|
CBL listet meinen Mac (OS X, Version 10.6.8) als mit Neuvret-Trojaner infiziert - was tun? Das Macbook hat 7 Jahre auf dem Buckel. Die Festplatte wurde vor 3 Monaten erneuert. Das Macbook verursacht bisher keinerlei Probleme. Dass wir einen Virus haben, hat mir ein Freund mitgeteilt, der zu Besuch war und unser Internet (Air Port) für mehre Tage intensiv (Gamer!) genutzt hat. Als er auf den Servercluster zugreifen wollte, wurde ihm Aufgrund der IP den Zugang verweigerte, Grund: Versand von Malware von der IP aus. Die Meldung von CBL hänge ich unten an. Was macht ein Microsoftvirus auf dem Mac? Ich werde jetzt das Betriebssystem auf 10.7 Lion erneuern. Für 10.6.8 scheint es mir keine Optionen auf irgendwas zu geben. Ich habe auch versucht, die Schritte von Cheklist durchzuführen. Aber der mac erkennt die Programme nicht und will sie nur mit Textprogrammen öffnen??? Auch er Norton Power Eraser, den ich installiert habe, wird nicht als Programm erkannt. Bin selbst Computerdepp und nutze den Rechner als Musik- und Bildarchiv und für Internet-Recherche. Daher gibt's auch fast keine Downloads auf dem Rechner, aber sehr viele Dateien, die ich nicht verlieren möchte (gibt aber ein Backup auf ner externen Festplatte). Was tun??? Hier der CBL Vermerk: IP Address 178.115.129.254 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet. It was last detected at 2015-10-17 07:00 GMT (+/- 30 minutes), approximately 9 days, 3 hours, 59 minutes ago. This IP address is infected with, or is NATting for a machine infected with the Neurevt trojan. Neurevt is a malicious software (malware) used by cybercriminals to steal sensitive personal data, such as credentials (username, password) for online services (email, webmail, etc.). The infection was detected by observing this IP address attempting to make contact to a Neurevt Command and Control server (C&C), a central server used by the criminals to control with Neurevt infected computers (bots). More information about Neurevt can be found here (Microsoft). This was detected by a TCP/IP connection from 178.115.129.254 on port 39000 going to IP address 173.193.197.194 (thesinkhole) on port 80. The botnet command and control domain for this connection was "bloop.xyz". Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address 173.193.197.194 or host name bloop.xyz on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to 173.193.197.194 or bloop.xyz. See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25. This detection corresponds to a connection at 2015-10-17 06:40:05 (GMT - this timestamp is believed accurate to within one second). These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer. You will need to find and eradicate the infection before delisting the IP address. Norton Power Eraser is a free tool and doesn't require installation. It just needs to be downloaded and run. One of our team has tested the tool with Zeus, Ice-X, Citadel, ZeroAccess and Cutwail. It was able to detect and clean up the system in each case. It probably works with many other infections. We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall the sinkhole addresses, your IPs will remain infected, and they will STILL be delivering your users/customers personal information, including banking information to the criminal bot operators. If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it. We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available. Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent. This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working. The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives.NOTE: the Advanced Techniques link focuses on finding port 25(SMTP) traffic. With "sinkhole malware" detections such as this listing, we aren't detecting port 25 traffic, we're detecting traffic on other ports. Therefore, when reading Advanced Techniques, you will need to consider all ports, not just SMTP. Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total. Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected. While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources. |
Zitat:
Siehe Erläuterungen unten.... Dieser Trojaner ist nur auf Windows aktiv. Dein Mac hat damit nichts zu tun. Die IP ist eine Pool Adresse aus drei.com https://db-ip.com/all/178.115.129. Du kannst selbst prüfen welche IP dein Rechner hat: myip.is Das kommt vor das ein ganzer Adressraum gesperrt wird. Du musst glaubhaft widerlegen das die Funde die gemacht wurden nicht von deinem System aus gehen. Ändere dein Wireless Kennwort und denn Zugang zu deinem Router. Zitat:
|
Der Fairness halber möchte ich an dieser Stelle erwähnen, dass ich seinen Thread hierher verschoben hab - weil im Thread Mac OS X thematisiert wird. :kaffee: |
Danke für den Hinweis Cosinus :) |
Cool! Danke für die Hilfe!!!! Das ist schon mal total beruhigend. Ich ändere jetzt das Kennwort und den Zugang zum Router. Und dann versuch ich das mit dem "glaubhaft widerlegen" ... auch wenn ich noch nicht weiß, wie und bei wem. PS: Kein PC vorhanden.Ees gibt nur den Mac. Zitat:
|
Zitat:
Um vorsorglich zu sehen ob an deinem Rechner was sein könnte, kannst du ja mal ein Log nach folgender Anleitung erstellen: EtreCheck Log
 Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Code: EtreCheck version: 2.6.1 (221) |
Scheint alles in Ordnung zu sein, dein Speicher solltest du mal aufrüsten denn hier wird sehr viel auf die Festplatte "abgelegt" weil der Speicher nicht ausreicht. |
Danke dante!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:16 Uhr. |
Copyright ©2000-2024, Trojaner-Board