Mac OS X - File-Anhang aus Fake DHL-Email gestartet - bin ich infiziert? Hallo, ich habe auf einen Link in einer DHL Fake-Email geklickt. Daraufhin wurde folgende Datei heruntergeladen: DHL_Report_4679840701_Mi_April_05_2017.js Ich habe diese Datei mit Doppelklick gestartet. Daraufhin öffnete sich ein Textfenster mit wirren Zeichen. Dies habe ich wieder geschlossen. Dann habe ich die Datei auf einen USB-Stick gezogen und vom Rechner gelöscht. Ebenso habe ich den Rechner sicherheitshalber vom Internet getrennt. Ich habe noch keine weiteren Analyse-Tools genutzt, oder Logs erstellt. Wie kann ich herausfinden, ob ich mir einen Trojaner/ Virus, etc. eingefangen habe? Mein Rechner ist ein Macbook pro mit OS X 10.11.6. Für hilfreiche Hinweise wäre ich sehr dankbar! |
:hallo: Mein Name ist Dante12 und ich versuche dir bei deinem Problem zu helfen so gut ich kann. Bitte arbeite so lange mit, bis ich dir mein Ok gebe. Beachte folgende Punkte damit die Arbeit nicht unnötig erschwert wird.
EtreCheck installieren
Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Code: EtreCheck version: 3.1.5 (343) |
Hi, Sieht OK aus, hast du die Datei noch? - Kannst du diese bitte als Anhang per PN an mich hochladen? |
Hi Dante12, Danke für die Hilfe. Ja, ich habe die Datei noch, weiß aber leider nicht, wie ich diese als Anhang per PN an dich hochladen kann. Im Editor für die PN kann ich keine Anhänge hochladen. Wie geht das? Gruß McFly1 |
Zitat:
|
Ich kann die Datei auswählen, aber wenn ich sie hochladen will, erhalte ich eine Fehlermeldung: "ungültige Datei". Die Datei-Endung ist .js, diese Endung steht nicht in der Liste der erlaubten Dateien. Liegt es daran? |
Ich schicke dir eine PN mit weiteren Instruktionen. Wie ich vermutet habe ist ein Windows-Trojaner: https://virustotal.com/de/file/16193...is/1492032933/ Auf deinem Rechner sollte es nicht funktionieren aber du kannst zur Sicherheit Malwarebytes laufen lassen. MalwareBytes for Mac
Hinweis für macOS 10.8 Die aktuelle Version von Malwarebytes ist nicht mit macOS 10.8 kompatibel. Bitte dafür folgende Version herunterladen: Malwarebytes 1.2.4.xx |
Hi Dante12, Malwarebytes hat nichts gefunden. Hier der System Snapshot. Code: Malwarebytes Anti-Malware 1.2.6.730 system report - 13. April 2017 um 17:49:58 MESZ Code: Malwarebytes Anti-Malware 1.2.6.730 system report - 13. April 2017 um 17:49:58 MESZ |
Sieht gut aus aber.. Zitat:
|
Nein, keine Ahnung. Was kann das sein? |
Kopiere den Inhalt aus der Code-Box in einen Texteditor (z.B. Textedit) und speichere es auf dein Desktop als RDU.sh Code: #!/bin/bash Starte dein Terminal und gebe folgendes ein (kopieren, in das Terminal einfügen und Enter drücken): Code: sh RDU.sh Kopiere den Inhalt des Fensters und füge es hier ein. |
Hi Dante12, könnte das RDUSB... mit einem Roland USB Keyboard zu tun haben? Hatte ich an meinem alten McbookPro installiert und könnte mit dem Backup auf dieses neuen McBookPro übertragen worden sein !? Code: <?xml version="1.0" encoding="UTF-8"?> |
Verwendest du Roland-Hardware z.B. für Musik? Das sind nämlich Treiber von Roland. |
Ja, so ist es! Heisst das, das mein Rechner ansonsten sauber ist? |
:daumenhoch Alles OK - Frohe Ostern und melde dich falls es noch Probleme geben sollte. Die Scripte die ich dir gegeben habe kannst du jetzt löschen, sie werden nicht mehr benötigt. Für das entfernen von Malwarebytes und Etrecheck gehe den Lesestoff durch - Alternativ: AppCleaner verwenden (siehe Lesestoff). Lies dir bitte erst alles durch bevor du etwas entfernst. Du kannst jetzt die EtreCheck.app wieder deinstallieren wenn du es nich mehr nutzen willst.
Code: ~/Library/Application Support Code: ~/Library/Application Support/com.apple.sharedfilelist/com.apple.LSSharedFileList.ApplicationRecentDocuments Code: ~/Library/Caches/ Code: ~/Library/Preferences/ Malwarebytes deinstallieren
Code: ~/Library/Preferences/com.malwarebytes.antimalware.plist Programme löschen mit AppCleaner AppCleaner ist ein Programm das dabei hilft Programme und dessen Dateien / Ordner zu entfernen. Wichtiger Hinweis: Programme können Fehler enthalten das ist bei AppCleaner auch nicht anders. Deshalb vergewissere dich, dass alle vorgeschlagenen (ausgewählten) Einträge zu dem Programm passen. Hier ein Beispiel: <domain>.<Anbieter / Hersteller>.<Programmname>.<Dateibeschreibung> Beispiel hier: net.kovidgoyal.calibre.xxxxx Vergewissere dich das alle Einträge den Hersteller und / oder Programmnamen enthalten. Andere Dateien oder Ordner die nicht übereinstimmen bitte nicht löschen!
http://dante.trojaner-board.de/bilde...escription.jpg
|
Ok, super!! Vielen Dank für die tolle Hilfe! Werde was spenden. Frohe Ostern! McFly1 |
Hallo Zusammen ich habe leider genau das gleiche "Problem". Bis anhin habe ich immer alle Mails erkannt die ich nicht öffnen sollte. Nun habe ich in der eile leider trotzdem eines geöffnet. Sogar meine altre Adresse stimmte, dann habe ich nicht nochmal den Absender genau gecheckt. Ich habe das Word geöffnet und ein Visual Basic Fenster ging auf. Mehr passierte nicht. Kann mir jmd. sagen ob die Datei auch für Mac schädlich ist oder nicht? kann ich die jmd. zeigen/hochladen? Ich habe erst kürzlich ein backup des ganzen systems gemacht, aber bevor ich alles neu installiere und das vielleicht garnix nützt, würde ich gerne die bösartige Datei von jmd. checken lassen. Vielen Dank für eure Antwort. Quer |
:hallo: Mein Name ist Dante12 und ich versuche dir bei deinem Problem zu helfen so gut ich kann. Bitte arbeite so lange mit, bis ich dir mein Ok gebe. Beachte folgende Punkte damit die Arbeit nicht unnötig erschwert wird.
Bitte erstelle ein eigenes Thema. Lade die Datei auf Virustotal hoch und poste den Link in dein neues Thema. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board