Trojaner-Board - Offen Ist mein Mac infiziert? Versteckter Trojaner möglich?

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- -

Ist mein Mac infiziert? Versteckter Trojaner möglich? (https://www.trojaner-board.de/183640-mac-infiziert-versteckter-trojaner-moeglich.html)

Ist mein Mac infiziert? Versteckter Trojaner möglich?

habe mich mal etwas durchgeklickt und paar themen zu meiner frage gelesen. möchte einfach mal mein system durchchecken lassen und wissen ob es infiziert ist oder nicht.. gibt es sonst vll noch möglichkeiten einen hack / trojaner auszuschließen??

hier der log:

Zitat:

EtreCheck version: 3.1.5 (343)
Report generated 2016-12-22 20:18:58
Download EtreCheck from https://etrecheck.com
Runtime 1:52
Performance: Excellent

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: No problem - just checking

Hardware Information: ⓘ
MacBook Pro (Retina, 15-inch, Late 2013)
[Technical Specifications] - [User Guide] - [Warranty & Service]
MacBook Pro - model: MacBookPro11,3
1 2,6 GHz Intel Core i7 (i7-4960HQ) CPU: 4-core
16 GB RAM Not upgradeable
BANK 0/DIMM0
8 GB DDR3 1600 MHz ok
BANK 1/DIMM0
8 GB DDR3 1600 MHz ok
Bluetooth: Good - Handoff/Airdrop2 supported
Wireless: en0: 802.11 a/b/g/n/ac
Battery: Health = Replace Soon - Cycle count = 1350

Video Information: ⓘ
Intel Iris Pro
NVIDIA GeForce GT 750M - VRAM: 2048 MB
Color LCD 2880 x 1800

System Software: ⓘ
macOS Sierra 10.12.2 (16C67) - Time since boot: about 9 hours

Disk Information: ⓘ
APPLE SSD SM0512F disk0 : (500,28 GB) (Solid State - TRIM: Yes)
[Show SMART report]
EFI (disk0s1) <not mounted> : 210 MB
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB
Macintosh HD (disk1) / [Startup]: 499.05 GB (168.36 GB free)
Core Storage: disk0s2 499.42 GB Online

USB Information: ⓘ
Apple Inc. Apple Internal Keyboard / Trackpad
Apple Inc. BRCM20702 Hub
Apple Inc. Bluetooth USB Host Controller
Sony Computer Entertainment Wireless Controller

Thunderbolt Information: ⓘ
Apple Inc. thunderbolt_bus

Configuration files: ⓘ
/etc/sysctl.conf - File exists but not expected
/etc/hosts - Count: 6

Gatekeeper: ⓘ
Mac App Store and identified developers

Kernel Extensions: ⓘ
/Applications/BlockBlock.app
[loaded] com.objectiveSee.kext.BlockBlock (0.9.4 - SDK 10.11 - 2015-12-25) [Support]

/Applications/HMA! Pro VPN.app
[not loaded] com.Privax.AppFirewall (1.0 - SDK 10.10 - 2015-03-13) [Support]

/Applications/Kies.app
[not loaded] com.devguru.driver.SamsungACMControl (1.4.20 - SDK 10.6 - 2014-09-16) [Support]
[not loaded] com.devguru.driver.SamsungACMData (1.4.20 - SDK 10.6 - 2014-09-16) [Support]
[not loaded] com.devguru.driver.SamsungComposite (1.4.20 - SDK 10.6 - 2014-09-16) [Support]
[not loaded] com.devguru.driver.SamsungMTP (1.4.20 - SDK 10.5 - 2014-09-16) [Support]
[not loaded] com.devguru.driver.SamsungSerial (1.4.20 - SDK 10.6 - 2014-09-16) [Support]

/Applications/Private Eye.app
[loaded] com.radiosilenceapp.nke.PrivateEye (1.1 - SDK 10.11 - 2016-10-21) [Support]

/Applications/Radio Silence.app
[loaded] com.radiosilenceapp.nke.filter (2.0 - SDK 10.11 - 2016-12-08) [Support]

/Library/Application Support/Kaspersky Lab/KAV/Bases/Cache
[loaded] com.kaspersky.kext.kimul.46 (46 - 2016-12-22) [Support]
[loaded] com.kaspersky.kext.mark.1.0.6 (1.0.6 - SDK 10.9 - 2016-12-22) [Support]

/Library/Application Support/VirtualBox
[not loaded] org.virtualbox.kext.VBoxDrv (4.3.12 - 2014-10-17) [Support]
[not loaded] org.virtualbox.kext.VBoxNetAdp (4.3.12 - 2014-10-17) [Support]
[not loaded] org.virtualbox.kext.VBoxNetFlt (4.3.12 - 2014-10-17) [Support]
[not loaded] org.virtualbox.kext.VBoxUSB (4.3.12 - 2014-10-17) [Support]

/Library/Extensions
[not loaded] com.bitdefender.TMProtection (5.0.0 - SDK 10.11 - 2016-12-21) [Support]
[loaded] com.kaspersky.kext.klif (3.4.2a30 - 2016-12-21) [Support]
[loaded] com.kaspersky.nke (2.1.0 - 2016-12-21) [Support]
[not loaded] foo.tap (20111101 - 2016-12-21) [Support]
[not loaded] foo.tun (20111101 - 2016-12-21) [Support]

/System/Library/Extensions
[not loaded] au.com.glassechidna.heimdall_usb_shield (6.0 - 2016-12-21) [Support]
[not loaded] com.eltima.SyncMate.kext (0.2.5b15 - 2016-12-21) [Support]

Startup Items: ⓘ
tap: Path: /Library/StartupItems/tap
tun: Path: /Library/StartupItems/tun
Startup items no longer function in OS X Yosemite or later

System Launch Agents: ⓘ
[not loaded] 7 Apple tasks
[loaded] 174 Apple tasks
[running] 99 Apple tasks

System Launch Daemons: ⓘ
[not loaded] 42 Apple tasks
[loaded] 166 Apple tasks
[running] 104 Apple tasks

Launch Agents: ⓘ
[running] com.Monity.Helper.plist (2016-11-24) [Support]
[not loaded] com.adobe.AAM.Updater-1.0.plist (2016-10-06) [Support]
[loaded] com.google.keystone.agent.plist (2016-08-24) [Support]
[running] com.kaspersky.kav.gui.plist (2016-12-22) [Support]
[loaded] com.oracle.java.Java-Updater.plist (2016-12-07) [Support]
[loaded] com.radiosilenceapp.agent.plist (2016-12-08) [Support]
[loaded] org.macosforge.xquartz.startx.plist (2014-08-12) [Support]
[failed] syncmateStarter.plist (2013-12-17) [Support] - /Library/Application Support/EltimaSyncMate/SyncMateServer.app/Contents/MacOS/SyncMateServer: Executable not found!

Launch Daemons: ⓘ
[loaded] com.adobe.SwitchBoard.plist (2013-11-01) [Support]
[running] com.adobe.agsservice.plist (2016-10-05) [Support]
[loaded] com.google.keystone.daemon.plist (2016-09-02) [Support]
[running] com.kaspersky.kav.plist (2016-12-22) [Support]
[loaded] com.malwarebytes.HelperTool.plist (2016-12-03) [Support]
[loaded] com.microsoft.office.licensing.helper.plist (2012-11-05) [Support]
[running] com.objective-see.ransomwhere.plist (2016-05-24) [Support]
[running] com.objectiveSee.blockblock.plist (2016-12-03) [Support]
[loaded] com.oracle.java.Helper-Tool.plist (2016-09-23) [Support]
[loaded] com.radiosilenceapp.nke.PrivateEye.plist (2016-12-10)
[loaded] com.radiosilenceapp.nke.plist (2016-12-10)
[loaded] com.securemac.MacScanDaemon.plist (2016-10-29) [Support]
[loaded] org.macosforge.xquartz.privileged_startx.plist (2014-08-12) [Support]
[not loaded] org.virtualbox.startup.plist (2014-07-07) [Support]
[failed] rapiback.plist (2013-12-17) [Support] - /Library/Application Support/EltimaSyncMate/BackService.app/Contents/MacOS/rapiback: Executable not found!

User Launch Agents: ⓘ
[loaded] com.adobe.AAM.Updater-1.0.plist (2016-05-23) [Support]
[running] com.objectiveSee.blockblock.plist (2016-12-03) [Support]
[running] com.spotify.webhelper.plist (2016-12-22) [Support]
[loaded] com.valvesoftware.steamclean.plist (2016-12-19) [Support]
[not loaded] org.virtualbox.vboxwebsrv.plist (2014-07-07) [Support] - /Applications/VirtualBox.app/Contents/MacOS/vboxwebsrv: Executable not found!
[loaded] uk.co.canimaansoftware.clamxav.UninstallWatcher.plist (2016-12-10)

User Login Items: ⓘ
iTunesHelper Programm (2016-12-14)
(/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
puush Programm
(/Applications/puush.app)
Dropbox Programm
(/Applications/Dropbox.app)
OverSight Helper Programm (2016-10-07)
(/Applications/OverSight.app/Contents/Library/LoginItems/OverSight Helper.app)
HMA! Pro VPN Programm
(/Applications/HMA! Pro VPN.app)

Internet Plug-ins: ⓘ
AdobeAAMDetect: AdobeAAMDetect 1.0.0.0 - SDK 10.6 (2016-05-23) [Support]
FlashPlayer-10.6: 24.0.0.186 - SDK 10.9 (2016-12-13) [Support]
QuickTime Plugin: 7.7.3 (2016-12-14)
Flash Player: 24.0.0.186 - SDK 10.9 (2016-12-13) [Support]
Unity Web Player: UnityPlayer version 5.3.4f1 - SDK 10.6 (2016-04-21) [Support]
o1dbrowserplugin: 5.41.3.0 - SDK 10.8 (2016-07-19) [Support]
SharePointBrowserPlugin: 14.4.3 - SDK 10.6 (2014-08-14) [Support]
googletalkbrowserplugin: 5.41.3.0 - SDK 10.8 (2015-12-11) [Support]
Silverlight: 5.1.41105.0 - SDK 10.6 (2015-12-19) [Support]
MeetingJoinPlugin: Unknown - SDK 10.6 (2014-08-14) [Support]
JavaAppletPlugin: Java 8 Update 111 build 14 (2016-12-22) Check version

Safari Extensions: ⓘ
AdBlock - BetaFish, Inc. - https://getadblock.com (2016-12-22)
Onscreen Keyboard - Kaspersky Lab - hxxp://kaspersky.com (2016-08-31)
Open in Internet Explorer - Parallels - hxxp://www.parallels.com (2014-03-02)
URL Advisor - Kaspersky Lab - hxxp://kaspersky.com (2016-08-31)
Ghostery - GHOSTERY, Inc. - https://www.ghostery.com/ (2016-08-31)

3rd Party Preference Panes: ⓘ
Flash Player (2016-12-11) [Support]
Java (2016-09-23) [Support]
Perian (2011-07-23) [Support]

Time Machine: ⓘ
Time Machine not configured!

Top Processes by CPU: ⓘ
10% (dumpcap)
7% com.apple.WebKit.WebContent(14)
5% kernel_task
5% Safari
3% WindowServer

Top Processes by Memory: ⓘ
4.34 GB com.apple.WebKit.WebContent(14)
2.21 GB Safari
1.48 GB kernel_task
475 MB Finder
360 MB WindowServer

Virtual Memory Information: ⓘ
2.77 GB Available RAM
64 MB Free RAM
13.23 GB Used RAM
2.71 GB Cached files
0 B Swap Used

Diagnostics Information: ⓘ
Dec 22, 2016, 10:24:21 AM Self test - passed
Dec 22, 2016, 01:46:39 AM ~/Library/Logs/DiagnosticReports/MonityExtension_2016-12-22-014639_[redacted].crash
com.Monity.Widget - /Applications/Monity.app/Contents/PlugIns/MonityExtension.appex/Contents/MacOS/MonityExtension
Dec 21, 2016, 12:24:22 PM /Library/Logs/DiagnosticReports/kav_2016-12-21-122422_[redacted].crash
/Library/Application Support/Kaspersky Lab/*/kav
Dec 21, 2016, 12:21:26 PM /Library/Logs/DiagnosticReports/kav_2016-12-21-122126_[redacted].crash
Dec 21, 2016, 10:56:56 AM ~/Library/Logs/DiagnosticReports/MonityExtension_2016-12-21-105656_[redacted].crash
Dec 21, 2016, 10:07:53 AM /Library/Logs/DiagnosticReports/kav_2016-12-21-100753_[redacted].crash
Dec 20, 2016, 01:25:17 PM /Library/Logs/DiagnosticReports/Spotify_2016-12-20-132517_[redacted].cpu_resource.diag [Details]
/Applications/Spotify.app/Contents/MacOS/Spotify
Dec 20, 2016, 12:53:56 PM ~/Library/Logs/DiagnosticReports/MonityExtension_2016-12-20-125356_[redacted].crash
Dec 20, 2016, 12:47:09 PM /Library/Logs/DiagnosticReports/Dropbox_2016-12-20-124709_[redacted].cpu_resource.diag [Details]
/Applications/Dropbox.app/Contents/MacOS/Dropbox
Dec 20, 2016, 02:02:54 AM /Library/Logs/DiagnosticReports/com.apple.WebKit.WebContent_2016-12-20-020254_[redacted].cpu_resource.diag [Details]
/System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent

kenne mich mit der ganzen thematik nicht wirklich aus, habe zwar immer kaspersky genutzt aber es könnte sein, dass ich infizierte emails erhalten habe (evtl zip oder auch bilderdateien) würde mich riesig freuen wenn mir jemand unterstützung bei diesem thema geben könnte. über tipps und weiteres bin ich euch dankbar.

Hallo @s4ftyfirst :hallo:

Nichts ungewöhnliches gefunden aber....

Zitat:

gibt es sonst vll noch möglichkeiten einen hack / trojaner auszuschließen??

Zitat:

BlockBlock
Private Eye
kaspersky
ransomwhere
bitdefender
heimdall_usb_shield
MacScan
clamxav

Kannst du mit der Anzahl an Sicherheitssoftware überhaupt noch vernünftig arbeiten? :eek:

danke für die superschnelle antwort :D alles außer kaspersky, blockblock und privateeye ist nicht in verwendung. kaspersky muss ich so schnell wie möglich die lizenz erneuern aber bringen anti viren programme überhaupt noch etwas? könnte jemand der mir einen trojaner unterjubeln will nicht einen programmieren lassen? wie kann man sichergehen, dass man zu 100% sicher unterwegs ist? ehrlich gesaagt habe ich bei privateeye gar keinen richtigen überblick

Da sind noch Reste die geladen werden...

Zitat:

uk.co.canimaansoftware.clamxav.UninstallWatcher.plist
com.securemac.MacScanDaemon.plist
com.objective-see.ransomwhere.plist

Ich würde Kaspersky runterschmeissen. Für den Mac brauchst du das nicht wirklich.

Hier wird oft von den bösen Trojanern gesprochen da selten ein Unterschied gemacht wird. Rootkits sind viel gefährlicher und meisten werden diese nur unter erheblichem Aufwand entdeckt. Ein Trojaner wird meistens mit legitimer Software oder Software die eine bestimmte Funktion erfüllen soll aber es tatsächlich nicht tut, verbreitet.

Ein Rootkit ändert (überschreibt) Systemprozesse d.h. es ersetzt diese durch eigene und versucht durch verschiedene Mechanismen die eigenen Prozesse von dem System zu verbergen. Was bei Windows gut funktioniert ist bei Mac / Unix - Systemen theoretisch auch machbar aber wesentlich schwieriger zu bewerkstelligen.

EDIT: Monity stürzt regelmässig ab könnte mit der oben genannten installierten Software zu tun haben

was kann man denn sonst noch alles überprüfen? ports? oder sonst noch was? vielen dank auf jeden falll für die superschnelle rückmeldung =))

Zitat:

Zitat von s4ftyfirst (Beitrag 1630558)

was kann man denn sonst noch alles überprüfen? ports? oder sonst noch was? vielen dank auf jeden falll für die superschnelle rückmeldung =))

Es reicht eigentlich völlig aus die Aktivitätsanzeige und die Konsole zu studieren. Unbekanntes kannst du ja erforschen. Das dauert natürlich eine Weile aber im laufe der Zeit erlangst du ein Auge dafür was da sein muss und was nicht dort hingehört.

da sind zurzeit meega viele prozesse ich glaub nicht das ich da nen überblick haben werde was da hingehört und nicht... gibt es für so etwas nicht tools?

Sicher gibt es tools dafür aber ich weiss nicht ob es hilfreich für dich ist wenn du erst am Anfang (also Anfänger) in diesen Dingen stehst. Das würde dich nur noch mehr verunsichern und noch mehr fragen aufwerfen.
Allein das System startet über 100 Prozesse!

Ich mache das ja schon eine ganze Zeit und glaub mir, zu Beginn habe ich mehrere Stunden am Tag nur mit Lesen und probieren verbracht.

würde es gerne einmal gründlich durchschauen aber wenn du sagst dass man dafür etwas training braucht und das richtig studieren muss dann weiß ich nicht so ganz.. gibts nix wie malwarebytes oderkav um das system noch auf anderen dinge zu prüfen und checken zu lassne?

Malwarebytes und Etrecheck reichen vollkommen aus um das System zu prüfen.
Little Snitch und HandsOff eignen sich gut um den ausgehende Netzwerkverkehr zu Überwachen (hier ist Wissen Pflicht!)
Keine Sicherheitssoftware ist in der Lage Backdoors vollständig zu unterbinden.
Du hast bereits Schutz durch Gatekeeper, XProtect und Sandox
Lade dir Software vom Apple Store oder direkt vom Hersteller (keine Downloadportale!)
Keine Links von unbekannten Mails anklicken.
Wirst du auf Seiten weitergeleitet wo das was eingeben musst, sei dir Sicher das es so gewollt war. Also nicht auf Seiten von fremden Links etwas eingeben.
Unbekannte Mails mit Anhang ungelesen löschen.

Das sind die grundsätzlichen Dinge die man beachten sollte, sie geben dir ausreichend Schutz.

großes dankeshcön für die sicherheitstipps. ich hatte mir nur mal gedacht was ist wenn ein freund oder jemand anderes dem man vertraut versucht das system zu infizieren. in diesem falle muss ich ja auch das system sehr gründlich auf alles prüfen könen.

Wenn du jemandem Zugriff auf deinem Rechner gibst und dieser missbraucht dein Vertrauen, kannst du eine Infizierung (je nach schweregrad), nicht verhindern. Die Bedingungen die ich dir oben gegeben habe reichen aber aus das dein System das erkennt (Voraussetzung natürlich das es nicht völlig unbekannt ist).

Dein Admin-Passwort solltest du aber keinem geben. Das ist quasi die letzte Hürde bei einem Unix um root-Rechte zu erlangen. Ohne das ist allerhöchstens dein Benutzerkonto betroffen.

zugriff auf den rechner gewähre ich nicht vielen. könnte man meinen mac denn nicht durch mail anhänge (jpg / pdf) infizieren??

Eher unwahrscheinlich. Natürlich ist alles machbar aber letztendlich sitzt die Schwachstelle meistens bei derartigen Infektionen direkt vor dem Rechner (nicht böse sein). Man sollte immer aufmerksam sein (gerade bei Mails) ob man den Absender kennt oder nicht (letzter Punkt bei meinem vorherigen Beitrag).

Zitat:

könnte man meinen mac denn nicht durch mail anhänge (jpg / pdf) infizieren??

Es hängt vom System ab, das macOS ist ein Unix-Hyrid das auf die Sicherheitsmechanismen eines Unix-Systems greift. Hier sind die Anforderung Zugriff mit Root-Rechte zu erlangen wesentlich höher als z.B. bei Windows (es lässt sich schwieriger austricksen). Viele Daten sind direkt einsehbar und basieren nicht auf proprietäre Lösungen wie es z.B bei Windows der Fall ist.

Ich habe bisher noch keine Infektion über Mails gesehen die ohne die Handlung des Nutzers erfolg hatte. Du musst nur Aufmerksam sein wenn eine Anwendung (natürlich Unbekannt) dein Passwort für die Installation erfordert - das ist dann aber auch der kritische Punkt wo eine unbekannte Software Root-Rechte erlangen kann. Alles andere sind Infektionen auf User-Ebene und sind meisten lösbar.

Nicht die beste Quelle aber gibt einen kleinen Eindruck wie die macOS Sicherheitsmechanismen funktionieren.

Virus und Malware am Mac: Automatisch schützen

macOS Sicherheit integriert - Apple Support

Zitat:

Zitat von Dante12 (Beitrag 1631302)

Hier sind die Anforderung Zugriff mit Root-Rechte zu erlangen wesentlich höher als z.B. bei Windows

dante, du reitest aber gerne auf root Rechte herum :p
Der aktuelle Trend geht zu zu Krpyto-Trojanern und da werden keine vollen Rechte benötigt. Die braucht der Schädling (unter Windows) nur, wenn er Schattenkopien löschen und den Bootloader manipulieren will.