Kann ich nachprüfen, ob logkext auf meinem MacBook installiert war?

H

hailhail

Neues Mitglied
Thread Starter
Dabei seit
14.09.2008
Beiträge
9
Reaktionspunkte
0
liebe community,

ich habe folgendes problem: ich wurde kürzlich gehackt, was meinen zugang zu einem social network betrifft (u.a. wurde dabei auch mein passwort geändert) und möglicherweise hat dieser jemand auch meine (web)mails ausspioniert. es gibt neben mir eine zweite person, die mein macbook regelmäßig benutzt. ich verwende zum surfen immer firefox und lasse die privaten daten nach ende der sitzung löschen, von daher kann ich keine history sehen. auf tipp eines freundes fand ich aber - möglicherweise - eine interessante spur: in der history von safari (ich verwende den browser nie!) war ein einziger eintrag - vom 2. september - verzeichnet:

file:///LogKext%20Readme.html

dies brachte mich auf den verdacht, dass auf meinem macbook der keylogger logkext installiert sein könnte... macscan (extra dafür runtergeladen) fand allerdings nichts und spotlight spuckt auf der suche nach "logkext" auch nichts aus. deshalb meine frage: war das programm vielleicht nur vorübergehend installiert (was ist vom history-eintrag zu halten?) und kann ich i.d.f. die installation irgendwie überprüfen bzw. nachweisen?

was mich auch stutzig macht: wenn ich terminal öffne und "sudo logKextClient" eingebe, fragt es tatsächlich "Password:". wenn ich daraufhin mein admin-passwort eingebe, kommt allerdings "sudo: logKextClient: command not found". muss ich mich beunruhigen, dass der terminal auf den sudo-befehl mit der passwortnachfrage reagiert?

gibt es denn irgendeinen schlauen terminalbefehl, der anzeigt, welche programme in letzter zeit de- und installiert wurden oder so etwas ähnliches? ich bin für jede hilfe dankbar!

lg
 
sudo fragt immer erst das superuser passwort ab, bevor irgendwas ausgeführt wird.

du kannst per spotlight die konsole aufrufen und dir die install.logs ansehen. vielleicht findest du ja was...
 
oder

sudo find / -name logKextClient

Alex
 
Wenn Du Dir Deinen Mac teilst, dann würde ich Dir raten für "den anderen" einen eigenen Benutzer einzurichten. Dann brauchst Du Deine Firefox-Daten nicht zu löschen und keiner kann dem anderen "in die Suppe spucken". Wenn Du dem anderen Benutzer dann noch die Administrator-Rechte entziehst, dann kann er auch keine Tools wie logKext instalieren.
 
siehe unten...
 
Zuletzt bearbeitet:
sieh mal einer an...!!

Naphaneal schrieb:
sudo fragt immer erst das superuser passwort ab, bevor irgendwas ausgeführt wird.

du kannst per spotlight die konsole aufrufen und dir die install.logs ansehen. vielleicht findest du ja was...
Zum Vergrößern anklicken....

vorab: herzlichen dank für den tipp! ihr, die ihr euer wertvolles wissen unentgeltlich und so rasch weitergebt, seid einfach toll! :)

ich bin ja ein ziemliches greenhorn in spionage-dingen, aber ich denke, folgende log-zeilen sprechen eine deutliche spache, oder?

Sep 2 11:23:39 MyUsernames-Apfel : @(#)PROGRAM:Installer PROJECT:Installer-104 DEVELOPER:root BUILT:Aug 22 2007 10:34:38\n
Sep 2 11:23:39 MyUsernames-Apfel : Hardware: MacBook2,1 @ 2000 MHz (x2), 1024 MB
Sep 2 11:23:39 MyUsernames-Apfel : Running OS Build: 8S2167
Sep 2 11:23:39 MyUsernames-Apfel : logKext Installation Log
Sep 2 11:23:39 MyUsernames-Apfel : Opened from: /Users/MyUsername/Desktop/logKext.pkg
Sep 2 11:23:40 MyUsernames-Apfel : Distribution: logKext
Sep 2 11:23:40 MyUsernames-Apfel : It took 0.844947 seconds to finish launching.
Sep 2 11:23:40 MyUsernames-Apfel : Installation checks completed successfully.
Sep 2 11:24:09 MyUsernames-Apfel : admin auth received to install
Sep 2 11:24:09 MyUsernames-Apfel : ================================================================================
Sep 2 11:24:09 MyUsernames-Apfel : User picked Easy Install
...
Sep 2 11:24:09 MyUsernames-Apfel : It took 0.001769 seconds to summarize the package selections.
Sep 2 11:24:09 MyUsernames-Apfel : NOT Installing into home /Users/MyUsername
Sep 2 11:24:09 MyUsernames-Apfel : NOT Installing into home /Users/MyUsername
Sep 2 11:24:09 MyUsernames-Apfel : Starting installation:
Sep 2 11:24:09 MyUsernames-Apfel : Preparing volume "Macintosh HD" for installation
Sep 2 11:24:09 MyUsernames-Apfel : Configuring volume "Macintosh HD"
Sep 2 11:24:10 MyUsernames-Apfel : Preparing local booted disk
Sep 2 11:24:10 MyUsernames-Apfel : Create temporary directory "/private/tmp/logkextReadme.pkg.329IEow03"
...
Sep 2 11:24:13 MyUsernames-Apfel : run postflight script for logKext
Sep 2 11:24:13 MyUsernames-Apfel : postflight[359]: kextunload: unload id com.fsb.kext.logKext failed (result code 0xe00002c2)
Sep 2 11:24:13 MyUsernames-Apfel : postflight[359]:
Sep 2 11:24:22 MyUsernames-Apfel : postflight[359]: kextload: /System/Library/Extensions/logKext.kext loaded successfully
Sep 2 11:24:22 MyUsernames-Apfel : postflight[359]:
Sep 2 11:24:23 MyUsernames-Apfel : Removing temporary directory "/private/tmp/logkextReadme.pkg.329IEow03"
Sep 2 11:24:23 MyUsernames-Apfel : Finalize disk "Macintosh HD"
Sep 2 11:24:23 MyUsernames-Apfel : Notifying system of updated components
Sep 2 11:24:23 MyUsernames-Apfel : TOTAL: Packages report 29 files, 29 actual files written
Sep 2 11:24:23 MyUsernames-Apfel : Private/Total = (4,6 MB, 63,8 MB), Heap/Total = (2,0 MB, 17,5 MB), Regions(malloc, private) = (23, 27)
Sep 2 11:24:23 MyUsernames-Apfel : It took 13.872086 seconds to successfully install "logKext" (8 pkg(s))
...
Sep 2 11:24:24 MyUsernames-Apfel : Finalizing installation.
Sep 2 11:24:24 MyUsernames-Apfel : Private/Total = (4,7 MB, 64,5 MB), Heap/Total = (2,0 MB, 17,5 MB), Regions(malloc, private) = (23, 32)
Sep 2 11:24:24 MyUsernames-Apfel : It took 0.103622 seconds to successfully End of Install Jobs

aber heißt das nicht auch, dass das scheißprogramm NOCH IMMER aktiv ist? das würde endgültig ALLE fragen lösen...:eek:
 
gib mal im terminal "kextstat" ein, da siehst du welche kext geladen wurden...
ansonsten kannst du auch noch in /System/Library/Extensions gucken, ob die da noch ist.
wenn ja, dann wird die auch geladen...
 
Das heisst am 2. September wurde es installiert. Wenn es noch da ist müsste es in "/System/Library/Extensions/" liegen, wie es im Log steht.

Aber wird bei jedweden Systeminstallationen nicht nach dem Admin-Kennwort gefragt? Kannte der jenige das?
 
naja, wenn die ARDAgent lücke nicht geschlossen war, kann jeder user root rechte kriegen...
wie war denn der update stand der kiste?
 
yes

cordney* schrieb:
Das heisst am 2. September wurde es installiert. Wenn es noch da ist müsste es in "/System/Library/Extensions/" liegen, wie es im Log steht.

Aber wird bei jedweden Systeminstallationen nicht nach dem Admin-Kennwort gefragt? Kannte der jenige das?
Zum Vergrößern anklicken....

ja, leider. falsches vertrauen. (liebe macht blind.) :(
 
extensions

oneOeight schrieb:
gib mal im terminal "kextstat" ein, da siehst du welche kext geladen wurden...
ansonsten kannst du auch noch in /System/Library/Extensions gucken, ob die da noch ist.
wenn ja, dann wird die auch geladen...
Zum Vergrößern anklicken....

nein, da liegen nur die dateien tap.text und tun.text drin. macscan wurde ja auch nicht fündig...

wenn es ein install.log gibt, müsste es doch auch ein uninstall.log geben, oder nicht?
 
yep

master_p schrieb:
Wenn Du Dir Deinen Mac teilst, dann würde ich Dir raten für "den anderen" einen eigenen Benutzer einzurichten. Dann brauchst Du Deine Firefox-Daten nicht zu löschen und keiner kann dem anderen "in die Suppe spucken". Wenn Du dem anderen Benutzer dann noch die Administrator-Rechte entziehst, dann kann er auch keine Tools wie logKext instalieren.
Zum Vergrößern anklicken....

"hinterher ist man immer..." - tja. hätte ich natürlich tun sollen, aber wie schon geschrieben: liebe macht blind und blindes vertrauen wird nur allzu leicht ausgenützt! wird mir zukünftig sicher NICHT mehr passieren... :mad:
 
sudo find

below schrieb:
oder

sudo find / -name logKextClient

Alex
Zum Vergrößern anklicken....

direkt kopieren oder muss ich für -name etwas anderes einsetzen? bislang findet er jedenfalls nix (und auch in den extensions liegen keine logkext-dateien)...
 
@cordney: Das Admin Passwort wird nur erfragt wenn man selber nicht als Admin angemeldet ist. Daher hab ich auch stets 2 Accounts auf meinem MacBook. 1 x Admin für Notfälle und 1 x normaler User für den täglichen Gebrauch. Bei einer weiteren Person würde ich IMMER einen weiteren User anlegen.
 
MacMaitre schrieb:
@cordney: Das Admin Passwort wird nur erfragt wenn man selber nicht als Admin angemeldet ist.
Zum Vergrößern anklicken....

Das stimmt überhaupt nicht. Auch als Admin wirst du nach dem Passwort gefragt, sobald du Programm installierst, die irgendwo tiefer im System noch was installieren müssen/wollen.

Ausserdem, sperr mal den Account-Panel in den System-Einstellungen mit dem Schloss, starte die System-Einstellungen neu und versuch dann ohne Passwort-Eingabe einen neuen User anzulegen...

@Topic:
Tja, da dachte wohl ein/e ganz Schlaue(r) er könnte etwas rumspionieren und hat wohl anschließend nicht richtig sauber gemacht... tztz...
 
in der secure.log sollte eigentlich stehen wer sich autorisiert hat...
 
TerminalX schrieb:
Wenn es nur einen User gibt, wird die secure.log wohl nichts neues verraten. ;)
Zum Vergrößern anklicken....

wohl wahr, aber es ließen die nutzzeiten herausfiltern. der TE wird bei shared laptop wohl kaum 24/7 am gerät sitzen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten