Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)
-   -   MacOS:Spynion-H gefunden in /Users/MeinUserName/Library/Caches/com.pwkfw.ee/... (https://www.trojaner-board.de/169752-macos-spynion-h-gefunden-users-meinusername-library-caches-com-pwkfw-ee.html)

privatekey 15.08.2015 02:36
MacOS:Spynion-H gefunden in /Users/MeinUserName/Library/Caches/com.pwkfw.ee/...
 
Hallo,


habe heute mal spaßeshalber einen Avast! Scan auf meinem Mac durchlaufen lassen und dabei diesen Trojaner entdeckt. In Avast! habe ich ihn schon entfernen lassen, was soll ich als nächstes machen?


Gruß

Dante12 15.08.2015 07:48
:hallo:

Ausser den Fund in den Caches nichts weiter gefunden? Kannst du mir vielleicht den Fund in einer Zip-Datei zusenden?

1. Deaktiviere Avast vollständig
2. Lade dir bitte Mac Malwarebytes herunter.
3. Öffne das DMG und verschiebe die App auf dein Desktop oder Programm-Ordner.
4. Starten und klicke auf Scan for Adware. Funde werden automatisch in den Papierkorb verschoben. Neustart wenn verlangt wird.
5. Öffne bitte das Menu Scanner von Malwarebytes und wähle Take System Snapshot.
6. Kopiere den Inhalt und füge es hier in Code-Tags ein.


Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://dante.trojaner-board.de/bilder/code-tags.png

privatekey 15.08.2015 11:16
Nichts gefunden..

Code:
Malwarebytes Anti-Malware for Mac 1.0.2.8 system report - Samstag, 15. August 2015 @ 12:15:42
Mac OS X version 10.10.4
12:15  up  8:52, 1 user, load averages: 1.11 1.07 1.18

Safari extensions
---------------
None

Chrome extensions
---------------
/Library/Application Support/Google/Chrome/External Extensions/gomekmidlodglbbmalcneegieacbdmki.json
    Name: [Unknown error extracting extension in CChromeExtension.GetNameFromCRX]
    Modified: Sonntag, 12. Juli 2015 @ 10:50:01

Firefox extensions
---------------
/Users/Alexander/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/wrc@avast.com
    Name: Avast Online Security
    Modified: Sonntag, 12. Juli 2015 @ 10:50:59

Login items
---------------
iTunesHelper, Google Chrome, CrossOver CD Helper, AirDroid

Startup items
---------------
total 0
drwxr-xr-x  4 root  wheel  136 Aug 13 22:51 TuxeraNTFSUnmountHelper

System startup items
---------------
None

User launch agents
---------------
total 32
-rw-r--r--  1 Alexander  staff  486 Jul 12 10:50 com.avast.home.userinit.plist
-rw-r--r--@ 1 Alexander  staff  806 Aug  5 21:09 com.google.keystone.agent.plist
-rw-r--r--  1 Alexander  staff  520 Aug 15 03:45 com.objectiveSee.blockblock.plist
-rw-r--r--@ 1 Alexander  staff  677 Aug 13 20:49 org.virtualbox.vboxwebsrv.plist

System launch agents
---------------
total 48
-rwxr-xr-x  1 Alexander  staff  230 Jul 15  2011 cn.com.zte.usbswapper.plist
-rw-r--r--  1 root      wheel  670 Jul 12 10:50 com.avast.secureline.update-agent.plist
-rw-r--r--  1 root      wheel  638 Jul 12 10:50 com.avast.update-agent.plist
-rw-r--r--  1 root      wheel  436 Jul 12 10:50 com.avast.userinit.plist
-rw-r--r--  1 root      wheel  668 Mar  2 14:11 com.teamviewer.teamviewer.plist
-rw-r--r--  1 root      wheel  779 Mar  2 14:11 com.teamviewer.teamviewer_desktop.plist

System launch daemons
---------------
total 64
-rwxr-xr-x  1 Alexander  staff  428 Oct 22  2010 cn.com.zte.PPPMonitor.plist
-rw-r--r--  1 root      wheel  571 Jul 12 10:50 com.avast.init.plist
-rw-r--r--  1 root      wheel  685 Jul 12 10:50 com.avast.uninstall.plist
-rw-r--r--  1 root      wheel  694 Jul 12 10:50 com.avast.update.plist
-rw-r--r--  1 root      wheel  479 Aug 15 03:45 com.objectiveSee.blockblock.plist
-rw-r--r--  1 root      wheel  564 Mar  2 14:11 com.teamviewer.Helper.plist
-rw-r--r--  1 root      wheel  611 Mar  2 14:11 com.teamviewer.teamviewer_service.plist
lrwxr-xr-x  1 root      wheel  76 Aug 13 20:48 org.virtualbox.startup.plist -> ../Application Support/VirtualBox/LaunchDaemons/org.virtualbox.startup.plist

Third-party kernel extensions
---------------
org.virtualbox.kext.VBoxDrv (5.0.0) <7 5 4 3 1>
org.virtualbox.kext.VBoxUSB (5.0.0) <134 87 40 7 5 4 3 1>
org.virtualbox.kext.VBoxNetFlt (5.0.0) <134 7 5 4 3 1>
org.virtualbox.kext.VBoxNetAdp (5.0.0) <134 5 4 1>
com.avast.PacketForwarder (2.0) <4 1>
com.avast.AvastFileShield (2.1.0) <5 4 1>
com.sophos.kext.sav (9.2.50) <5 4 1>
com.sophos.nke.swi (9.2.50) <4 3 1>
com.tuxera.filesystems.tufsfs.fusefs_txantfs (2013.3.14) <7 5 4 3 1>

launchd.conf contents
---------------
None

DNS settings
---------------
Server:                192.168.0.1

Hosts file
---------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting.  Do not change this entry.
##
127.0.0.1        localhost
255.255.255.255        broadcasthost
::1            localhost

Scan log
---------------
2015-08-15 12:14:34: ----- Scan Started -----
2015-08-15 12:14:34: Scanning with signatures version 9
2015-08-15 12:14:49: No malware found
2015-08-15 12:14:49: ----- Scan Ended -----
https://www.virustotal.com/de/file/fc8549332744e880c4441936d890a6f98c459d686731f8ed3412cbcc011a47dc/analysis/

Dante12 15.08.2015 12:01
Schritt 1

Avast deinstallieren

Folge bitte dieser Anleitung um Avast zu deinstallieren. Auf der Seite klicke bitte auf Weiterlesen...

Sophos deinstallieren

Folge bitte dieser Anleitung um Sophos zu deinstallieren

EtreCheck Log

1. Lade dir bitte EtreCheck herunter, entpacken und ausführen.
2. Klicke auf den Button Copy Report to Clipboard und füge es hier in Code-Tags ein.

privatekey 16.08.2015 05:50
Code:
EtreCheck version: 2.4.1 (137)
Report generated 8/16/15, 6:46 AM
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.

Hardware Information: (What does this mean?)
    MacBook Air (13-inch, Early 2015) (Technical Specifications)
    MacBook Air - model: MacBookAir7,2
    1 1.6 GHz Intel Core i5 CPU: 2-core
    4 GB RAM Not upgradeable
        BANK 0/DIMM0
            2 GB DDR3 1600 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1600 MHz ok
    Bluetooth: Old - Handoff/Airdrop2 not supported
    Wireless:  en0: 802.11 a/b/g/n/ac
    Battery: Health = Normal - Cycle count = 43 - SN = D8650651JEBF90KAE

Video Information: (What does this mean?)
    Intel HD Graphics 6000
        Color LCD 1440 x 900

System Software: (What does this mean?)
    OS X 10.10.4 (14E46) - Time since boot: about one day

Disk Information: (What does this mean?)
    APPLE SSD SM0128G disk0 : (121,33 GB) (Solid State - TRIM: Yes)
        EFI (disk0s1) <not mounted> : 210 MB
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB
        Macintosh HD (disk1) / : 120.12 GB (80.08 GB free)
            Encrypted AES-XTS Unlocked
            Core Storage: disk0s2 120.47 GB Online

USB Information: (What does this mean?)
    Apple Internal Memory Card Reader
    Apple Inc. BRCM20702 Hub
        Apple Inc. Bluetooth USB Host Controller

Thunderbolt Information: (What does this mean?)
    Apple Inc. thunderbolt_bus

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Kernel Extensions: (What does this mean?)
        /Applications/Viscosity.app
    [loaded]    com.viscosityvpn.Viscosity.tap (1.0) [Click for support]
    [loaded]    com.viscosityvpn.Viscosity.tun (1.0) [Click for support]

        /Library/Application Support/VirtualBox
    [loaded]    org.virtualbox.kext.VBoxDrv (5.0.0) [Click for support]
    [loaded]    org.virtualbox.kext.VBoxNetAdp (5.0.0) [Click for support]
    [loaded]    org.virtualbox.kext.VBoxNetFlt (5.0.0) [Click for support]
    [loaded]    org.virtualbox.kext.VBoxUSB (5.0.0) [Click for support]

        /System/Library/Extensions
    [not loaded]    com.ZTE.driver.ZTEUSBCDCACMData (1.3.25) [Click for support]
    [not loaded]    com.ZTE.driver.ZTEUSBMassStorageFilter (1.3.25) [Click for support]

Startup Items: (What does this mean?)
    TuxeraNTFSUnmountHelper: Path: /Library/StartupItems/TuxeraNTFSUnmountHelper
    Startup items are obsolete in OS X Yosemite

Launch Agents: (What does this mean?)
    [not loaded]    cn.com.zte.usbswapper.plist [Click for support]
    [failed]    com.avast.secureline.update-agent.plist [Click for support]
    [not loaded]    com.teamviewer.teamviewer.plist [Click for support]
    [not loaded]    com.teamviewer.teamviewer_desktop.plist [Click for support]

Launch Daemons: (What does this mean?)
    [not loaded]    cn.com.zte.PPPMonitor.plist [Click for support]
    [running]    com.objectiveSee.blockblock.plist [Click for support]
    [running]    com.sparklabs.ViscosityHelper.plist [Click for support]
    [loaded]    com.teamviewer.Helper.plist [Click for support]
    [not loaded]    com.teamviewer.teamviewer_service.plist [Click for support]
    [loaded]    net.tunnelblick.tunnelblick.tunnelblickd.plist [Click for support]
    [not loaded]    org.virtualbox.startup.plist [Click for support]

User Launch Agents: (What does this mean?)
    [loaded]    com.google.keystone.agent.plist [Click for support]
    [running]    com.objectiveSee.blockblock.plist [Click for support]
    [not loaded]    net.tunnelblick.tunnelblick.LaunchAtLogin.plist [Click for support]
    [not loaded]    org.virtualbox.vboxwebsrv.plist [Click for support]

User Login Items: (What does this mean?)
    iTunesHelper    Programm  (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
    Google Chrome    Programm Hidden (/Applications/Google Chrome.app)
    CrossOver CD Helper    UNKNOWN  (missing value)
    AirDroid    UNKNOWN  (missing value)

Internet Plug-ins: (What does this mean?)
    Default Browser: Version: 600 - SDK 10.10
    QuickTime Plugin: Version: 7.7.3
    JavaAppletPlugin: Version: 15.0.0 - SDK 10.10 Check version

3rd Party Preference Panes: (What does this mean?)
    Tuxera NTFS  [Click for support]

Time Machine: (What does this mean?)
    Time Machine not configured!

Top Processes by CPU: (What does this mean?)
        10%    WindowServer
        9%    ps
        8%    Google Chrome Helper(8)
        4%    Finder
        3%    Google Chrome

Top Processes by Memory: (What does this mean?)
    726 MB    kernel_task
    627 MB    Google Chrome Helper(8)
    160 MB    Google Chrome
    90 MB    mds_stores
    90 MB    mdworker(8)

Virtual Memory Information: (What does this mean?)
    636 MB    Free RAM
    3.38 GB    Used RAM (802 MB Cached)
    246 MB    Swap Used

Diagnostics Information: (What does this mean?)
    Aug 15, 2015, 04:40:26 AM    /Library/Logs/DiagnosticReports/SophosAVAgent_2015-08-15-044026_[redacted].crash
    Aug 15, 2015, 03:23:17 AM    Self test - passed
    Aug 15, 2015, 02:34:51 AM    /Library/Logs/DiagnosticReports/com.apple.AmbientDisplayAgent_2015-08-15-023451_[redacted].crash
    Aug 14, 2015, 07:43:47 PM    ~/Library/Logs/DiagnosticReports/1&1 Surf-Stick_2015-08-14-194347_[redacted].crash
    Aug 13, 2015, 09:29:48 PM    /Library/Logs/DiagnosticReports/Spotlight_2015-08-13-212948_[redacted].cpu_resource.diag [Click for details]
    Aug 13, 2015, 09:27:38 PM    /Library/Logs/DiagnosticReports/Kernel_2015-08-13-212738_[redacted].panic [Click for details]

Dante12 16.08.2015 09:13
Schritt 2

1. Klicke auf deinen Finder Desktop und führe die Tastenkombination CMD+SHIFT+G ein. Füge folgenden Inhalt ein und drücke Enter.
Code:
/Library/LaunchAgents
2. Falls vorhanden lösche den Eintrag com.avast.secureline.update-agent.plist. Gib dein Passwort ein falls verlangt.

Schritt 3

Hinweis: RAM Upgrade. 4 GB sind auch heutiger Sicht zu wenig um vernünftig arbeiten zu können. Du solltest wenn möglich, Aufrüsten.

System Updaten! Das Yosemite Update 10.10.5 behebt einige Sicherheitslücken insbesondere die Lücke mit der man die Sudoers Datei manipulieren kann siehe hier: https://www.sektioneins.de/blog/15-0..._file_lpe.html

Öffne dein AppStore und klicke auf Updates um dein System auf den neusten Stand zu bringen.

So das war's falls noch Fragen sind her damit ansonsten sind wir hier fertig.

Benutzte Programme entfernen

Wenn du die Programme die wir bei der Analyse verwendet haben entfernen möchtest, dann folge den Anleitungen der entsprechenden Tools.


EtreCheck entfernen
  1. Verschiebe die App aus dem Programm-Ordner in den Papierkorb
  2. Lösche die markierten Ordner / Dateien in den folgenden Verzeichnissen. Kopiere den Pfad aus der Code-Box und setzte es in Spotlight ein. Drücke Enter um es zu öffnen.
  3. Code:
    ~/Library/Caches/
  4. Lösche com.etresoft.EtreCheck
  5. Code:
    ~/Library/Preferences/
  6. Lösche com.etresoft.EtreCheck.plist



MalwareBytes entfernen
  1. Öffne dein Progammordner und verschiebe Malwarebytes Anti-Malware in den Papierkorb
  2. Öffne Spotlight (CMD + Space) und kopiere die nachfolgenden Verzeichnisspfade einzeln hinein. Drücke Enter um es zu öffnen.
  3. Code:
    ~/Library/Caches/
  4. Lösche: com.malwarebytes.antimalware
  5. Code:
    ~/Library/Application Support/
  6. Lösche die Ordner Malwarebytes Anti-Malware und com.malwarebytes.antimalware
  7. Code:
    ~/Library/Preferences
  8. Lösche com.malwarebytes.antimalware.plist



CLEAN & TIPPS
  1. Halte dein System und deine Anwendungen immer auf den neusten Stand. Schalte im AppStore bei deinen Systemeinstellungen die automatischen Updates und alle Unterpunkte ein. Automatische Updates bei gekaufte Apps ist deine persönliche Wahl.
  2. Java und Flash bei Benutzung immer aktuell halten
  3. Startobjekte solltest du möglichst vermeiden. Geringer Speicherverbrauch und reibungsloses arbeiten mit verschiedenen Anwendungen.
  4. Installiere niemals Software die du im Netz findest aus Downloadportalen. Sie sind einer der Gründe für Malware auf den Mac.
  5. Software immer direkt beim Anbieter oder vom App Store laden.
  6. AV Software wird auf den Mac für gewöhnlich nicht benötigt siehe hier XProtect und Gatekeeper und How does Mac OS X Protect me?
  7. Benötigst du ein AV dann schau mal nach Sophos Oder Eset Cybersecurity.
  8. Lasse niemals einem AV-Programm deine TIME-MACHINE backups scannen. Wird da etwas gelöscht ist ein zurückspielen fast nicht mehr möglich. Alle Lösch-Operationen führst du direkt von Time-Machine aus! Setze also die komplette Time-Machine-Festplatte (auch andere Backup-Medien) zu den Ausnahmen eines AV. Lese hier Wenn die Kapazitätsgrenze des Backup-Volume erreicht ist
  9. Bedenke das kostenlose Software oft mit Malware (Adware) mitgeliefert wird (z.B. Toolbars usf.)
  10. Meide möglichst Bereinigungstools das gilt auch für Windows
  11. Nutze Virustotal bei unbekannten tools oder wenn du dir unsicher bist.
  12. Lege dir eine Backup-Strategie zurecht mit der du einfach und schnell deine Daten sicherst. ChronoSync, Carbon Copy Cloner und Super Duper sind nur einige Beispiele.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131