wie finde und entferne ich einen trojaner?

[flux2]

hallo, ich habe offenbar einen dns-changer oder ähnliches (ich habe leider wenig ahnung, bin auf den begriff beim herumgoogeln gestoßen).
(osx.10.4.11)
macscan findet aber nichts! und bei clamxav wird das update abgebrochen.

symptome:
-wenn ich auf www.google.de gehe (oder zu gehen glaube) lande ich anscheinend auf einer nachgemachten seite. die umlaute fehlen ("Auf Gut Gluck!") und unten steht "(c) 2009" statt "(c) 2010".
- wenn ich dann auf suchergebnisse klicke, werde ich (manchmal, nicht immer) zunächst auf irgendwelche obskuren anderen suchseiten umgeleitet (12finder.de). beim zweiten versuch komme ich dann da hin, wo ich hinwill.
- in unregelmäßigen abständen erscheint die (pseudo-)fehlermeldung:

"Ihr Browser ist in Gefahr der Infektion. Windows fordert Erlaubnis, das Instrument für On-line Schutz zu installieren.

Ihr Browser wurde im ungeschützten Regime gestartet. Die Arbeit im geschützten Modus wird das sichere Funktionieren Ihres Computers gewährleisten. Für die Arbeit das Browsers im geschützten Modus Windosws ist es erforderlich, die zertifizierte abtastende Antivirussoftware und das Instrument für On-line Schutz zu installieren.

Der Titel: das Instrument für Onlineschutz
Der Hersteller: Microsoft Windows"

das problem taucht sowohl bei safari als auch bei firefox auf.
ich gehe an zwei verschiedenen orten über rooter ins netz, da ich das problem aber an beiden orten habe und andere nutzer nicht, muss es wohl mein rechner sein und nicht der rooter.

für laienkompatible hilfe wäre ich dankbar!

 

[Rupp]

Versuchs mal mit iAntivirus.

 

[flux2]

habe ich schon versucht zu installieren, aber dafür brauche ich offenbar mindestens os x 10.5. und ich habe os x 10.4.11.

 

[tocotronaut]

Systemeinstellungen - benutzer - anmeldeobjekte

ist da was verdächtiges eingetragen?

 

[kingoftf]

Virus Barrier als Demo runterladen und durchlaufen lassen.

http://www.intego.com/VirusBarrier/

 

[tocotronaut]

- lade mal einen weiteren webbrowser herunter (z.b. opera) und schau wie es sich dort verhält.

- vielleicht ist nur die hosts datei verändert. einfach mal mit einem texteditor reinschauen - die sollte grundsätzlich eher leer sein.
siehe auch: https://www.macuser.de/threads/wie-etc-hosts-editieren.173906/

- hast du spezielle einstellungen für deinen DNS Server?
unter systemeinstellungen netzwerk den DNS server löschen. (wenn er nicht mit 192.168. beginnt)

- hast du eine software wie glimmerblocker installiert?

 

[KaiAmMac]

Versuche mal MacScan , die 30 Tage Probierversion sollte reichen. Läuft auch unter Tiger.

Hier gibt es Hilfe gegen den DNSChanger.
http://www.dnschanger.com/


KaiAmMac

 

[almdudi]

Auch mal in die LaunchDaemon- und LaunchAgent-Verzeichnisse in /Library und ~/Library schauen.

 

[flux2]

@tocotronaut: sehe hier nichts verdächtiges. unetr startobjekte (falls du das meinst) steht "ituneshelper" und "system events".

das mit opera habe ich jetzt noch nicht versucht... aber ändert das etwas daran, dass hier irgendwas auf meinem rechner ist, das da nicht hingehört?

@kingoftf: virus barrier (zumindst das demo) gibt's, wenn ich das richtig sehe nur für leopard und snow leopard, nicht für tiger.

@kaiammac: macscan findet nichts!

 

[flux2]

@almdudi: die "launchagent"- und "launchdaemon"-verzeichnisse sind leer.
"internet-plug-ins" auch.

 

[KaiAmMac]

Lade Dir doch ClamXaV komplett neu, trenne die Internetverbindung und installiere und starte es dann.

KaiAmMac

 

[flux2]

@tocotronaut: ich habe eine datei "glimmer.pst" gefunden. keine ahnung was das ist. soll ich das löschen?

"vielleicht ist nur die hosts datei verändert. einfach mal mit einem texteditor reinschauen" äh...wo? (bei den posts unter dem angegeben link versteh ich ehrlich gesagt kein wort)

im feld dns-server (unter systemeinstellungen/netzwerk) steht nichts, also habe ich da anscheinend keine speziellen einstellungen.

 

[Hausbesetzer]

Monitor halt mal den Netzwerkverkehr. Im Terminal "sudo tcpdump" und dann mal google über Safari aufrufen.

 

[flux2]

wenn ich versuche, mein password ins terminal einzugeben, sieht man erst gar nichts und dann das:
sudo tcpdump
tcpdump: WARNING: en0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 96 bytes

was sagt mir das?

 

[flux2]

ah, nee, da war nur der w-lan gerade ausgefallen...

 

[Rupp]

Das Passwort muss blind eingegeben werden. Sprich beim tippen passiert nix. Wenn dus aber korrekt eingibst und Enter drückst sollte es weitergehen.

 

[flux2]

witzig. wenn ich das netzwerk monitore läuft google auf einmal ganz normal und alles sieht prima aus. als ob der trojaner (oder was immer es ist) sich verstecken würde.

 

[flux2]

hhm. und außerdem habe ich das passwort gerade geändert... vielleicht hat's auch damit zu tun?

 

[flux2]

clamxaw 2.0.5 findet auch nichts.

 

[Hausbesetzer]

clamxaw 2.0.5 findet auch nichts.

Du hast auch nichts Du machst nur irgendwas fundamental falsch