Virus/Malware auf MBP - auch nach Formatierung + Neuinstallation

GibsonLesPaul

Aktives Mitglied
Thread Starter
Dabei seit
29.11.2010
Beiträge
221
Reaktionspunkte
1
Hallo,

leider habe ich mir irgendwie eine Art Virus eingefangen und bekomme diesen nicht mehr los. Anscheinend hat er sehr merkwürdige Auswirkungen u.a. auf Browser und evtl. sogar die Mail-App.

Alles fing damit an, dass sich beim Benutzen von Google Chrome immer beim Öffnen eines neuen Tabs die für diesen Virus typische "searchqq" als Suchseite öffnete. Diese ist ähnlich wie Google aufgebaut, ist aber nicht Google und weicht bei näherem Hinsehen doch deutlich vom Original ab!
Weiterhin war es so, dass sich beim Klicken innerhalb Chrome's irgendwo ins leere Feld oder auch auf Links (oder Play/Pause in Streams; Lautstärkeregelung in Streams...), mehrere nervtötende Spamseiten öffneten. Es war also kein normaler Betrieb mehr möglich.

Da ohnehin ein Update anstand, da ich noch Mountain Lion nutze und einige Supports für Software ausliefen, habe ich entschlossen Sierra zu installieren und gleich zwei Fliegen mit einer Klappe zu schlagen:
Virus entfernen und neues OSX aufspielen.

Nunja, das neue Betriebssystem habe ich. Allerdings dafür auch neue Probleme UND: Der Virus ist immernoch da!

Gerade ist mir beim Benutzen von Chrome aufgefallen, dass beim Öffnen eines neuen Tabs immernoch die "Searchqq" Seite geöffnet wird. Es öffnet sich zwar kein Spam mehr wenn ich im Chrome ins "nichts" klicke, aber die searchqq-geschichte ist immernoch da. Und es öffnen sich nun ganz viele Popups, Werbung etc., die vorher nie da waren, weil Abblocker alles beseitigt haben.

Ich habe diverse Malwareprogramme durchlaufen lassen, manche haben etwas gefunden was entfernt wurde, aber anscheinend nicht alles.

Das schlimmste ist aber, dass seit dem Update auf Sierra die Mail-App überhaupt nicht mehr geht. Sie lässt sich nicht mal mehr öffnen, sondern hängt sich gleich auf - "reagiert nicht". Dazu habe ich in einem anderen Thread schon etwas geschrieben:

https://www.macuser.de/threads/mail-reagiert-nicht-mehr-seit-update-auf-sierra.758293/

Ich dachte dass der Virus beseitigt ist und hatte erst nur Mail als Problem erkannt, aber jetzt kommen nach und nach die kleinen Probleme. Auch wurden beim Migrieren meiner Dateien zum Teil Ordner nicht übernommen. Wie das nun alles Zusammenhängt, auf was sich der noch vorhandene Virus auswirkt, warum Mail nicht funktioniert und wieso das Update auf Sierra so viele Probleme mit sich bringt weiß ich nicht und bin gerade sehr ratlos.

Ich mache nun schon seit 3 Tagen mit dem Sche*ß rum und kann nicht mehr am Mac arbeiten. Was soll ich denn jetzt machen?

Hier nochmal meine Eckdaten:

13" MBP mid 2010
2,4Ghz Core2Duo
8GB Ram
GeForce 320M
500GB Hybrid FP
Jetzt: Sierra; Vorher: Mountain Lion ohne Probleme (bis zum Virus)

Eine Vermutung meinerseits ist, dass die beschädigten Daten bei der Migration mit migriert sind und jetzt diese Probleme verursachen?!
 
Danke für den Tipp!

Es sind ja auch nicht 2 Threads zum selben Thema ;)

Hier soll es ja um den Virus/die Malware gehen.

Im anderen Thread geht es um das Problem mit Mail!

Ob das zusammenhängt weiß ich eben nicht und habe daher einen zweiten Thread gestartet. Sollte das einem missfallen, kann er gerne einen Thread löschen oder sie zusammenführen. Gelöst ist jedenfalls noch keines der Probleme - im Gegenteil: Es fallen immer mehr Probleme auf ;)
 
im anderen thread wurde antimalware auch empfohlen.
ich würde das in einem thread abhandeln.
 
Wenn ich beide Themen in einem Thread behandel, wird nur auf ein Thema eingegangen und mir nahe gelegt ich solle es nicht durcheinander bringen ;)

Das Malwarebytes war auch das Programm, das ich bereits durchlaufen ließ. Gefunden hat es auch etwas, aber das Löschen der betroffenen Dateien hat leider nicht geholfen.

Habe übrigens gerade festgestellt, dass die Seite, die sich in Chrome öffnet nicht mehr "searchqq" heißt sondern "searchudak".
 
Kannst du mal das Log von Malwarebytes posten ? Mbam starten, unter den Menüpunkt Scanner den Unterpunkt Take Systemsnapshot auswählen. Das Log kopieren und hier einfügen oder im anderen Thread wenn du da schon was hast. Sieht mir nämlich nach VSearch oder Conduit aus.
 
Das ist ein Browserhijacker für Windows.

Ich würde die Festplatte löschen, das System neu installieren und dann nur die persönlichen Daten übernehmen, aber nichts aus der Benutzerlibrary, da auch Mail beeinträchtigt zu sein scheint. Du musst dann dann die Accountdaten alle neu eingeben, aber das ist besser, als ein zerschossenes System.
 
aber nichts aus der Benutzerlibrary, da auch Mail beeinträchtigt zu sein scheint. Du musst dann dann die Accountdaten alle neu eingeben, aber das ist besser, als ein zerschossenes System.
Und was macht er dann mit seinen Mails? Wenn er POP3 benutzt oder auf dem IMAP-Server regelmäßig löscht oder automatisch gelöscht wird, wären die dann flöten.
Ich würde zwingend vor der Neuinstallation eine Sicherung empfehlen (daß eine solche vorhanden ist, habe ich nicht gelesen oder überlesen) und dann vorsichtig schauen, was man retten kann.
Wobei ich - allerdings nicht spezifisch fachkundig - denke, daß man eine browserspezifischen Schadsoftware auch anders in den Griff kriegen können sollte. Vor allem wenn sie für ein anderes Betriebsystem gedacht ist.
Als erstes fiele mir ein, einen anderen Browser zu benutzen, Safari, Firefox, Opera, iCab. Oder werden die auch attackiert?
 
@GibsonLesPaul

Das mal gemacht?

Safari Users
Run Safari >> Click Safari button >> Click Preferences >> click Extensions tab >> Select the extensions you want to remove and click Uninstall button

Chrome Users

Run Chrome >> Click Customize and control Google Chrome button >>click More Tools >>click Extensions >>Select the all unwanted or unknown extensions and delete them

Firefox Users

Run Firefox >> Click Open Menu button>>Click Add-ons >>click Extensions >>Select the all unwanted or unknown extensions and remove them.
 
Zuletzt bearbeitet:
Das ist ein Browserhijacker für Windows.

Ich würde die Festplatte löschen, das System neu installieren und dann nur die persönlichen Daten übernehmen, aber nichts aus der Benutzerlibrary, da auch Mail beeinträchtigt zu sein scheint. Du musst dann dann die Accountdaten alle neu eingeben, aber das ist besser, als ein zerschossenes System.

Nee, wars vielleicht mal, die sind schon so weit das auf den Mac zu bringen. Oft in Zusammenhang mit Drittsoftware aus Downloadportalen. Die Adware wird quasi mitinstalliert.

Conduit: http://www.thesafemac.com/arg-conduit/

Aber so lange die Logs nicht zu sehen ist das nur eine Vermutung.
 
Hey,

hier der Log von Malwarebytes:

Malwarebytes Anti-Malware 1.2.4.584 system report - 15. Oktober 2016 um 09:52:29 MESZ
Mac OS X version Version 10.12 (Build 16A323)
System uptime: 0d 16:25:12

Safari extensions
-----------------------
DennisLee
Name: AdBlock
Path: /Users/DennisLee/Library/Safari/Extensions/AdBlock.safariextz
Modified: 2016-10-13 18:15:26 +0000

Chrome extensions
-----------------------
DennisLee
Default
Name: ProxFlow
Path: /Users/DennisLee/Library/Application Support/Google/Chrome/Default/Extensions/aakchaleigkohafkfjfjbblobjifikek
Modified: 2016-10-14 04:11:00 +0000
Name: AdBlock
Path: /Users/DennisLee/Library/Application Support/Google/Chrome/Default/Extensions/gighmmpiobklfepjocnamgkkbiglidom
Modified: 2016-10-10 15:06:20 +0000
Name: Chrome Web Store Payments
Path: /Users/DennisLee/Library/Application Support/Google/Chrome/Default/Extensions/nmmhkkegccagdldgiimedpiccmgmieda
Modified: 2016-04-05 22:51:58 +0000
Name: iTube Studio
Path: /Users/DennisLee/Library/Application Support/Google/Chrome/Default/Extensions/okffnhejfhpaihcocihfbojpjpiekjbp
Modified: 2013-01-07 01:47:46 +0000
Name: Text Mode
Path: /Users/DennisLee/Library/Application Support/Google/Chrome/Default/Extensions/olgakciamcjclojnaanmahenpjcoolkd
Modified: 2016-10-09 20:33:42 +0000
Name: Chrome Media Router
Path: /Users/DennisLee/Library/Application Support/Google/Chrome/Default/Extensions/pkedcjkdefgpdelpbcmbmeomcjbeemfm
Modified: 2016-10-14 16:56:14 +0000

Firefox extensions
-----------------------
DennisLee
0fhpfthb.default-1456750661903
Name: Adblock Plus
Path: /Users/DennisLee/Library/Application Support/Firefox/Profiles/0fhpfthb.default-1456750661903/extensions/{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
Modified: 2016-07-02 21:16:06 +0000
Name: DivX Plus Web Player HTML5 <video>
Path: /Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/{23fcfd51-4958-4f00-80a3-ae97e717ed8b}
Modified: 2010-12-09 22:26:11 +0000
Name: DivX HiQ
Path: /Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/{6904342A-8307-11DF-A508-4AE2DFD72085}
Modified: 2010-12-09 22:26:11 +0000

Login items
-----------------------
Calendar

System startup items
-----------------------
/Library/StartupItems/BRESINKx86Monitoring
/Library/StartupItems/HWNetMgr
/Library/StartupItems/HWPortDetect

User launch agents
-----------------------
/Users/DennisLee/Library/LaunchAgents/com.adobe.AAM.Updater-1.0.plist
/Users/DennisLee/Library/LaunchAgents/com.adobe.ARM.202f4087f2bbde52e3ac2df389f53a4f123223c9cc56a8fd83a6f7ae.plist
/Users/DennisLee/Library/LaunchAgents/com.apple.AddressBook.ScheduledSync.PHXCardDAVSource.6B139505-9E80-4171-90A1-0133AC147649.plist
/Users/DennisLee/Library/LaunchAgents/com.apple.CSConfigDotMacCert-dennisfechter@me.com-SharedServices.Agent.plist
/Users/DennisLee/Library/LaunchAgents/com.BlueStacks.AppPlayer.LogRotator.plist
/Users/DennisLee/Library/LaunchAgents/com.BlueStacks.AppPlayer.Service.plist
/Users/DennisLee/Library/LaunchAgents/com.BlueStacks.AppPlayer.UpdaterAgent.plist
/Users/DennisLee/Library/LaunchAgents/com.spotify.webhelper.plist
/Users/DennisLee/Library/LaunchAgents/com.valvesoftware.steamclean.plist

System launch agents
-----------------------
/Library/LaunchAgents/com.adobe.AAM.Updater-1.0.plist
/Library/LaunchAgents/com.adobe.CS5ServiceManager.plist
/Library/LaunchAgents/com.divx.dms.agent.plist
/Library/LaunchAgents/com.divx.update.agent.plist
/Library/LaunchAgents/com.google.keystone.agent.plist
/Library/LaunchAgents/com.oracle.java.Java-Updater.plist
/Library/LaunchAgents/org.glimmerblocker.updater.plist
/Library/LaunchAgents/org.macosforge.xquartz.startx.plist

System launch daemons
-----------------------
/Library/LaunchDaemons/com.adobe.fpsaud.plist
/Library/LaunchDaemons/com.adobe.SwitchBoard.plist
/Library/LaunchDaemons/com.apple.aelwriter.plist
/Library/LaunchDaemons/com.google.keystone.daemon.plist
/Library/LaunchDaemons/com.malwarebytes.HelperTool.plist
/Library/LaunchDaemons/com.oracle.java.Helper-Tool.plist
/Library/LaunchDaemons/com.oracle.java.JavaUpdateHelper.plist
/Library/LaunchDaemons/com.reimage.cleaner.plist
/Library/LaunchDaemons/org.macosforge.xquartz.privileged_startx.plist

Kernel extensions
-----------------------
/System/Library/Extensions/BoomDevice.kext
/System/Library/Extensions/CDSDAudioCaptureSupport.kext
/System/Library/Extensions/CIJUSBLoad.kext
/System/Library/Extensions/FocusriteUSBAudio.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext/Contents/PlugIns/HuaweiDataCardACMControl.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext/Contents/PlugIns/HuaweiDataCardACMData.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext/Contents/PlugIns/HuaweiDataCardActivateDriver.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext/Contents/PlugIns/HuaweiDataCardECMControl.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext/Contents/PlugIns/HuaweiDataCardECMData.kext
/System/Library/Extensions/HuaweiDataCardDriver.kext/Contents/PlugIns/HuaweiDataCardHidPort.kext
/System/Library/Extensions/NIUSBAudio2DJ.kext
/System/Library/Extensions/NIUSBAudio4DJ.kext
/System/Library/Extensions/NIUSBAudioDriver.kext
/System/Library/Extensions/NIUSBDeviceHelper.kext
/System/Library/Extensions/NIUSBTraktorAudio2.kext
/System/Library/Extensions/NIUSBTraktorKontrolS4.kext
/System/Library/Extensions/NIUSBTraktorKontrolX1.kext
/System/Library/Extensions/Soundflower.kext
/Library/Extensions/ACS6x.kext
/Library/Extensions/ArcMSR.kext
/Library/Extensions/ATTOCelerityFC8.kext
/Library/Extensions/ATTOExpressSASHBA2.kext
/Library/Extensions/ATTOExpressSASRAID2.kext
/Library/Extensions/BJUSBLoad.kext
/Library/Extensions/CalDigitHDProDrv.kext
/Library/Extensions/CIJUSBLoad.kext
/Library/Extensions/HighPointIOP.kext
/Library/Extensions/HighPointRR.kext
/Library/Extensions/PromiseSTEX.kext
/Library/Extensions/SoftRAID.kext

launchd.conf contents
-----------------------


Hosts file
-----------------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting. Do not change this entry.
##
127.0.0.1 localhost
255.255.255.255 broadcasthost
::1 localhost
fe80::1%lo0 localhost


Scan log
-----------------------
2016-10-13 17:44:46 :
2016-10-13 17:44:46 : ----- Scan Started -----
2016-10-13 17:44:46 : Scanning with signatures version 131 (2016-10-10)
2016-10-13 17:44:52 : Adware.Conduit : /Library/LaunchAgents/com.conduit.loader.agent.plist
2016-10-13 17:44:52 : Adware.Conduit : /Users/DennisLee/Library/Application Support/Conduit
2016-10-13 17:45:12 : *** Scan time: 0d 00:00:26 ***
2016-10-13 17:45:12 : ------ Scan Ended ------
2016-10-13 17:45:32 : ---- File Removal Started ----
2016-10-13 17:45:32 : ===========================================
2016-10-13 17:45:32 : REMOVING ITEM: Adware.Conduit
2016-10-13 17:45:32 : >> Removing file item: /Library/LaunchAgents/com.conduit.loader.agent.plist
2016-10-13 17:45:32 : ===========================================
2016-10-13 17:45:32 : REMOVING ITEM: Adware.Conduit
2016-10-13 17:45:32 : >> Removing file item: /Users/DennisLee/Library/Application Support/Conduit
2016-10-13 17:45:33 : ---- File Removal Complete ----
2016-10-13 17:46:01 : ===== User declined restart =====
2016-10-14 15:51:19 :
2016-10-14 15:51:19 : ----- Scan Started -----
2016-10-14 15:51:20 : Scanning with signatures version 131 (2016-10-10)
2016-10-14 15:51:51 : *** Scan time: 0d 00:00:31 ***
2016-10-14 15:51:51 : ------ Scan Ended ------
2016-10-15 09:52:19 :
2016-10-15 09:52:19 : ----- Scan Started -----
2016-10-15 09:52:19 : Scanning with signatures version 132 (2016-10-14)
 
Und was macht er dann mit seinen Mails? Wenn er POP3 benutzt oder auf dem IMAP-Server regelmäßig löscht oder automatisch gelöscht wird, wären die dann flöten.
Ich würde zwingend vor der Neuinstallation eine Sicherung empfehlen (daß eine solche vorhanden ist, habe ich nicht gelesen oder überlesen) und dann vorsichtig schauen, was man retten kann.
Wobei ich - allerdings nicht spezifisch fachkundig - denke, daß man eine browserspezifischen Schadsoftware auch anders in den Griff kriegen können sollte. Vor allem wenn sie für ein anderes Betriebsystem gedacht ist.
Als erstes fiele mir ein, einen anderen Browser zu benutzen, Safari, Firefox, Opera, iCab. Oder werden die auch attackiert?

Firefox scheint bisher ohne Probleme zu funktionieren. Allerdings hätte ich schon gerne, dass alles passt sonst muss ich immer mit dem Hintergedanken leben, dass etwas nicht stimmt und das sollte ja nicht sein müssen ;)

Ich hab ein TimeMachine Backup. Ansonstne habe ich keine zusätzliche Sicherung oder was meinst du genau?

Und was POP3 und IMAP angeht, das sind für mich hieroglyphen :D Ich bin froh, dass ich Mail mit den ganzen Servergeschichten und den Gerätepassworten, normalen Passworten, Benutzung parallel auf dem iPhone überhaupt zum laufen gebracht habe und zwischenzeitlich immer wieder mit Gmail Probleme gehabt und musste schon 2-3 mal ein neues Gerätepasswort anfordern/erstellen. Also da bin ich echt überfordert, sorryy :-/
 
Hast du die app reimage cleaner noch auf deiner platte? Sieht mir nach Android Malware aus aber wie ich sehe gibts eine Mac Version die MBAM nicht erkennt. Um ganz sicher zu gehen, wäre es nicht schlecht wenn du die App noch hättest. Schreib mir eine PM für weitere Instruktionen.

Für den Augenblick entfernen bitte den Eintrag: /Library/LaunchDaemons/com.reimage.cleaner.plist
 
du solltest auch mal das divx zeug aus firefox entfernen, aber der hat das wohl schon deaktiviert weil veraltet.
 
Hast du die app reimage cleaner noch auf deiner platte? Sieht mir nach Android Malware aus aber wie ich sehe gibts eine Mac Version die MBAM nicht erkennt. Um ganz sicher zu gehen, wäre es nicht schlecht wenn du die App noch hättest. Schreib mir eine PM für weitere Instruktionen.

Für den Augenblick entfernen bitte den Eintrag: /Library/LaunchDaemons/com.reimage.cleaner.plist

Den Eintrag kann ich leider nicht finden!
Leider hab ich auch die App Reimage Cleaner nicht mehr :-/

Ich muss sagen, dass bis jetzt alles sehr gut läuft. Aber die Malware scheint ja noch auf dem Mac zu sein, da ich Chrome nach wie vor nicht verwenden kann.
 
Ich würd meine Lesezeichen sichern und dann Chrome aus dem Programmeordner löschen (wenn du ein Programm wie CMM dafür hast damit), falls noch vorhanden: zu /Users/DennisLee/Library/Application Support/Google/ wechseln und den Ordner Chrome löschen. Danach Chrome neu installieren.
 
Zurück
Oben Unten