Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 30.12.2018, 11:54   #1
sonjane
 
Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise - Standard

Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise



Hallo,

hier einige nützliche Hinweise für die manuelle Entfernung einer Variante des Flashplayer-Fake Trojaners, auch bekannt als "Shlayer" oder "Couponroller" ...

Das Ding firmiert unter der Firmenbezeichnung (aus info.plist von MacOsDefender):
CompanyUpdater
com.company.CompanyUpdater
Copyright 2018 CouponRoller. All rights reserved

ich habe mir kürzlich eine Variante des Flashplayer Trojaners eingefangen.
Über ca. 2 Wochen nach der unachtsamen Installation des Flashplayer-Fakes habe ich gar nicht erkannt, dass ich den hatte.

Doch vor wenigen Tagen kam dann beim Öffnen von Safari plötzlich die Meldung, ob ich dem "MacOsDefender" die Kontrolle über Safari übergeben möchte. Ich war sehr müde und klickte dummerweise auch noch auf "ok" ...

Die Folge war eine ca. 8-Stunden-Sitzung am Rechner, um das Ding wieder komplett zu entfernen. Zur Sicherheit, um festzustellen ob meine Arbeit erfolgreich war, habe ich mir dann noch die Malwarebytes Free-Version installiert - mit positiver Erfolgsmeldung.


HIER NUN MEINE HOFFENTLICH AUSREICHENDE ABER SICHER NOCH ETWAS LÜCKENHAFTE MITSCHRIFT (weiteres siehe Anhang!):

Schlagworte, die mit dieser Infizierung zusammenhängen, nach denen in Systemdateien gesucht werden kann. Als Suchprogramm verwende ich sehr gerne "EasyFind":

Shlayer Trojaner
CouponRoller.com / com.myshopcoupon / com.company
Mac Cleanup Pro
MacOS Defender
ZNS


---
Bei der Entfernung des Trojaners unbedingt alle Netzwerkverbindungen trennen. Dadurch wird verhindert, dass Verbindungen ins Netz und eventuelle Hintertürchen die Entfernung erschweren. Außerdem werden dadurch vergebliche Versuche des Trojaners seine Peer-Webseiten aufzurufen in der Konsole sichtbar, weil keine Internetverbindung existiert.


---
Folgende Webadressen werden sowohl in einigen .plist als auch in verschiedenen Logdateien des Trojaners offengelegt, das bedeutet, dass man den Trojaner auch in der Konsole identiizieren kann, wenn diese Adressen geloggt werden:

www.aww799.com
www.incapable.life
"www.bleed.live",
"www.majority.life",
"www.spite.life",
"www.temptation.live",
"www.violation.life"
hxxp://meyerweb.com
https://ajax.googleapis.com



---
Bevor Dateien nachhaltig gelöscht werden können, müssen die selbstheilenden / selbst nachstartenden Fakeprozesse "MacOsDefender", "Dock" und "Finder" aus dem System entfernt werden, da durch sie alle re-Installationsdateien sofort wieder installiert werden, sollte entweder der MacOsDefender Fakeprozess oder der "Finder" Fake oder der "Dock" Fake beendet werden.

Idealerweise lokalisiert man diese drei Fakeprozesse in der Aktivitätsanzeige (PID aufschreiben) und im Finder, öffnet die Inhalte der jeweiligen Application und manipuliert zuerst die .plist darin in der Art, dass ein Autostart der Prozesse darin ausgeschaltet wird. XCode wird zu dieser Operation empfohlen. Es geht aber auch mit einem normalen Texteditor.

Danach kann man bequem alle drei Prozesse abschießen ohne dass sie sich wieder neu starten und dann die Datei-Derivate des Trojanerpakets entfernen. Details zum jeweiligen Fakeprozess und den Schad-Dateien siehe im Folgenden ...


---
AdvancedMacTuner
unbedingt aus dem System entfernen

siehe "_mcp.plist"
hxxp://cdn.macclean-pro.com/mcp/prefs/rlist.plist
hxxp://maccleanpro.esecureshoppe.com/mcp/plan
hxxp://maccleanpro.esecureshoppe.com/mcp/price
hxxp://cdn.advancedmactuner.com/amc/more/numscrptprdct.html
hxxp://cdn.macclean-pro.com/mcp/prefs
hxxp://cdn.macclean-pro.com/mcp/update/helpermcp.zip

---
MacOSDefender
Das Schadprogramm befindet sich in folgenden Dateien, diese lassen sich aber erst nachhaltig entfernen, wenn man die Fakeprozesse "Dock" und "Finder" eliminiert hat (siehe oben):

/Users/sonja/Library/LaunchAgents/com.company.InstallerAgent.plist
/Users/sonja/Library/Application Support/.dir/MacOSDefender.app/Contents/MacOS/MacOSDefender

Diese Bestandteile also bitte erst löschen, wenn die Fakeprozesse "Dock" und "Finder" zerst lahmgelegt und und dann eliminiert wurden:

Wenn man die Inhalte des Application Pakets im Finder anzeigen lässt, dann kann man in der .plist darin den "MacOsDefender" so manipulieren, dass er sich nicht mehr selbst startet, nachdem er abgeschossen wurde.

--> .plist manipulieren
--> den falschen "MacOsDefender" über die Aktivitätsanzeige herausfinden (PID merken)
--> im Terminal den Task dieser PID abschießen.
--> Fake "MacOsDefender" ist tot.



---
Ein Fake- "Finder" hatte sich installiert und zwar unter folgenden Dateien:
/Users/ich/Library/Application Support/.dir/Finder
/Users/ich/Library/Caches/Finder

Wenn man die Inhalte des Application Pakets im Finder anzeigen lässt, dann kann man in der .plist darin den Finder so manipulieren, dass er sich nicht mehr selbst startet, nachdem er abgeschossen wurde.

--> .plist manipulieren
--> den falschen Finder über die Aktivitätsanzeige herausfinden (PID merken)
--> im Terminal den Task dieser PID abschießen.
--> Fake Finder ist tot.



---
Vorsicht: Doppelter Prozessname "Dock" / Fakeprozess "Dock"
Process Dock 66533 (das war die PID bei mir)!

/Users/ich/Library/Application Support/.wbsb/Dock
/ich/Library/Caches/Dock

Wenn man die Inhalte des Application Pakets im Finder anzeigen lässt, dann kann man in der .plist darin den Finder so manipulieren, dass er sich nicht mehr selbst startet, nachdem er abgeschossen wurde.

--> .plist manipulieren
--> den falschen "Dock" Prozess über die Aktivitätsanzeige herausfinden (PID merken)
--> im Terminal den Task dieser PID abschießen.
--> Fake "Dock" ist tot.



---
Bitte auch suchen nach und entfernen von folgenden Dateien:
pcv
mcp
amc

/Users/ich/Library/Application Support/mcp
auch in diesem Application Paket gibt es wieder eine _mcp.plist, durch die man "mcp" deaktivieren kann.

/Users/ich/Library/Application Support/hlprmcp
/Users/ich/Library/Application Support/hlpramc
/Users/ich/Library/Caches/com.pcv.mcpuninstall

com.org.company.prototype
com.adobe.helper



---
ein "searchinstaller" befindet sich in folgenden Dateien:
Diese sind auch unbedingt aus dem System zu entfernen:

/Users/ich/Library/Caches/com.search.offer
/Users/ich/Library/Caches/searchinstaller
/Users/ich/Library/Caches/com.spherocrystal.heterocycle
/Users/ich/Library/Caches/net.java.openjdk.cmd
/Users/ich/Library/Caches/Oracle.MacJREInstaller

---
Folgende Datei bitte auch unbedingt löschen:

/Users/Sonja/Library/Caches/com.company.InstallerShell


---
Diese Datei auch entfernen:
/Users/ich/Library/Application Support/Passes
installed_offer.json
params.json
quit_installer/Log-<Datum>/28/34/34.txt
Angehängte Grafiken
Dateityp: png Bildschirmfoto 2018-12-26 um 15.59.35.png (105,9 KB, 12x aufgerufen)
Angehängte Dateien
Dateityp: 7z Trojaner Flashplayer.7z (134,6 KB, 6x aufgerufen)

 

Themen zu Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise
anzeigen, autostart, beendet, erkannt, falsche, folge, gelöscht, hängen, ide, installation, internetverbindung, klick, löschen, malwarebytes, netzwerkverbindungen, neu, nicht mehr, opera, rechner, sicherheit, startet, systemdateien, trojaner, unbedingt, öffnet



Ähnliche Themen: Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise


  1. Bikiniland Trojaner erfolgreich entfernt?
    Log-Analyse und Auswertung - 12.02.2015 (9)
  2. Windows 7 & BKA Trojaner 1.18 -> Nur teilweise erfolgreich entfernt
    Plagegeister aller Art und deren Bekämpfung - 03.02.2015 (5)
  3. BKA Trojaner erfolgreich entfernt ! Langsames Hochfahren und Spiel nicht mehr Spielbar!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2012 (0)
  4. GVU erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (5)
  5. Bundespolizei-Trojaner erfolgreich(?) entfernt mit MalwareB. l Echtzeitschutz nicht mehr aktivierbar
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (31)
  6. GVU Trojaner erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (9)
  7. GVU-Trojaner erfolgreich entfernt?! Und jetzt?!
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (2)
  8. Windows Update Trojaner erfolgreich entfernt, viele Dateien sind gesperrt, was nun ?
    Log-Analyse und Auswertung - 16.06.2012 (3)
  9. Bundespolizei Trojaner entfernt - Systembereinigung erfolgreich?
    Log-Analyse und Auswertung - 28.08.2011 (43)
  10. AntiVir meldete verschiedene Trojaner - habe ich sie erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2010 (19)
  11. trojaner, erfolgreich entfernt?
    Log-Analyse und Auswertung - 10.01.2010 (7)
  12. Trojaner erfolgreich entfernt?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2009 (8)
  13. Trojaner und Rootkit erfolgreich entfernt???
    Log-Analyse und Auswertung - 24.03.2009 (0)
  14. Trojaner erfolgreich entfernt (wenn auch sehr mühsam)
    Log-Analyse und Auswertung - 23.01.2006 (2)
  15. Trojaner drop.agent erfolgreich entfernt? Hijack Logfile
    Log-Analyse und Auswertung - 08.05.2005 (7)
  16. Kriege Websearch-variante nicht entfernt!
    Plagegeister aller Art und deren Bekämpfung - 23.05.2004 (2)
  17. Kriege Websearch-variante nicht entfernt!
    Plagegeister aller Art und deren Bekämpfung - 23.05.2004 (1)

Zum Thema Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise - Hallo, hier einige nützliche Hinweise für die manuelle Entfernung einer Variante des Flashplayer-Fake Trojaners, auch bekannt als "Shlayer" oder "Couponroller" ... Das Ding firmiert unter der Firmenbezeichnung (aus info.plist von - Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise...
Archiv
Du betrachtest: Flashplayer Trojaner Variante erfolgreich entfernt - nützliche Hinweise auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.