besuchte Internetseiten

[man0l0]

Hast du denn dein Passwort denn zumindest mal geändert?
(Und nicht ähnlich wie "solmic123" )

Und was ganz anderes: Warum gibst du anderen, denen du offensichtlich nicht vertraust, Zugriff auf deinen Computer?

 

[solmic]

Weder teile ich den Computer, noch hat die Person offiziell Zugriff auf ihn. Lange Zeit hatte ich auch kein Benutzerkonto bzw. Kennwort; da war der Zugriff recht leicht. Mittlerweile gibt es ein Kennwort... was man aber auch - kennt man die richtigen Leute - knacken kann. Eben vor einer Woche geschehen. Aber darum geht es mir hier gar nicht und wie ich sichere Passwörter generiere, ist mir geläufig

Wie komme ich einem Keylogger nun auf die Spur?

 

[Pill]

Du könntest mal LittleSnitch installieren, damit kannst ein- und ausgehende Verbindungen anzeigen lassen. Außerdem kannst du mal im Activity Monitor die Prozesse durchschauen, vielleicht findet sich etwas auffälliges.

Und schau auch mal die Anmeldeobjekte und die Dateien in /Library/LaunchAgents/, /Library/LaunchDeamons bzw. ~/Library/LaunchAgents/, ~/Library/LaunchDeamons durch.

 

[redweasel]

Darum geht es sehr wohl. Ohne sicheres Passwort musst du dich gar nicht um andere Dinge kümmern.
Da kannst du zuerst mal den Mac komplett neu aufsetzen, dann ein neues sicheres Passwort geben und dann weiter schauen (falls das Problem noch auftritt).

 

[solmic]

Du könntest mal LittleSnitch installieren, damit kannst ein- und ausgehende Verbindungen anzeigen lassen. Außerdem kannst du mal im Activity Monitor die Prozesse durchschauen, vielleicht findet sich etwas auffälliges.

Und schau auch mal die Anmeldeobjekte und die Dateien in /Library/LaunchAgents/, /Library/LaunchDeamons bzw. ~/Library/LaunchAgents/, ~/Library/LaunchDeamons durch.

Danke!

Worauf achte ich im Activity Monitor - was gibt mir da Hinweise? Und wie komme ich da hin?
Zu den Pfaden: /Library/LaunchAgents ist leer und /Library/LaunchDaemons enthält com.spsecure.daemon.plist
... und nun?

 

[man0l0]

/Library/LaunchDaemons enthält com.spsecure.daemon.plist
... und nun?

EDIT: Dabei handelt es sich offensichtlich um Spyware.
EDIT 2: Ist dieses Programm.

Spector Pro automatically takes hundreds of snapshots every hour and provides an easy-to-use, video-style playback tool so that you can see everything they do on the computer and Internet.

Spector Pro also automatically records what they search for on the Internet, every web site visited, any files downloaded or uploaded, the programs run and every keystroke typed, plus chats, instant messages and emails sent and received.

Capture every single Keystroke they type (including user names and passwords)

Und damit hast du des Rätsels Lösung.

 

[solmic]

Na wunderbar...

Könnt ihr mir auch sagen, wie ich dieses Ungeheuer sicher entferne?
Kann ich auch sehen, wie lange dieses Ding schon auf dem Rechner ist?
Und wie kann ich mich in Zukunft sicher vor solchem Zeug schützen?

Fragen über Fragen...

Ich bin... ein wenig geplättet.

 

[rodriguez]

Es werden unter Safari Vorschaubilder gespeichert, die bleiben auch bestehen wenn man den Verlauf löscht.

Auch wenn das mitunter das erste war, was ich abgestellt habe ...

Und wo kann man das bitte abstellen?

 

[cdmac]

boah, das ist ja heftig...

 

[cdmac]

Na wunderbar...

Könnt ihr mir auch sagen, wie ich dieses Ungeheuer sicher entferne?
Kann ich auch sehen, wie lange dieses Ding schon auf dem Rechner ist?
Und wie kann ich mich in Zukunft sicher vor solchem Zeug schützen?

Fragen über Fragen...

Ich bin... ein wenig geplättet.

Es müsste doch reichen, wenn keiner das Admin-Passwort kennt, oder? Und man möglichst selbst nicht als Admin arbeitet. Sehe ich das richtig?

 

[man0l0]

Na wunderbar...

Könnt ihr mir auch sagen, wie ich dieses Ungeheuer sicher entferne?
Kann ich auch sehen, wie lange dieses Ding schon auf dem Rechner ist?

Ich muss zugeben, dass ich mich mit Spyware nicht auskenne.
Es könnte also auch sein, dass du das Programm nicht so ohne weiteres findest.
Aber ein Versuch wäre es wert, wenn du mittels Spotlight nach "spector pro" suchst. Sollte es dann dazu ein SpectorPro.app geben, kannst du in den Informationen das Erstellungsdatum sehen.

Zur Deinstalltion google einfach mal.
Da wird es mit sicherheit eine Deinstallationsroutine geben.

Und wie kann ich mich in Zukunft sicher vor solchem Zeug schützen?

Niemanden an deinen Rechner lassen, den du nicht kennst, dem du nicht vertraut und der da nichts zu suchen hat.
Und dein Passwort so wählen, dass es nicht zu erraten ist.

 

[man0l0]

Und wo kann man das bitte abstellen?

Weiß ich nicht mehr, kann aber mal schauen, ob ich's wieder finde.

 

[LosDosos]

Könnt ihr mir auch sagen, wie ich dieses Ungeheuer sicher entferne?

Additionally, Spector Pro cannot be uninstalled without the password which YOU specify and does not slow down the operation of the computer it is recording.

http://www.spectorsoft.com/products/spector_macintosh/faqs.asp

Vermutlich bekommst Du die Software nicht runter, wenn Du nicht das extra dafür vergebene Passwort eingeben kannst.
Du kannst zwar versuchen, die com.spsecure.daemon.plist und auch das Programm zu löschen, aber eins ist klar:
Dein System wurde ganz klar kompromittiert und wird nicht mehr vertrauenswürdig sein.
Ich würde es daher ganz klar neu aufsetzen, alles andere ist zu risky.

 

[ekki161]

Niemanden an deinen Rechner lassen, den du nicht kennst, dem du nicht vertraut und der da nichts zu suchen hat.
Und dein Passwort so wählen, dass es nicht zu erraten ist.

Lange Zeit hatte ich auch kein Benutzerkonto bzw. Kennwort; da war der Zugriff recht leicht

Das hast du ja jetzt offenbar geändert ?

Und nach deiner Spyware-Erfahrung, weißt du jetzt auch, warum man "automatische" Anmeldung nicht unbedingt einrichten sollte.

 

[LosDosos]

Und wo kann man das bitte abstellen?

Ins Terminal

defaults write com.apple.Safari DebugSnapshotsUpdatePolicy -int 2

eingeben.

Rückgängig machen mit

defaults delete com.apple.Safari DebugSnapshotsUpdatePolicy

Dadurch wird natürlich Topsites & Coverflow deaktiviert.

 

[man0l0]

Interessant wäre es, ob man die Emailadresse, an die die Daten gesendet werden, herausfinden kann. Dann könnte dem (wenn es keine Wegwerfadresse ist) die Anzeige gleich erfolgen.
Aber ich befürchte, so leicht wird das nicht …

 

[solmic]

Ich bin ja "Admin" ... nur ließ sich das Passwort letzte Woche knacken; mein Laptop wurde morgens "einkassiert" und am Abend hatte ich die "Ergebnisse"...

Ehrlich gesagt hab ich das Gefühl, dass rein gar nichts mehr sicher ist.

Können die Protokolle vom Keylogger wirklich nur an meinem Computer ausgelesen werden? Oder geht das auch von extern...

Würde es Sinn machen, den Computer zum "Entseuchen" zum AppleStore oder zu sonst wem Kompetenten zu bringen? Ich kenn mich eh schon kaum mit den Dingern aus... mit einem Keylogger brauche ich es erst gar nicht aufnehmen.

 

[ekki161]

mein Laptop wurde morgens "einkassiert"

Was genau bedeutet "einkassiert" ? Von wem ?

 

[man0l0]

Ich bin ja "Admin" ... nur ließ sich das Passwort letzte Woche knacken; mein Laptop wurde morgens "einkassiert" und am Abend hatte ich die "Ergebnisse"...

Nichts für ungut, aber etwas undurchsichtig ist es schon, was du mit deinem Rechner so machst.
Das Passwort "ließ sich knacken"? Von wem? Warum weißt du davon?
Was meinst du mit "Laptop wurde einkassiert"?

Ehrlich gesagt hab ich das Gefühl, dass rein gar nichts mehr sicher ist.

Ist es ja auch nicht.
Dosos hat es gesagt: Neu aufsetzen ist das Sicherste.

Können die Protokolle vom Keylogger wirklich nur an meinem Computer ausgelesen werden? Oder geht das auch von extern...

Die "Daten" werden per Mail oder vielleicht auch FTP weitergeleitet.

 

[LosDosos]

Können die Protokolle vom Keylogger wirklich nur an meinem Computer ausgelesen werden? Oder geht das auch von extern...

Natürlich von extern, lies Dir doch mal die Herstellerseite durch.
Alle Ergebnisse werden übers Netz an den Empfänger verschickt.

Weiterhin kannst Du die Software nicht deinstallieren, ohne das extra dafür vom Eindringling angelegte Passwort zu kennen.

Sichere Deine Daten (wenn nicht eh schon längst geschehen) und lösche die Platte/installiere das System von grundauf neu.

Einem derart kompromittierten System ist keinen Meter mehr über den Weg zu trauen.