Mac & Viren - von wegen, keine Gefahr...!

[futureformer]

Ich habe hier den Rechner einer Kundin, der ohne Virenschutz am Start war.

Seit letzter Woche kann Sie sich nicht mehr anmelden, das System startet nicht durch. Vorgeschichte war ein Fenster in Safari, welches Ihr eine angbeliche Bedrohung durch einen Trojaner anzeigte. Was sie dann genau gemacht hat ist nicht mehr nachvollziehbar, vermutlich hat sie auf die Schaltfläche "Entfernen" geklickt und sich damit das böse zeug erst auf die Platte geholt.

Das Anlegen eines neues Admin-Benutzers über das Löschen der "AppleSetupDone"-Datei schlägt fehl, nach Auswahl der Sprache geht es wieder zurück in das Auswahlfenster.

Habe jetzt mal von einer anderen Installation aus gebootet und die Hardware gecheckt. Mit Avast insgesamt 9 Bedrohungen gefunden und entfernt. Leider haben sich die Symptome nicht geändert, das System startet nicht durch.
Eine Reparaturinstallation hat auch nicht gefruchtet. Kurz vor dem Anmeldbildschimr bleibt die Maschine hängen, der Bildschirm wird schwarz und alle 5 Sekunden blitzt der Ladebalken samt Hintergrund auf.

Zuerst einmal ist die Frage, ob ich nicht sinnvollerweise gleich ein Backup der User-Daten mache und dann das System neu installiere, oder ob es noch einen anderen Weg gibt, das System zu retten ?

Für alle, die ohne Vireschutz unterwegs sind sollte dieser Vorfall eine Wanrnung sein !!!

 

[AgentMax]

Ist jetzt ja nicht wirklich was neues.
Gibts ja schon länger Ala "Flash Player Update".
Wenn der User alles anklickt kann das System nichts dafür.

 

[Chaostheorie]

Virenscanner ist trotzdem überflüssig. Es handelt sich um den alten Flash-Update/MacKeeper Trick.

Sie hätte das Fenster in Safari einfach nur schließen (rotes X) oder Safari beenden müssen, dann wäre gar nichts passiert. Sie hat sich das Zeug selber auf die Platte geladen und im ungünstigsten Fall auch noch das Benutzer- oder Administratorpasswort eingegeben. Gegen sowas hilft nur Brain 2.0.

 

[Keek]

Zusätzlich zu Avast könntest du noch Malwarebytes drüberlaufen lassen und dessen Funde beheben. Naja, ob das nun zum Erfolg führt weiß ich allerdings auch nicht. Einen Versuch ist es wert.

Am sinnvollsten wäre jedoch das System platt zu machen und dann aus dem Backup (mit Stand bevor das Gerät sich infiziert hat) wiederherzustellen.

Anschließend und für die Zukunft den Kunden nicht mit dem Adminkonto arbeiten lassen.

 

[xentric]

Wenn der User alles anklickt kann das System nichts dafür.

Virenscanner ist trotzdem überflüssig. Sie hat sich das Zeug selber auf die Platte geladen[..] Gegen sowas hilft nur Brain 2.0.

Nur gut, dass das beim Großteil der Windowsviren (Office Markos, .pdf.exe "Rechnungen", "Falsch überwiesenes Geld", Bewerbung.doc.exe, ..) auch nicht anders, trotzdem immer der Virenscanner empfohlen wird. Dauert nicht mehr lange da ist das bei OS X auch nicht anders Dank Computer Bild, tollen Gesetzen und schöne AntivirenherstellerWerbung. Da freut mich sich doch Geld für die "Sicherheit" auszugeben..

 

[Impcaligula]

Ich habe hier den Rechner einer Kundin, der ohne Virenschutz am Start war.

Sei mir nicht böse... aber wenn Du die Kundin betreust, hoffe ich, dass Du da schon ein wenig mehr Wissen hast zu dem Thema...

Vorgeschichte war ein Fenster in Safari, welches Ihr eine angbeliche Bedrohung durch einen Trojaner anzeigte.

Vielleicht erst mal informieren, was sind Viren, was sind Trojaner...?

Und dann - ich bastel Dir auch so eine Webseite. Wenn Du diese besuchst bekommst Du eine 1a Meldung, dass auf Deinem Rechner ein Trojaner ist und Du jetzt ganz schnell was a) kaufen b) installieren oder c) anklicken sollst. Diese Webseite und Meldung hat aber mit einem Virus oder Trojaner das Gleiche zu tun wie der Papst Obst und ein guter Schinken...

Habe jetzt mal von einer anderen Installation aus gebootet und die Hardware gecheckt. Mit Avast insgesamt 9 Bedrohungen gefunden und entfernt. Leider haben sich die Symptome nicht geändert, das System startet nicht durch.

Und was für Bedrohungen waren das? Hast Du die bitte parat, bevor man sich gleich ein Urteil macht?

Kann natürlich durchaus sein, dass die Kundin wirklich Windows Viren / Trojaner auf dem Rechner hatte (durch Mail Anhänge etc). Klar werden die von Avast gemeldet. Sind aber auf dem macOS Rechner... sinnbefreit.

Für alle, die ohne Vireschutz unterwegs sind sollte dieser Vorfall eine Wanrnung sein !!!

Sei mir nicht böse. Aber sehr qualifiziert ist diese Aussage nicht. Weil eine Kundin eine Meldung von einer Webseite bekommen hat, weil ein AV Programm irgendwelche Bedrohungen gefunden hat. Vor solchen pauschalen Aussagen - wie wäre es mit stichhaltigen Fakten hier? Dann kann man sich darüber unterhalten.

Nix für ungut...

 

[Macschrauber]

Genau, was hat denn aktive Installation (sehr vermutlich mit Eingabe des Admin Passworts) mit einem Virus zu tun ?

Backup zurückspielen, Stand vor dem Benutzerfehler.

Ich ahne: Aktuelles Backup nicht vorhanden.

Dann, nach Bereinigung oder Neuinstallation den Kunden sowas von impfen in Zukunft Backups zu machen.

 

[futureformer]

Sei mir nicht böse... aber wenn Du die Kundin betreust, hoffe ich, dass Du da schon ein wenig mehr Wissen hast zu dem Thema...
Und dann - ich bastel Dir auch so eine Webseite. Wenn Du diese besuchst bekommst Du eine 1a Meldung, dass auf Deinem Rechner ein Trojaner ist und Du jetzt ganz schnell was a) kaufen b) installieren oder c) anklicken sollst. Diese Webseite und Meldung hat aber mit einem Virus oder Trojaner das Gleiche zu tun wie der Papst Obst und ein guter Schinken...

Beides ist klar. Die Kundin ist Neukundin und hatte keinen Virescanner. Diese Websites kenne ich in- und auswendig, die poppen bei mir täglich auf.

Und was für Bedrohungen waren das? Hast Du die bitte parat, bevor man sich gleich ein Urteil macht? Kann natürlich durchaus sein, dass die Kundin wirklich Windows Viren / Trojaner auf dem Rechner hatte (durch Mail Anhänge etc). Klar werden die von Avast gemeldet. Sind aber auf dem macOS Rechner... sinnbefreit.

Habe mir jetzt nicht die Zeit genommen, da näher nachzuforschen. Die Neuinstallation war letztlich einfacher und der saubere Weg.
Ist übrigens der erste Rechner, der direkt nach einer solchen Fake-Meldung durch eine Website (was die Kundinn genau angeklickt hat weiß ich nicht) nicht mehr ordnungsgemäß startet und auch keine neuen Benutzerf mehr anzulegen waren.

 

[JanaH]

Ah ja, und was ist jetzt der Erkenntnisgewinn? Wenn man nur genug Unsinn treibt, bekommt man jedes System gekillt? Darauf hat dieses Forum seit wann gewartet?

 

[Impcaligula]

Beides ist klar. Die Kundin ist Neukundin und hatte keinen Virescanner. Diese Websites kenne ich in- und auswendig, die poppen bei mir täglich auf.

Und ein installierter AV Scanner hätte die Kundin vor dem Besuch der Webseite gewarnt? Ein installierter AV Scanner hätte die Kundin gewarnt den Button zu klicken? Ich bin mir sicher - ein AV Scanner hätte nichts gemacht und nichts genutzt - ein AV Scanner hätte weder den Aufruf der Webseite verhindert noch das anklicken.

Diese Websites kenne ich in- und auswendig

Sorry... wieso muss man diese Webseite in und auswendig kennen, wenn diese so einen Müll produziert? Dann meide ich doch solche Seiten... welche Seite ist es denn?

Die Neuinstallation war letztlich einfacher und der saubere Weg.

Da gebe ich Dir Recht... absolut.

der direkt nach einer solchen Fake-Meldung durch eine Website (was die Kundinn genau angeklickt hat weiß ich nicht) nicht mehr ordnungsgemäß startet und auch keine neuen Benutzerf mehr anzulegen waren.

Das eine solche Webseite dafür verantwortlich ist einen Mac beim Starten zu hindern bezweifle ich sehr stark. Alleine der Besuch der Webseite reicht da bei weitem nicht aus. Da muss noch was Anderes passiert sein - oder die Anwenderin hat noch weitere Interaktionen mit was weiß ich für Programme gemacht. Das Problem ist nur bei Anwender/innen - letztendlich kommt da immer ein "das habe ich nicht gemacht" oder ein "ich habe nichts gemacht"... und am Ende sieht man das Gegenteil.

 

[Macschrauber]

Ein, zwei oder hundert Virenscanner hätten in dem Fall nichts geholfen.

Du schlägst hier Alarm ohne Nachweis. Vermutlich wurde SchadWare wie MacKeeper installiert und vielleicht passte dann irgendwas nicht zusammen.

Hast Du ein Image der vorigen Installation gemacht ? Das sollte immer der erste Schritt sein bevor man an einem defekten System arbeitet. Dieses Image hätte man dann auf eine externe HD spiegeln können und in aller Ruhe untersuchen. Vielleicht hätte schon ein sicherer Systemstart gereicht und das Entfernen von gestarteten Diensten.

Werden wir vermutlich nicht erfahren. Aber das Viren auf dem Mac gefährlich sind wissen wir jetzt.

 

[Adhoc]

Das Problem sitzt meistens vor dem Monitor.

Nach Jahrzehnten DOS-Erfahrung habe ich früh gelernt zu schauen wo man hinschauen muss und mit blinden Geklicke in Teufels Küche kommt. Windows zwingt einen dazu mit offenen Augen durchs Netz zu surfen. Dies und mit AVIRA, CCleaner sowie Regestry-Modifikationen hat man eine gute Basis um Schafprogrammen aus dem Weg zu gehen.
Umso entspannter bin ich seit meinem Umstiege auf OS. Was aber nicht bedeutet, in seiner Aufmerksamkeit nachzulassen. Ein wenig Kenntnisse in die UNIX-Prozesse (Aktivitätenanzeige) gibt einem auch einen gewissen Eindruck, was so im System läuft.

... Hast Du ein Image der vorigen Installation gemacht ? Das sollte immer der erste Schritt sein bevor man an einem defekten System arbeitet. Dieses Image hätte man dann auf eine externe HD spiegeln können ...

Sowie ich das sehe, macht die Time Machine kein Image. Oder liege ich da falsch (z.B. für das Szenario des Threaderstellers)?
Meine Sicherung geht auf die Synology und ich habe mir einen bootfähigen USB-Stick mit dem Betriebssystem erstellt.
Würde diese Strategie für einen Notfall ausreichen?
Falls nicht, dann bräuchte ich eine Empfehlung, mit welcher App ich ein Systemabbild erstellen kann.
Mit der Time Machine bin ich sehr zufrieden und möchte diese auch weiter benutzen.
Vielen Dank schonmal.

 

[Holger721]

Dies und mit AVIRA, CCleaner sowie Regestry-Modifikationen hat man eine gute Basis um Schafprogrammen aus dem Weg zu gehen.

Sind das nicht eher verschlimmbesserer?

 

[Schiffversenker]

mit welcher App ich ein Systemabbild erstellen kann..

Festplattendienstprogramm, Carbon Copy Cloner, am besten direkt nach einer Installation (aber bei CCC kann man die Benutzerordner ausschließen).
Keine Ahnung, warum die Leute immer Images wollen. Die müsste man dann doch erstmal wieder mounten, mit einem laufenden System, einen Klon auf einer kleinen Festplatte oder einer Partition oder einem größeren Stick kann man problemlos sofort starten.

 

[Adhoc]

Sind das nicht eher verschlimmbesserer?

Bei Windows macht das schon Sinn. Mit Apple bin ich ohne diese Kontrollsoftware unterwegs.

 

[Adhoc]

Festplattendienstprogramm, ...
Keine Ahnung, warum die Leute immer Images wollen. Die müsste man dann doch erstmal wieder mounten, mit einem laufenden System, einen Klon auf einer kleinen Festplatte oder einer Partition oder einem größeren Stick kann man problemlos sofort starten.

Klar, ich könnte mit meinem BS-Stick das System neu aufsetzen und danach die Time Machine Backups zurückholen.
Das Bordmittel "Festplattendienstprogramm" würde mir zusagen.
Da wird ein "leeres Image" und ein "Image von Ordner" angeboten, das "HD-Image" ist ausgegraut.
Warum Image? Naja - es geht mir dabei primär nicht um meine Daten, sondern um eine Nachinstallation von Apps (z.B. Office) zu umgehen.

 

[Macschrauber]

Recovery Partition booten und Wiederherstellen wählen. Eine Kopie kann man ja nicht von einem NICHT lauffähigen System mehr machen.

 

[Schiffversenker]

Warum Image? Naja - es geht mir dabei primär nicht um meine Daten, sondern um eine Nachinstallation von Apps (z.B. Office) zu umgehen.

Genau das verstehe ich nicht.
Wie unterscheidet sich ein Image von einem Klon hinsichtlich Daten/System? Kann es sein, daß "Image" für Winowsianer was anderes bedeutet als unter UNIX/Linux/OSX?
Für mich ist der Unterschied, daß ein Klon eine startfähige Partition ist (wenn das Original startfähig war), ein Image aber eine Datei, also ein Abbild einer Partition oder anders gesagt ein virtuelles Laufwerk, völlig egal was drauflag, und das erst mal wieder aktiviert werden muß, bevor man damit was machen kann.

 

[Schiffversenker]

Da wird ein "leeres Image" und ein "Image von Ordner" angeboten, das "HD-Image" ist ausgegraut.

HD-Image ist mir neu und unbekannt.
Ich würde ein leeres Image erstellen und dann den gewünschten Inhalt reinkopieren.
Allerdings würde ich das nie machen, wenn ich mein System klonen wollte. Sondern nur wenn ich z.B. was verschlüssetl ablegen wollte.
Zum Klonen würde ich einfach auf den Reiter "Wiederherstellen" gehen, denn genau der dient zum Klonen. Aber Vorsicht, Zielvolume und Quellvolume sollte man da auf keinen Fall verwechseln. Und das Zielvolume sollte natürlich leer sein.

 

[Adhoc]

Okay - die Begrifflichkeit. Also bei Windows habe ich wöchentlich ein Image (=Systemabbild) erstellt für folgenden Umstand:
Falls ein Schadprogramm eingefangen wurde oder man im System "rum gefummelt" hat, konnte man sich das ganze Reparatur- oder Rückgängig-Procedere sparen. Einfach den (nicht bootfähigen) Systemzustand (z.B. im abgesicherten Modus) vor maximal einer Woche wiederherstellen. Dabei wurden auch allerdings die inzwischen neu erstellten Dateien natürlich nicht berücksichtigt.

"HD-Image" nennt sich korrekterweise "Image von Macintosh HD".

Dann werde ich mich mal mit dem HD-Dienstprogramm näher beschäftigen und einen Klon auf meine Synology erstellen (bei der ich vorher eine Partition einrichte).

Vielen Dank für die Aufklärungsarbeit.