|Throttli|tim(ed? ?|ing )o|WARN' " '-du -n DEV -n EDEV 1 10' 'acrx -o comm,ruid,%cpu' '-t1 10 1' '-f -pfc /var/db/r*/com.apple.*.{BS,Bas,Es,J,OSXU,Rem,up}*.bom' '{/,}L*/Lo*/Diag* -type f -regex .\*[cght] ! -name .?\* ! -name \*ag \( -exec grep -lq "^Thread c" {} \; -exec printf \* \; -o -true \) -execdir stat -f:%Sc:%N -t%F {} \;|sort -t: -k2 |tail -n'${p[38]} '/S*/*/Ca*/*xpc* >&- ||echo No' '-L /{S*/,}L*/StartupItems -type f -exec file {} +' "`S1 "{bundle,mach-o-dylib}"`" "`S2 ${p[35]}`" "/e*/{auto,{cron,fs}tab,hosts,{[lp],sy}*.conf,mach_i*/*,pam.d/*,ssh{,d}_config,*.local} {,/usr/local}/etc/periodic/*/* /L*/P*{,/*}/com.a*.{Bo,sec*.ap}*t {/S*/,/,}L*/Lau*/*t .launchd.conf" list getenv /Library/Preferences/com.apple.alf\ globalstate --proxy '-n get default' -I --dns -get{dnsservers,info}\ "${p[N5]}" -P -m\ / '' -n1 '-R -l1 -n1 -o prt -stats command,uid,prt' '--regexp --files com.apple.pkg.*'"${p[63]}" -kl -l -s\ / '-R -l1 -n1 -o mem -stats command,uid,mem' '+c0 -i4TCP:0-1023' com.apple.dashboard\ layer-gadgets '-d /L*/Mana*/$USER&&echo On' '-app Safari WebKitDNSPrefetchingEnabled' "+c0 -l|awk '{print(\$1,\$3)}'${p[64]}|sort -n|tail -1|awk '{print(\$2,\$3,\$1)}'" -m 'L*/{Con*/*/Data/L*/,}Pref* -type f -size 0c -name *.plist.???????|wc -l' kern.memorystatus_vm_pressure_level '3>&1 >&- 2>&3' " -F '\$Time \$Message' -k Sender kernel -k Message CSeq 'n Cause: -' " -i '-app Safari UserStyleSheetEnabled' -name\ kMDItem${p[35]} -T\ hfs '-F "" -k Sender hidd -k Nle 3|wc -l' );N1=${#c2[@]};for j in {0..15};do c2[N1+j]=SP${p[j]}DataType;done;N2=${#c2[@]};for j in 0 1;do c2[N2+j]="-n ' syscall::'${p[33+j]}':return { @out[execname,uid]=sum(arg0) } tick-10sec { trunc(@out,1);exit(0);} '";done;l=({Restricted\ ,Lock,Pro}files POST Battery {Safari,App,{Bad,Loaded}\ kernel}\ extensions Heat System\ load boot\ args FileVault Diagnostic\ reports Log {Free\ space,Swap}' (MiB)' Activity 'CPU per process' Login\ hook 'I/O per process' Mach\ ports User Daemons Agents XPC\ cache Startup\ items {Admin,Root}\ access Bundles {,Inserted\ }dylibs Stylesheet Font\ issues Firewall Proxies DNS TCP/IP Wi-Fi 'Elapsed time (sec)' {Root,User}\ crontab {Global,User}' login items' Spotlight Memory Listeners Widgets Parental\ Controls Prefetching Nets Descriptors Bad\ plists {I/O,iCloud,HID}\ errors Shutdowns 'High file counts' Memory\ pressure Volumes SMC );N3=${#l[@]};for i in {0..8};do l[N3+i]=${p[5+i]};done;N4=${#l[@]};for j in 0 1;do l[N4+j]="Current ${p[29+j]}stream data";done;A0() { Q=5;v[2]=1;id -G|grep -qw 80;v[1]=$?;((v[1]))||{ Q=7;sudo true;v[2]=$?;((v[2]))||Q=8;};v[3]=`date +%s`;clear >&-;date '+Start time: %T %D%n';printf '\n[Process started]\n\n'>&4;printf 'Revision: %s\n\n' ${p[54]};};for i in 0 1;do eval ' A'$((1+i))'() { v=` eval "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};A'$((3+i))'() { v=` while read i;do [[ "$i" ]]&&eval "${c1[$1]} ${c2[$2]}" \"$i\"|'${c1[30+i]}' "${s[$3]}";done<<<"${v[$4]}" `;[[ "$v" ]];};A'$((5+i))'() { v=` while read i;do '${c1[30+i]}' "${s[$1]}" "$i";done<<<"${v[$2]}" `;[[ "$v" ]];};A'$((7+i))'() { v=` eval sudo "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};';done;A9(){ v=$((`date +%s`-v[3]));};B2(){ v[$1]="$v";};for i in 0 1;do eval ' B'$i'() { v=No;((v['$((i+1))']==0))&&v=;};B'$((3+i))'() { v[$2]=`'${c1[30+i]}' "${s[$3]}"<<<"${v[$1]}"`;} ';done;B5(){ v[$1]="${v[$1]}"$'\n'"${v[$2]}";};B6() { v=` paste -d: <(printf "${v[$1]}") <(printf "${v[$2]}")|awk -F: ' {printf("'"${f[$3]}"'",$1,$2)} ' `;};B7(){ v=`grep -Ev "${v[$1]}"<<<"$v"|sort`;};C0() { [[ "$v" ]]&&sed -E "$s"<<<"$v";};C1() { [[ "$v" ]]&&printf "${f[$1]}" "${l[$2]}" "$v"|sed -E "$s";};C2() { v=`echo $v`;[[ "$v" != 0 ]]&&C1 0 $1;};C3() { v=`sed -E "${s[63]}"<<<"$v"`&&C1 1 $1;};C4() { echo "Part $((++P)) of $Q done at $((`date +%s`-v[3])) sec">&4;};C5() { pbcopy<<<"$o";exit 2>&-;};for i in 1 2 7 8;do for j in 0 2 3;do eval D$i$j'(){ A'$i' $1 $2 $3; C'$j' $4;};';done;done;trap C5 2;o=$({ A0;D20 0 $((N1+1)) 2;D10 0 $N1 1;B0;C2 27;B0&&! B1&&C2 28;D12 15 37 25 22;A1 0 $((N1+2)) 3;C0;A1 0 $((N1+15)) 74;C0;D13 0 $((N1+3)) 4 3;D23 0 $((N1+4)) 5 4;D13 0 $((N1+9)) 59 $((N3+4));for i in 0 1 2;do D13 0 $((N1+5+i)) 6 $((N3+i));done;D13 0 $((N1+8)) 71 $((N3+3));D13 1 10 7 9;D13 1 11 8 10;B1&&D73 19 53 67 60;D22 2 12 9 11;D12 3 13 10 12;D23 4 19 44 13;B0&&{ D13 5 5 69 53&&D23 6 58 31 59;D12 5 59 32 55;D13 5 54 30 56;C4;D23 5 14 12 14;C4;};D22 6 36 13 15;D22 20 52 66 58;D22 7 37 14 16;D23 8 15 38 17;D22 9 16 16 18;C4;B1&&{ D82 35 49 61 51;D82 11 17 17 20;for i in 0 1;do D82 28 $((N2+i)) 45 $((N4+i));done;C4;};D22 12 44 54 45;D22 12 39 15 21;D13 40 6 32 7;A1 13 40 18;B2 4;C4;B4 4 5 19;A1 17 41 20;B7 5;C3 8;B4 4 6 21;B4 4 7 22;B5 6 7;B3 6 6 73;B1&&{ A8 18 26 23;B7 6;B4 0 0 11;C3 23;};A2 18 26 23;B7 6;B4 0 0 11;C3 24;D13 4 21 24 26;B4 4 12 26;C4;for i in {0..3};do A1 0 $((N1+10+i)) 72;B7 12;B4 0 0 52;C3 $((N3+5+i));done;A1 24 22 29;B7 12;B2 14;A4 39 57 70 0;B2 15;B6 14 15 4;C3 29;C4;B3 4 13 27;A1 24 23 32;B7 13;C3 30;B4 4 16 65;A1 26 50 64;B7 16;C3 6;D13 25 37 32 31;A2 23 18 28;B2 16;A2 16 25 33;B7 16;B3 0 0 34;B2 21;A6 47 21&&C0;B1&&{ D73 21 0 32 19;D73 10 42 32 40;D82 29 35 46 2;};D23 14 1 62 42;D12 34 43 53 44;D12 22 20 32 25;D22 0 $((N1+14)) 51 33;D13 4 8 41 52;D12 21 28 35 34;D13 27 29 36 35;A2 27 32 39&&{ B2 19;A2 33 33 40;B2 20;B6 19 20 3;};C2 36;D23 38 55 68 50;D23 33 34 42 37;B1&&D83 35 45 55 46;D23 32 31 43 38;D12 36 47 32 48;D13 10 42 32 41;D13 37 2 48 43;A1 4 3 60;B2 30;A1 4 24 60;B2 31;B6 30 31 4;C3 5;D12 21 56 35 32;D12 21 48 49 49;B3 4 22 57;A1 21 46 56;B7 22;B3 0 0 58;C3 47;D13 5 7 69 54;D22 4 4 50 0;D12 4 51 32 1;D23 22 9 37 57;A9;C2 39;C4;} 4>&2 2>/dev/null;);C5
         
2. Öffne dein Terminal und füge es dort ein mit Command-V.
3. Wenn eine Fehlermeldung kommt gebe im Terminal folgenden Befehl ein: exec bash und füge das Script noch einmal ein.

So sieht es aus wenn es ausgeführt wird...

4. Der Prozess dauert einige Zeit. Es werden 8 Prozesse ausgeführt und danach beendet sich das Script von alleine.
5. Du erhälst keine Rückmeldung wenn es beendet ist. Das erstellte Log befindet sich aber danach in der Zwischenablage (Clipboard).
6. Füge den Inhalt mit Command-V hier in deinem nächsten Post (bitte in Code-Tags! siehe Bild unten.)

Code-Tags:

Klicke auf das angezeigt Symbol und füge den Text wie im Bild angegeben.
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Alt 18.03.2015, 22:08   #10
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Ist das als Fehlermeldung zu werten? Das sagt mein Terminal:
cp: /Library/Preferences/SystemConfiguration/preferences.plist.old: Permission denied
Password:

exec bash kann ich da leider nicht eingeben, er nimmt nix, er scheint auf ein Password zu warten.
Und woher weiß ich nachher, wann das Script beendet ist, wenn das gar nicht angezeigt wird??

Inzwischen habe ich das Script gelöscht, exec bash eingegeben und das Script nochmal reinkopiert. Es erscheint die gleiche Meldung wie oben ...

Über dem Eingabefenster steht übrigens Folgendes:
Terminal - sudo - 80x24

Geändert von diev (18.03.2015 um 20:28 Uhr)

Alt 19.03.2015, 10:43   #11
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet





Sieh dir mal das Bild oben an.

- Oben in der Leiste steht der Name der Shell. Bei mir ist es die ZSH. Deshalb muss ich bei mir den Befehl exec bash vorher eingeben bevor ich das Script einfüge.

- Der Prompt (in Gelb) ist immer da! (sieht z.B. so aus: -% oder -$ oder was andereres. Davor steht der Name deines Rechners. Bei mir ist es abgedeckt deshalb siehst du es nicht.

Wenn ein Prozess ohne Rückmeldung beendet wird erscheint wieder der Prompt und wartet auf neue Befehle.

- In Grün ist der auszuführende Befehl in diesem Fall exec bash. Wenn du das eingeben hast und Enter/Return drückst, dann siehst du oben in der Leiste den Namen des Befehls.

Jetzt schau die bitte die Code-Box an:
Code:
ATTFilter
PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/libexec;clear;cd;p=({Soft,Hard}ware Memory Diagnostics Power FireWire Thunderbolt USB Bluetooth SerialATA Extensions Applications Frameworks PrefPane Fonts Displays 85 percent 20480 1 MB/s 25000 ports KiB/s DYLD_INSERT_LIBRARIES\ DYLD_LIBRARY_PATH 10 "` route -n get default|awk '/e:/{print $2}' `" 25 N\\/A down up 102400 25600 recvfrom sendto CFBundleIdentifier 25 25 25 1000 MB 'com.adobe.AAM.Updater-1.0 com.adobe.AAM.Updater-1.0 com.adobe.AdobeCreativeCloud com.adobe.CS4ServiceManager com.adobe.CS5ServiceManager com.adobe.fpsaud com.adobe.SwitchBoard com.adobe.SwitchBoard com.apple.aelwriter com.apple.AirPortBaseStationAgent com.apple.FolderActions.enabled com.apple.installer.osmessagetracing com.apple.mrt.uiagent com.apple.ReportCrash.Self com.apple.rpmuxd com.apple.SafariNotificationAgent com.apple.usbmuxd com.citrixonline.GoToMeeting.G2MUpdate com.google.keystone.agent com.google.keystone.daemon com.microsoft.office.licensing.helper com.oracle.java.Helper-Tool com.oracle.java.JavaUpdateHelper com.oracle.java.JavaUpdateHelper org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.startx' '879294308 4071182229 461455494 3627668074 1083382502 1274181950 1855907737 2758863019 1848501757 464843899 3694147963 1233118628 2456546649 2806998573 2778718105 2636415542 842973933 2051385900 3301885676 891055588 998894468 695903914 1443423563 4136085286 523110921 2883943871 3873345487' 51 5120 files 4 1000 25 5120 -\\t PlistBuddy{,' 2>&1'}' -c Print' OSBundleRequired 1174 20 ' function f() { n++;sub(/^/,"^");gsub(/\./,"\\.");gsub(/\+/,"\\+");gsub(/\-/,"\\-");gsub(/\?/,"\\?");print|"sort|uniq";};function g(N,d) { if(n<N) print d;};' {{,'\.'{kext,xpc,'(appex|pluginkit)'}'\/(Contents\/)?'}Info,'Launch[AD].+'}'\.plist' Label '|sort|uniq'{,\ -c} 1024 );N5=${#p[@]};p[N5]=` networksetup -listnetworkserviceorder|awk ' NR>1 { sub(/^\([0-9]+\) /,"");n=$0;getline;} $NF=="'${p[26]}')" { sub(/.$/,"",$NF);print n;exit;} ' `;f=(\\n%s{:\ ,\\n\\n}%s\\n '\nRAM details\n%s\n' %s\ %s '%s\n'"${p[50]}"'%s\n' '%s (UID %s) is using %s %s' '\nContents of %s\n '"${p[50]}"'mod date: %s\n '"${p[50]}"'checksum: %s\n%s\n' '\n ...and %s more line(s)\n' 'RSSI: %s\nNoise: %s\nTx rate: %s\n' {Privacy,Mode}': %s\n' );S0() { echo ' { q=$NF+0;$NF="";u=$(NF-1);$(NF-1)="";gsub(/^ +| +$/,"");if(q>='${p[$1]}') printf("'"${f[5]}"'",$0,u,q,"'${p[$2]}'");} ';};S4() { echo "${p[56]}"\ ' /'${p[$1]}'$/ { p="'"${p[52]}"'\\ :'${p[$2]}' \""$0"\"";p|getline;close(p);if($0!~/ /) f();};END{g('$3',"^com\.apple\.")} ';};s=(' s/[0-9A-Za-z._]+@[0-9A-Za-z.]+\.[0-9A-Za-z]{2,4}/EMAIL/g;/faceb/s/(at\.)[^.]+/\1NAME/g;/\/Shared/!s/(\/Users\/)[^ /]+/\1USER/g;s/[-0-9A-Fa-f]{22,}/UUID/g;' ' s/^ +//;/de: S|[nst]:/p;' ' {sub(/^ +/,"")};/er:/;/y:/&&$2<'${p[46]} ' 1s/://;3,6d;/[my].+:/d;s/^ {4}//;H;${ g;s/\n$//;/s: (E[^m]|[^EO])|x([^08]|02[^F]|8[^0])/p;} ' ' 5h;6{ H;g;/P/!p;} ' ' ($1~/^Cy/&&$3>'${p[47]}')||($1~/^Cond/&&$2!~/^N/) ' ' /:$/{ N;/:.+:/d;s/ *://;b0'$'\n'' };/^ *(V.+ [0N]|Man).+ /{ s/ 0x.... //;s/[()]//g;s/(.+: )(.+)/ (\2)/;H;};$b0'$'\n'' d;:0'$'\n'' x;s/\n\n//;/Apple[ ,]|Genesy|Intel|SMSC/d;s/\n.*//;/\)$/p;' ' s/^.*C/C/;H;${ g;/No th|pms/!p;} ' '/= [^GO]/p' '{$1=""};1' ' /Of/!{ s/^.+is |\.//g;p;} ' ' BEGIN{FS=":"};{ if($2&&$2!="-") { $2="status: "$2;printf("'"${f[4]}"'",$1,$2);} else print $1;} ' ' { sub(/ :/,"");print|"tail -n'${p[48]}'";} ' ' NR==2&&$4<='${p[49]}' { print $4;} ' ' END { $2/=256;if($2>='${p[65]}') print int($2) } ' ' NR!=13{next};{sub(/[+-]$/,"",$NF)};'"`S0 21 22`" 'NR!=2{next}'"`S0 37 17`" ' NR!=5||$8!~/[RW]/{next};{ $(NF-1)=$1;$NF=int($NF/10000000);for(i=1;i<=3;i++){$i="";$(NF-1-i)="";};};'"`S0 19 20`" 's:^:/:p;' "`S4 58 35 80`" 's/^.{52}(.+) <.+/\1/p' "`S4 61 62 80`" "`S4 59 35 80`" ' NR>1&&$3!~/0x|\.([0-9]{3,}|[-0-9A-F]{36})$/ { print $3":"$2;} ' ' /\.(framew|lproj)|\):/d;/plist:|:.+(Mach|scrip)/s/:.+//p ' '/^root$/p' "${p[56]}"\ ' /\.(bundle|component|framework|kext|mdimporter|plugin|qlgenerator|saver|wdgt)$/{f()} END{g(900,"^/System/")} ' ' /\.dylib$/!d;s/(\.|\+|\-|\?)/\\\1/g;s/^/^/p;' "${p[56]}"\ ' /Temp|emac/{next};/(etc|Preferences|Launch[AD].+)\// { sub(".(/private)?","");f();} END { split("'"${p[41]}"'",b);split("'"${p[42]}"'",c);for(i in b) print b[i]"\.plist\t"c[i];g(500,"Launch");} ' ' /^\/(Ap|Dev|Inc|Prev)/d;/((iTu|ok).+dle|\.(component|mailbundle|mdimporter|plugin|qlgenerator|saver|wdgt))$/p;' 's/Pr.+n //p' ' /^\// { sub("/dev/","",$1);printf("%s: %s\n",$1,$9);} ' p '{print $3"\t"$1}' 's/\'$'\t''.+//p' 's/1/On/p' '/Prox.+: [^0]/p' '$2>'${p[43]}'{$2=$2-1;print}' ' BEGIN { i="'${p[26]}'";M1='${p[16]}';M2='${p[18]}';M3='${p[31]}';M4='${p[32]}';} !/^A/{next};/%/ { getline;if($5<M1) a="user "$2"%, system "$4"%";} /disk0/&&$4>M2 { b=$3" ops/s, "$4" blocks/s";} $2==i { if(c) { d=$3+$4+$5+$6;next;};if($4>M3||$6>M4) c=int($4/1024)" in, "int($6/1024)" out";} END { if(a) print "CPU: "a;if(b) print "I/O: "b;if(c) print "Net: "c" (KiB/s)";if(d) print "Net errors: "d" packets/s";} ' ' /r\[0\] /&&$NF!~/^1(0|72\.(1[6-9]|2[0-9]|3[0-1])|92\.168)\./ { print $NF;exit;} ' ' !/^T/ { printf "(static)";exit;} ' '/apsd|BKAg|OpenD/!s/:.+//p' ' (/k:/&& $3!~/(255\.){3}0/)||(/v6:/&&$2!~/A/) ' ' $1=="op" {m=$3};$1~"lN" {N=$2};$1~"lR" {S=$2};$1~"Tx" {T=$2};$1~/^st/ {s=$2};$1~"li"&&$3!~"wpa2" {printf("'"${f[9]}"'",toupper($3))};END { if(S*N*T&&(S-N<'${p[25]}'||T<'${p[55]}')) printf("'"${f[8]}"'",S,N,T);if(s~/^r/&&m!~/^st/) printf("'"${f[10]}"'",m);} ' ' BEGIN { FS=":";p="uniq -c|sed -E '"'s/ +\\([0-9]+\\)\\(.+\\)/\\\2 x\\\1/;s/x1$//'"'";} { n=split($3,a,".");sub(/_2[01].+/,"",$3);print $2" "$3" "a[n]$1|p;b=b$1;} END { close(p);if(b) print("\n\t* Code injection");} ' ' NR!=4{next} {$NF/=10240} '"`S0 27 23`" ' END { if($3~/[0-9]/)print$3;} ' ' BEGIN { L='${p[36]}';} !/^[[:space:]]*(#.*)?$/ { l++;if(l<=L) f=f"\n "$0;} END { F=FILENAME;if(!F) exit;if(!f) f="\n [N/A]";"cksum "F|getline C;split(C, A);C=A[1];"stat -f%Sm "F|getline D;"file -b "F|getline T;if(T~/^Apple b/) { f="";l=0;while("'"${p[51]}"' "F|getline g) { l++;if(l<=L) f=f"\n "g;};};if(T!~/^(AS.+ (En.+ )?text(, with v.+)?$|(Bo|PO).+ sh.+ text ex|XM)/) F=F"\n '"${p[50]}"'"T;printf("'"${f[6]}"'",F,D,C,f);if(l>L) printf("'"${f[7]}"'",l-L);} ' ' s/^ ?n...://p;s/^ ?p...:/-'$'\t''/p;' 's/0/Off/p' ' END{print NR} ' ' /id: N|te: Y/{i++} END{print i} ' ' /kext:/ { split($0,a,":");s=system("'"${p[51]}"'\\ :'${p[53]}' \""a[1]"\"/*/I*|grep -q Sa");if(!s) a[1]=a[1]" S";if(!a[2]) a[2]="'"${p[28]}"'";printf("'"${f[4]}"'",a[1],a[2]);next;} !/^ *$/ { p="'"${p[52]}"'\\ :'"${p[35]}"' \""$0"\"/*/'${p[57]}'";p|getline b;close(p);if(b~/ /||b=="") b="'"${p[28]}"'";printf("'"${f[4]}"'",$0,b);} ' '/ en/!s/\.//p' ' NR!=13{next};{sub(/[+-M]$/,"",$NF)};'"`S0 39 40`" ' $10~/\(L/&&$9!~"localhost" { sub(/.+:/,"",$9);print $1": "$9|"sort|uniq";} ' '/^ +r/s/.+"(.+)".+/\1/p' 's/(.+\.wdgt)\/(Contents\/)?'${p[57]}'$/\1/p' 's/^.+\/(.+)\.wdgt$/\1/p' ' /l: /{ /DVD/d;s/.+: //;b0'$'\n'' };/s: /{ /V/d;s/^ */- /;H;};$b0'$'\n'' d;:0'$'\n'' x;/APPLE [^:]+$/d;p;' ' /^find: /d;p;' "`S0 44 45`" ' BEGIN{FS="= "} /Path/{print $2} ' ' /^ *$/d;s/^ */ /;' ' s/^.+ |\(.+\)$//g;p ' "`S4 60 35 20`" ' /2/{print "WARN"};/4/{print "CRITICAL"};' ' /EVHF|MACR|^s/d;s/^.+: //p;' ' $3~/^[1-9][0-9]{0,2}(\.[1-9][0-9]{0,2}){2}$/ { i++;n=n"\n"$1"\t"$3;} END { if(i>1) print n;} ' ' s/:[^:]+$//;s/ +([0-9]+)(.+)/\2: \1/p;' ' { gsub(/[()"]/,"",$3);if($2!="="||!$3) $3="N/A";print $3;} ' ' /es: ./{ s/^.+://;b0'$'\n'' };/^ +C.+ted: +[NY]/H;/:$/b0'$'\n'' d;:0'$'\n'' x;/: +N/d;s/\n.+//p;' ' 1d;/:$/b0'$'\n'' $b0'$'\n'' /(D|^ *Loc.+): /{ s/^.+: //;H;};/(By|m): /H;d;:0'$'\n'' x;/[my]: [AM]|^\/Vo/d;s/(^|\n) [ -~]+//g;s/(.+)\n(.+)/\2:\1/;s/\n//g;/[ -~]/p;' 's/$/:(0|-(4[34])?)$/p' ' /^ {6}[^ ]/d;s/:$//;/([^ey]|[^n]e):/d;/e: Y/d;s/: Y.+//g;H;${ g;s/ \n (\n)/\1/g;s/\n +(M[^ ]+)[ -~]+/ (\1)/;s/\n$//;/( {8}[^ ].*){2,}/p;} ' );c1=(system_profiler pmset\ -g nvram fdesetup find syslog df vm_stat sar ps crontab iotop top pkgutil "${p[52]}\\" whoami cksum kextstat launchctl smcDiagnose sysctl\ -n defaults\ read stat lsbom 'mdfind -onlyin /' ' for i in ${p[24]};do ${c1[18]} ${c2[27]} $i;done;' pluginkit scutil dtrace profiles sed\ -En awk /S*/*/P*/*/*/C*/*/airport networksetup mdutil lsof test osascript\ -e netstat mdls kextfind );S1() { printf kMDItemContentTypeTree=com.apple.$1;};S2() { printf 'L*/Ca*/com.ap*.Saf*/E*/* -d 1 -name '${p[57]}' -exec '"${c1[14]}"' :'$1' {} \;|uniq';};c2=(com.apple.loginwindow\ LoginHook ' /L*/P*/loginw*' "'tell app \"System Events\" to get properties of login items'|tr , \\\n" "`S2 CFBundleDisplayName`" '~ $TMPDIR.. \( -flags +sappnd,schg,uappnd,uchg -o ! -user $UID -o ! -perm -600 \)' '-F \$Message -k Sender kernel -k Message CReq "a underr|I/O e"'"${p[64]}" '-nl -print' '-F \$Sender -k Level Nle 3 -k Facility CReq "apple\.(bird|i?clou)"'"${p[64]}" '{/,}L*/{Con,Pref}* -type f ! -size 0 -name *.plist -exec plutil -s {} \;' "-f'%N: %l' Desktop L*/Keyc*" therm sysload boot-args status " -F '\$Time \$(RefProc): \$Message' -k Sender Req 'fsev|kern|launchd' -k RefProc Rne 'Aq|WebK' -k Message Rne '08012|Goog|ksadm|probe|Roame|SMC:|smcD|sserti|suhel| VALI|ver-r|xpma' -k Message Req 'abn|bad |Beac|caug|corru|dead[^bl]|FAIL|fail|GPU |hfs: Ru|idle ex|inval|jnl:|last value [1-9]|lv_c|NVDA\(|pagin|pci pa|proc: t|Roamed|rror|SL|TCON|Throttli|tim(ed? ?|ing )o|WARN' " '-du -n DEV -n EDEV 1 10' 'acrx -o comm,ruid,%cpu' '-t1 10 1' '-f -pfc /var/db/r*/com.apple.*.{BS,Bas,Es,J,OSXU,Rem,up}*.bom' '{/,}L*/Lo*/Diag* -type f -regex .\*[cght] ! -name .?\* ! -name \*ag \( -exec grep -lq "^Thread c" {} \; -exec printf \* \; -o -true \) -execdir stat -f:%Sc:%N -t%F {} \;|sort -t: -k2 |tail -n'${p[38]} '/S*/*/Ca*/*xpc* >&- ||echo No' '-L /{S*/,}L*/StartupItems -type f -exec file {} +' "`S1 "{bundle,mach-o-dylib}"`" "`S2 ${p[35]}`" "/e*/{auto,{cron,fs}tab,hosts,{[lp],sy}*.conf,mach_i*/*,pam.d/*,ssh{,d}_config,*.local} {,/usr/local}/etc/periodic/*/* /L*/P*{,/*}/com.a*.{Bo,sec*.ap}*t {/S*/,/,}L*/Lau*/*t .launchd.conf" list getenv /Library/Preferences/com.apple.alf\ globalstate --proxy '-n get default' -I --dns -get{dnsservers,info}\ "${p[N5]}" -P -m\ / '' -n1 '-R -l1 -n1 -o prt -stats command,uid,prt' '--regexp --files com.apple.pkg.*'"${p[63]}" -kl -l -s\ / '-R -l1 -n1 -o mem -stats command,uid,mem' '+c0 -i4TCP:0-1023' com.apple.dashboard\ layer-gadgets '-d /L*/Mana*/$USER&&echo On' '-app Safari WebKitDNSPrefetchingEnabled' "+c0 -l|awk '{print(\$1,\$3)}'${p[64]}|sort -n|tail -1|awk '{print(\$2,\$3,\$1)}'" -m 'L*/{Con*/*/Data/L*/,}Pref* -type f -size 0c -name *.plist.???????|wc -l' kern.memorystatus_vm_pressure_level '3>&1 >&- 2>&3' " -F '\$Time \$Message' -k Sender kernel -k Message CSeq 'n Cause: -' " -i '-app Safari UserStyleSheetEnabled' -name\ kMDItem${p[35]} -T\ hfs '-F "" -k Sender hidd -k Nle 3|wc -l' );N1=${#c2[@]};for j in {0..15};do c2[N1+j]=SP${p[j]}DataType;done;N2=${#c2[@]};for j in 0 1;do c2[N2+j]="-n ' syscall::'${p[33+j]}':return { @out[execname,uid]=sum(arg0) } tick-10sec { trunc(@out,1);exit(0);} '";done;l=({Restricted\ ,Lock,Pro}files POST Battery {Safari,App,{Bad,Loaded}\ kernel}\ extensions Heat System\ load boot\ args FileVault Diagnostic\ reports Log {Free\ space,Swap}' (MiB)' Activity 'CPU per process' Login\ hook 'I/O per process' Mach\ ports User Daemons Agents XPC\ cache Startup\ items {Admin,Root}\ access Bundles {,Inserted\ }dylibs Stylesheet Font\ issues Firewall Proxies DNS TCP/IP Wi-Fi 'Elapsed time (sec)' {Root,User}\ crontab {Global,User}' login items' Spotlight Memory Listeners Widgets Parental\ Controls Prefetching Nets Descriptors Bad\ plists {I/O,iCloud,HID}\ errors Shutdowns 'High file counts' Memory\ pressure Volumes SMC );N3=${#l[@]};for i in {0..8};do l[N3+i]=${p[5+i]};done;N4=${#l[@]};for j in 0 1;do l[N4+j]="Current ${p[29+j]}stream data";done;A0() { Q=5;v[2]=1;id -G|grep -qw 80;v[1]=$?;((v[1]))||{ Q=7;sudo true;v[2]=$?;((v[2]))||Q=8;};v[3]=`date +%s`;clear >&-;date '+Start time: %T %D%n';printf '\n[Process started]\n\n'>&4;printf 'Revision: %s\n\n' ${p[54]};};for i in 0 1;do eval ' A'$((1+i))'() { v=` eval "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};A'$((3+i))'() { v=` while read i;do [[ "$i" ]]&&eval "${c1[$1]} ${c2[$2]}" \"$i\"|'${c1[30+i]}' "${s[$3]}";done<<<"${v[$4]}" `;[[ "$v" ]];};A'$((5+i))'() { v=` while read i;do '${c1[30+i]}' "${s[$1]}" "$i";done<<<"${v[$2]}" `;[[ "$v" ]];};A'$((7+i))'() { v=` eval sudo "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};';done;A9(){ v=$((`date +%s`-v[3]));};B2(){ v[$1]="$v";};for i in 0 1;do eval ' B'$i'() { v=No;((v['$((i+1))']==0))&&v=;};B'$((3+i))'() { v[$2]=`'${c1[30+i]}' "${s[$3]}"<<<"${v[$1]}"`;} ';done;B5(){ v[$1]="${v[$1]}"$'\n'"${v[$2]}";};B6() { v=` paste -d: <(printf "${v[$1]}") <(printf "${v[$2]}")|awk -F: ' {printf("'"${f[$3]}"'",$1,$2)} ' `;};B7(){ v=`grep -Ev "${v[$1]}"<<<"$v"|sort`;};C0() { [[ "$v" ]]&&sed -E "$s"<<<"$v";};C1() { [[ "$v" ]]&&printf "${f[$1]}" "${l[$2]}" "$v"|sed -E "$s";};C2() { v=`echo $v`;[[ "$v" != 0 ]]&&C1 0 $1;};C3() { v=`sed -E "${s[63]}"<<<"$v"`&&C1 1 $1;};C4() { echo "Part $((++P)) of $Q done at $((`date +%s`-v[3])) sec">&4;};C5() { pbcopy<<<"$o";exit 2>&-;};for i in 1 2 7 8;do for j in 0 2 3;do eval D$i$j'(){ A'$i' $1 $2 $3; C'$j' $4;};';done;done;trap C5 2;o=$({ A0;D20 0 $((N1+1)) 2;D10 0 $N1 1;B0;C2 27;B0&&! B1&&C2 28;D12 15 37 25 22;A1 0 $((N1+2)) 3;C0;A1 0 $((N1+15)) 74;C0;D13 0 $((N1+3)) 4 3;D23 0 $((N1+4)) 5 4;D13 0 $((N1+9)) 59 $((N3+4));for i in 0 1 2;do D13 0 $((N1+5+i)) 6 $((N3+i));done;D13 0 $((N1+8)) 71 $((N3+3));D13 1 10 7 9;D13 1 11 8 10;B1&&D73 19 53 67 60;D22 2 12 9 11;D12 3 13 10 12;D23 4 19 44 13;B0&&{ D13 5 5 69 53&&D23 6 58 31 59;D12 5 59 32 55;D13 5 54 30 56;C4;D23 5 14 12 14;C4;};D22 6 36 13 15;D22 20 52 66 58;D22 7 37 14 16;D23 8 15 38 17;D22 9 16 16 18;C4;B1&&{ D82 35 49 61 51;D82 11 17 17 20;for i in 0 1;do D82 28 $((N2+i)) 45 $((N4+i));done;C4;};D22 12 44 54 45;D22 12 39 15 21;D13 40 6 32 7;A1 13 40 18;B2 4;C4;B4 4 5 19;A1 17 41 20;B7 5;C3 8;B4 4 6 21;B4 4 7 22;B5 6 7;B3 6 6 73;B1&&{ A8 18 26 23;B7 6;B4 0 0 11;C3 23;};A2 18 26 23;B7 6;B4 0 0 11;C3 24;D13 4 21 24 26;B4 4 12 26;C4;for i in {0..3};do A1 0 $((N1+10+i)) 72;B7 12;B4 0 0 52;C3 $((N3+5+i));done;A1 24 22 29;B7 12;B2 14;A4 39 57 70 0;B2 15;B6 14 15 4;C3 29;C4;B3 4 13 27;A1 24 23 32;B7 13;C3 30;B4 4 16 65;A1 26 50 64;B7 16;C3 6;D13 25 37 32 31;A2 23 18 28;B2 16;A2 16 25 33;B7 16;B3 0 0 34;B2 21;A6 47 21&&C0;B1&&{ D73 21 0 32 19;D73 10 42 32 40;D82 29 35 46 2;};D23 14 1 62 42;D12 34 43 53 44;D12 22 20 32 25;D22 0 $((N1+14)) 51 33;D13 4 8 41 52;D12 21 28 35 34;D13 27 29 36 35;A2 27 32 39&&{ B2 19;A2 33 33 40;B2 20;B6 19 20 3;};C2 36;D23 38 55 68 50;D23 33 34 42 37;B1&&D83 35 45 55 46;D23 32 31 43 38;D12 36 47 32 48;D13 10 42 32 41;D13 37 2 48 43;A1 4 3 60;B2 30;A1 4 24 60;B2 31;B6 30 31 4;C3 5;D12 21 56 35 32;D12 21 48 49 49;B3 4 22 57;A1 21 46 56;B7 22;B3 0 0 58;C3 47;D13 5 7 69 54;D22 4 4 50 0;D12 4 51 32 1;D23 22 9 37 57;A9;C2 39;C4;} 4>&2 2>/dev/null;);C5
         
Lese dir jeden Punkt zuerst komplett durch bevor du etwas machst.

1. Klicke oben auf den Button Alles Auswählen
2. Kopiere es mit Command-C. Jetzt befindet sich der Inhalt der Box in der Zwischenablage!
3. Mache jetzt nichts anderes! Und schaue dir das Bild unten an


So sieht es aus wenn das Script läuft. Befolge jetzt Schritt für Schritt die weiteren Anweisungen

4. Öffne dein Terminal
5. Gebe jetzt exec bash und dann Enter ein!
6. Füge jetzt den Inhalt der Zwischenablage mit der Tastenkombination Command-V in das Terminal.
7. Jetzt wird das Fenster geleert und danach steht dort Passwort:
8. Gebe jetzt das Passwort ein und drücke Enter. Das ist das mit dem du dich nach dem start des Rechners einloggst. Das Passwort selbst sieht du im Terminal nicht!
9. Danach wird das Script mit der Ausgabe [Process startet] gestartet. Es folgen insgesamt 8 Abläufe.
10. Wenn das Script fertig ist beendet sich das Terminal von alleine!
11. Schaue dir jetzt ein weiteres Bild an...


12. Klicke auf das Code-Box Symbol und füge jetzt den Inhalt mit Command-V dazwischen wie es im Bild angezeigt wird und Poste es bitte.

Wenn es dennoch weitere Probleme gibt bitte sofort melden. Ich wage noch einen letzten Schritt bevor mir die Optionen ausgehen.
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Alt 19.03.2015, 18:18   #12
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Dank dir nochmal für deine Mühe! Leider seh ich keine Bilder, auch nicht in deinen bisherigen Posts. Muss ich da irgendeine Einstellung ändern?

(P.S. Die Sache mit den Code-Tags hab ich mir in euren Anleitungen schon angesehen, da weiß ich, was ich machen muss.)

Wie wäre es denn, wenn ich mir ein Update auf 10.6 besorge? Dann könnte man ja ganz normal mit EtreCheck arbeiten. Wäre das ratsam, upzudaten, trotz möglichem Virus?

Alt 19.03.2015, 21:38   #13
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Schreib mir bitte ob jetzt die Bilder sind.

Wegen eines fehlenden Logs würde ich nicht extra ein Upgrade machen. Aber ratsam ist es auf jeden Fall. Eine Neu-Installation würde ich aber vorziehen, da in den neueren Versionen viele Änderungen vorgenommen wurden. Da ist die Übernahme alter Einstellungen oft schwierig. Beste weg also Backup deiner persönlichen Daten und das Neu-Installieren auf eine jüngere Version.
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Geändert von Dante12 (19.03.2015 um 21:44 Uhr)

Alt 22.03.2015, 14:00   #14
diev
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Hallo Dante12,

jetzt sind die Bilder da!

Ich hab aber doch Bedenken, weiter in meinem Terminal herumzuwerkeln, sorry! Fühle mich zu sehr als Laie und fürchte, dass ich möglicherweise doch etwas nicht ganz richtig verstehe und mir dann erst recht Ärger mit meinem Rechner einhandle.

Deshalb hab ich mich nun doch zur letztdiskutierten Variante entschlossen, d.h. ich werde meinen Rechner so weit als möglich aufrüsten lassen. Der Virenscan kann dann miterfolgen, wenn der neue Arbeitsspeicher eingebaut wird.

Sorry, dass ich dich so viel Arbeit gekostet habe! Und danke dir noch mal ganz herzlich für deine Mühe! Ich habe jede Menge dabei gelernt! Und weiß jetzt auch, dass ich meinem guten alten Mac insgesamt ein bisschen mehr Aufmerksamkeit widmen sollte und nicht erst dann, wenn das Kind in den Brunnen gefallen ist ... ;-)

Hoffe, das ist okay.

Geändert von diev (22.03.2015 um 14:06 Uhr)

Alt 22.03.2015, 18:31   #15
Dante12
/// Mac Expert
 
Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Standard

Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet



Kein Problem dafür bin ich da um so gut es geht zu helfen. :
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Antwort

Themen zu Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet
aktiv, anderen, antivirenprogramm, befallen, benutzerdaten, betriebssystem, datei, einzelne, feedback, frage, fragen, konto, link, link geöffnet, mac, nichts, nutzen, online-banking, programm, quarantäne, rechner, software, sperren, stick, tipps, trojaner, trotz, virus, ändern



Ähnliche Themen: Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet


  1. fragwürdigen Link in E-Mail versehentlich geöffnet
    Plagegeister aller Art und deren Bekämpfung - 18.11.2015 (9)
  2. Windows 7: Link in Phishing Mail geöffnet
    Log-Analyse und Auswertung - 03.09.2015 (3)
  3. DHL Mail - Link geöffnet :-(
    Plagegeister aller Art und deren Bekämpfung - 04.06.2015 (3)
  4. DHL Virus Mail - Link geöffnet
    Alles rund um Mac OSX & Linux - 04.06.2015 (3)
  5. DHL E-mail geöffnet und link angeklickt
    Log-Analyse und Auswertung - 08.05.2015 (14)
  6. UPS Phishing Mail geöffnet uns auf Link geklickt
    Log-Analyse und Auswertung - 02.04.2015 (24)
  7. Link geöffnet in DHL Paketnachverfolgung Mail
    Log-Analyse und Auswertung - 31.03.2015 (11)
  8. UPS Mail - Link geöffnet
    Log-Analyse und Auswertung - 11.03.2015 (10)
  9. DHL Mail bekommen und den Link angeklickt / geöffnet :(
    Log-Analyse und Auswertung - 05.03.2015 (13)
  10. Phising Mail Link geöffnet -> nun Trojaner etc?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2015 (7)
  11. E-mail Link geöffnet- Virusmeldung von Avast
    Plagegeister aller Art und deren Bekämpfung - 13.11.2014 (5)
  12. Link in Phishing-Mail wurde geöffnet
    Plagegeister aller Art und deren Bekämpfung - 27.10.2014 (12)
  13. Link in Phishing mail geöffnet
    Log-Analyse und Auswertung - 10.08.2014 (3)
  14. gefakte Telekom-Mail geöffnet
    Plagegeister aller Art und deren Bekämpfung - 26.06.2014 (15)
  15. Frau hat Link in SPAM-Mail geöffnet
    Log-Analyse und Auswertung - 08.06.2014 (5)
  16. Phishing Mail erhalten und Link geöffnet
    Plagegeister aller Art und deren Bekämpfung - 29.05.2014 (9)
  17. versehentlich Link in Pay Pal Phishing Mail geöffnet
    Plagegeister aller Art und deren Bekämpfung - 21.01.2014 (3)

Zum Thema Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet - Hallo an alle, ich Depperl habe vor drei Tagen eine der getürkten DHL-Mails geöffnet und auch auf den Link geklickt. Habe ich mir jetzt den Trojaner geholt? Ich merke erstmal - Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet...
Archiv
Du betrachtest: Mac OSX 10.5.8: Gefakte DHL-Mail mit Link geöffnet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.