iMac von trojaner befallen

[0nik]

moin!
ich bin leider komplett unbedarft, was den umgang mit viren / trojaner bei meinem mac anbelangt. bin selbstständig und benutze den mac dementsprechend auch für meinen job etc, bin aber eine absolute Technik & software niete...dementsprechend wundert euch bitte nicht allzu sehr über meine Dummheit...

habe vor tagen eine mail von DHL paket von der adresse paket@dhl.de erhalten. da ich zu der zeit auf zwei wichtige sendungen gewartet habe, habe ich auf den link zur sendungsverfolgung geklickt. erst als sich daraus nichts ergab, hat mich der verdacht beschlichen, dass es sich dabei um einen Virus/trojaner handeln könnte.
seitdem spinnt safari teilweise, hängt sich bei bestimmten seiten auf, avira und clamXav laufen beide nicht mehr durch...
bin bis dato nicht wirklich auf sachdienliche hinweise gestoßen wie ich mit dem thema umgehen kann und wie ich den scheiss wieder los werde und wollte mich deshalb an euch wenden, in der Hoffnung, dass ich hier hilfe dazu finde - bin wie gesagt komplett unbedarft auf dem gebiet!
es handelt sich dabei um einen iMac 21,5 von ende 2012 2,7ghz intel core i5
software is OS X 10.9.3 (13D65)

hoffe ihr könnt mir weiterhelfen

 

[rembremerdinger]

Safari zurücksetzen schon probiert?

 

[0nik]

hab safari komplett zurückgesetzt, cookies etc. gelöscht!

 

[rembremerdinger]

Yupp

 

[0nik]

also das zurücksetzen etc. hat nichts gebracht. vllt noch als info, die angehängte datei in der mail lautet: <smime 00000569.p7s.zip>

 

[oneOeight]

ist die email zufällig signiert?
meine DHL verschickt die jetzt signiert, damit man auch sieht, dass es von DHL ist…
mail sollte dann oben im header auch einen grünen OK haken anzeigen…

 

[0nik]

so sieht der komplette text der mail aus. kein grüner haken im header, alles lediglich eingerahmt von den DHL Bannern und wie gesagt von der mailadresse Paket@dhl.de


Betreff: Ihr DHL Paket 00208485635842578401 wird in eine Filiale geliefert

Sehr geehrte Kundin, sehr geehrter Kunde, leider konnten wir Ihnen Ihr DHL Paket mit der Sendungsnummer 00972866543721600814 nicht übergeben. Ihre Sendung wird in einer Ausgabestelle (Filiale / Agentur) zur Abholung hinterlegt. Nähere Informationen dazu entnehmen Sie bitte der Benachrichtigungskarte. Weitere Informationen über den Sendungsstatus stehen Ihnen durch die direkte Statusabfrage über den folgenden Link zur Verfügung: Sendungsverfolgung Mit freundlichen Grüßen, Ihr DHL Team Diese Mail dient lediglich der Information und garantiert nicht die Zustellung der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre E-Mailadresse wird ausschließlich für die Paketankündigung der oben genannten Sendung genutzt und nicht zu werblichen Zwecken gespeichert. Sollten Sie die Paketankündigung nicht mehr beziehen wollen, klicken Sie bitte hier:DHL Benachrichtigungsservice Impressum Deutsche Post AG Vertreten durch den Vorstand Dr. Frank Appel, Vorsitz, Ken Allen, Roger Crook, Jürgen Gerdes, John Gilbert , Lawrence A. Rosen, Angela Titzrath Handelsregister-Nr.: Registergericht Bonn HRB 6792, USt-IdNr.: DE 169838187 Charles-de-Gaulle-Straße 20, 53113 Bonn Website Kontakt Impressum © 2014 DHL

 

[oneOeight]

wenn interessiert der header der mail und die "reine datei" mit cmd+alt+u …
dann siehst du eher, ob die nun von DHL kam oder nicht…

 

[0nik]

das is dann der header - aufschlussreich ist das allerdings für mich nicht wirklich!
zumal die sendungsnummer auch definitiv falsch war...

Return-Path: fillingfcim3@dhl.de
Received: from accesshaiti-129-106.accesshaiti.net ([200.2.129.106]) by
mx-ha.gmx.net (mxgmx013) with ESMTP (Nemesis) id 0MBK5N-1WeLeL1z53-00AIXh for
<nisak@gmx.de>; Mon, 19 May 2014 14:10:22 +0200
Received: from [61.139.144.43] (account bylinesin9862@dhl.de HELO oowils.fxmpjra.info)
by accesshaiti-129-106.accesshaiti.net (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 070993910 for nisak@gmx.de; Mon, 19 May 2014 07:10:05 -0500
Received: from [167.49.22.31] (helo=fttalo.uhprtslsqbknwa.info)
by accesshaiti-129-106.accesshaiti.net with esmtpa (Exim 4.69)
(envelope-from )
id 1MM5ER-2231fz-98
for nisak@gmx.de; Mon, 19 May 2014 07:10:05 -0500
Date: Mon, 19 May 2014 07:10:05 -0500
From: DHL Paket <paket@dhl.de>
To: <nisak@gmx.de>
Subject: Ihr DHL Paket 00208485635842578401 wird in eine Filiale geliefert
MIME-Version: 1.0
X-Priority: 3
Message-ID: <450733255493.645243.7754696621@klbxtcvm.zphgmhbwocvair.ua>
Content-Type: multipart/mixed;
boundary="----=a__aqzkbfx_73_86_87"
Envelope-To: <nisak@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:CSvZ0ajLSIQ=:bjO+iu18F73/Z1Ov9kh2mv8bqy
uvT0tbY5weZpJfEayNXO69VNlmqiZs9ZUx2IQ6jQ9QoJJmsaTKEy18+7hkvqgN9yXOZjhhxPt
td/xaP00H9A/pY+RxxZGSiO7MhyyMPf1P2CcpPnMxps0potsboh90du7HKUb7pRReQXerT1c/
yyVvFxYvgJgoLloXNZgdkoSkPuFPvBEymvM0NdBsDGSH2ETSTPv42hmYVEPkIS3PwHOKeZ2IP
qeBbb0d5PLmhA4y+6lWcn0Lpfz6iEWfOXI4Xswiwp2GHa9pXs/rgcYUDeSyKQe/kHrzB/MV1Z
z7LtKsjyUv7pJcQVpwTKIt1vrEBQnH06mRTQWBhkIPIvJlDENZCoM7xmvn2uT7XouU3pA86Eg
mknD5bgXx/IXxkl6eq28AIp9EW7gC1kPqOiS8pfY9SfIRsz1mOqzAAEOSiVRPT21FfBhM+zF+
EjxgwoqLBFmLPtw7rSLZwDVcv8x164eWZtQ3A/I/5WHuuf8GKkSFMwM/V8qOIWYglesxyv5jK
1BK8LuPg4H9z3pV3djlcb8+lUGptcx3FAk4oWTWZQIZ+BqXr2aUcbwapgTpnPnJrKQbgJ5syx
jc3Zgr3pHUF5vg7YprXLqMr3irQ6qmmWlo5pMg/aEoxNHphZ09APxNfaGC5kS898ecP91rGLA
iXnIW3VDbMI803Sq1bzIz/afzmJ2/PXPSSE6cpmGSTGrNvhH6ZflWVSxy/MnyntCPdwIphYhf
C4C//d6ndqPUeQ/36d6+2WhDQljWoD9OTM9MERJvhGkAyt8sVbstzS7pDkzX5hCqfse6BsckP
CBkrZaCOa0dSQAsPSfxFYHMo3CyRZSRaBhnUNxTojV2plFjpY/ZcNMCMTnzPyMg86bVqv/ue6
UDnFDMKMoytyrpiU/HQvf8ew8ds/TpjoaNY+ZNwAr5ARFHLnx1ksqHRsAh1UnVPy0n1zvCHiH
lMqLbtGYOhTCKlrKcoMbP8lsxTiIOu/jl9tl/9JAlDkd5jvomo9IdFc4yQQ2sVCL+3wPltR53
Pkd8qBfAcNn3MhrQo6NSfHg+NLMfFnN8UVtuLPAvlYv4sbU9+eqrBYAv8SlskzHnEcI6kYCXa
nQKg2sxTO/gn/vD+5IIuwhn2IAJAjniXH3k8MN6H5qtxsw4bqc+0j3YBF1Tq2nTv9qZrsKlEb
+dl/Nn9HOjbEzcA2k41ZwXAYg3Xur4mjl0jmBvwHz7VLtS1PN6UfC2BvNtpteEwiCMWoJ9Agi
2f+ERPR4nc2wIj8vf3Yorloh7nkqljSzat73q2hQQR+/ACG4u4Vdwyzwn1pC+AxPFGU9eqakv
hAOj

 

[oneOeight]

interessant sind halt die server im received, da siehst du halt, die kam aus haiti.
DHL schickt nicht von dort emails

hast das attachment noch?
kannst ja mal auf virustotal hochladen.
aber wird wenn eh ein windows schädling sein und deine probleme nicht daher rühren…

hast mal deine safari erweiterung gecheckt?
oder deine internet plugins?

 

[AloeVera]

Hier stelle ich Euch einen Screenshot ein, wie die "echte" von DHL signierte Mail aussieht.
Ist ja wirklich täuschend ähnlich und ich verstehe den TE, dass er so reagierte.

 

[0nik]

hab ich gemacht - scheint ein win32 trojaner zu sein...

wenns nicht daher kommt, hast du ne Idee, was ansonsten die ursache sein könnte, bzw. wie ich das rausfinden kann?

 

[oneOeight]

wie gesagt, schau mal an welche safari erweiterung du so hast.
dann wirf noch einen blick in /Library/Internet Plug-Ins
was da so liegt und ob flash usw auf dem neuesten stand sind…

hat avira nicht auch so einen hintergrund scanner, der websites checkt?
vielleicht funkt der dazwischen?

 

[madu]

das is dann der header - aufschlussreich ist das allerdings für mich nicht wirklich!

Du solltest Deine Emailadresse aus dem Text oben entfernen (alle 5 Vorkommen)

(unter dem Post => bearbeiten)

 

[primelinus]

moin!
habe vor tagen eine mail von DHL paket von der adresse paket@dhl.de erhalten. da ich zu der zeit auf zwei wichtige sendungen gewartet habe, habe ich auf den link zur sendungsverfolgung geklickt. erst als sich daraus nichts ergab, hat mich der verdacht beschlichen, dass es sich dabei um einen Virus/trojaner handeln könnte.

der link zur sendungsvervolgung ist in deinem post zur mail nicht vorhanden. der link zum dhl benachrichtigungsservice ist allerdings ok.

 

[Lezard]

wie kann man denn diese Sicherheit Funktion in Mail aktivieren?