MacOS:Agent-BI [Trj] bzw. OSX/Agent-AYKD

[Robin235]

Guten Tag,

Beim surfen auf einer seriösen Seite ploppte heute mein Sophos Antiviren Programm auf mit einer Warnung vor OSX/Agent-AYKD. Ich habe den Thread in einer Panikreaktion bereinigt, sodass ich leider nicht viel drüber sagen kann.
Die Datei selbst wurde laut Zeitstempel erstellt kurz bevor das Virenprogram angeschlagen hat.

Auf dem Screenshot im Anhang ist mein systemlog zu sehen, welchen ich nach der Datei durchsucht habe und tatsächlich hat ein Prozess darauf versucht zuzugreifen (erfolglos, da ich gegen 19 Uhr den Thread bereinigt hatte mit Sophos)

Ein Scan meines Systems hat einen weiteren gleichnamigen Thread gefunden. Den habe ich dann auch mal bei virustotal scannen lassen:

Antivirus scan for 2c3cf67748c0edf9d936458b394c1ed34c6a81a866b7bc1e8a5a8e625d31301b at 2018-02-27 21:00:25 UTC - VirusTotal


Ich beobachte seit heute (evtl. auch gestern), dass die Spotlight-Suche nicht funkioniert. Ich kann das Feld aufrufen aber nichts in die Suchmaske eingeben.


Wird irgendjemand daraus schlau? Sollte ich mein System komplett neu aufsetzen, alle Passwörter ändern oder kann ich moderater vorgehen? Evtl. falscher Alarm?

 

[Robin235]

Ich habe mal den Kontext in dem die Datei steht versucht mit folgendem Screenshot zu verdeutlichen. Auf die anderen Dateien springt der Scanner nicht an.
Was mich verwundert ist, dass die Dateien das Format einer Hardware-UUID haben.

Wenn ich in eine andere Datei in diesem Ordner schaue finde ich eine Datei die verdächtig nach Bitcoin Miner aussieht (siehe Bild 2)

Wie werde ich das sauber wieder los und wo kann man sich sowas einfangen?

 

[walfreiheit]

1. Sophos runterschmeißen.
2. Malwarebytes drüberlaufen lassen.
3. Wieder hier melden.

 

[Robin235]

Malwarebytes findet:
OSX.Genieo

in Users/Robin/Library/sisinfo.plist

 

[walfreiheit]

Malwarebytes findet:
OSX.Genieo

in Users/Robin/Library/sisinfo.plist

Dann schleunigst bereinigen und nochmal prüfen!

 

[oneOeight]

starte halt mal in den sicheren modus mit shift und guck dann die LaunchAgents bzw Daemons durch …

 

[Robin235]

Achso und das steht in der Datei, weiter nichts:

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>

    <key>isExist</key>

    <string>YES</string>

</dict>

</plist>

 

[walfreiheit]

Du öffnest erkannte Dateien auch noch?

 

[Robin235]

starte halt mal in den sicheren modus mit shift und guck dann die LaunchAgents bzw Daemons durch …

Und wonach muss ich da ausschau halten? Mehr als etwas Halbwissen habe ich leider nicht vorzuweisen...

 

[walfreiheit]

Lass mal EtreCheck laufen und teile uns hier das Ergebnis mit. Das ausgegebene Protokoll kannst du hier einfügen, indem du beim Erstellen eines Beitrags oben auf das

-Symbol klickst, und dann auf "

Code". Gegebenenfalls musst du das Protokoll aufgrund der Länge in zwei oder mehrere Beiträge aufteilen.

 

[Robin235]

Du öffnest erkannte Dateien auch noch?

Nur mit cat den Inhalt ausgegeben. Die Datei war nichtmal ausführbar

 

[Robin235]

Also der zweite Malwarebytes Scan nach entfernen des Threads blieb sauber

 

[walfreiheit]

Also der zweite Malwarebytes Scan nach entfernen des Threads blieb sauber

Das ist schon einmal gut.

 

[Robin235]

Ich habe jetzt mal in den abgesicherten Modus gestartet, bin aber gerade verwirrt was ich nun kontrollieren soll.

Etrecheck spuckt das hier aus:

EtreCheck version: 4.0.4 (4A150)
Report generated: 2018-02-27 23:44:54
Download EtreCheck from https://etrecheck.com
Runtime: 1:59
Performance: Excellent

Problem: Other problem

Major Issues: None

Minor Issues:
  These issues do not need immediate attention but they may indicate future problems.
  Clean up - There are orphan files that could be removed.
  Unsigned files - There is unsigned software installed. It appears to be legitimate but should be reviewed.
  System modifications - There are a large number of system modifications running in the background.

Hardware Information:
  MacBook Pro (Retina, 15-inch, Mid 2014)
  MacBook Pro Model: MacBookPro11,2
  1 2,2 GHz Intel Core i7 (i7-4770HQ) CPU: 4-core
  16 RAM Not upgradeable
    BANK 0/DIMM0
      8 GB DDR3 1600  ok
    BANK 1/DIMM0
      8 GB DDR3 1600  ok
  Battery: Health = Normal - Cycle count = 485

Video Information:
  Intel Iris Pro - VRAM: 1536 MB
    Color LCD 2880 x 1800

Drives:
  disk0 - APPLE SSD SM0256F 251.00 GB (Solid State - TRIM: Yes)
  Internal PCI 5.0 GT/s x2 Serial ATA
    disk0s1 - EFI (MS-DOS FAT32) [EFI] 210 MB
    disk0s2 [Core Storage Container] 250.14 GB
      disk1 - Macintosh HD (Journaled HFS+) 249.78 GB
    disk0s3 - Recovery HD (Journaled HFS+) [Recovery] 650 MB

Mounted Volumes:
  disk1 - Macintosh HD 249.78 GB (24.94 GB free)
  Journaled HFS+
  Mount point: /
  Encrypted

Network:
  Interface en3: Bluetooth PAN
  Interface bridge0: Thunderbolt Bridge
  Interface en4: iPhone
  Interface en5: Thunderbolt Ethernet
  Interface en0: Wi-Fi
    802.11 a/b/g/n/ac
    One IPv4 address
  iCloud Quota: 4.12 GB available

System Software:
  macOS Sierra 10.12.6 (16G1212)
  Time since boot: Less than an hour
  System Load: 2.19 (1 min ago) 3.58 (5 min ago) 1.94 (15 min ago)

Configuration Files:
  File /etc/sysctl.conf exists but not expected

Security:
  System                       Status
  Gatekeeper                   Mac App Store
  System Integrity Protection  Enabled
Unsigned Files:
  Launchd: /Library/LaunchDaemons/com.oracle.java.Helper-Tool.plist
    Executable: /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/Helper-Tool
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchDaemons/com.adobe.SwitchBoard.plist
    Executable: /Library/Application Support/Adobe/SwitchBoard/SwitchBoard.app/Contents/MacOS/launch.switchboard
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchAgents/C1765printhelper.plist
    Executable: /Library/Printers/Dell/PDEs/C1765printhelper.app/Contents/MacOS/C1765printhelper
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchDaemons/com.aladdin.aksusbd.plist
    Executable: /usr/libexec/aksusbd -f
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchDaemons/com.cisco.anyconnect.vpnagentd.plist
    Executable: /opt/cisco/anyconnect/bin/vpnagentd -execv_instance
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchDaemons/com.microsoft.office.licensing.helper.plist
    Executable: /Library/PrivilegedHelperTools/com.microsoft.office.licensing.helper
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchAgents/com.oracle.java.Java-Updater.plist
    Executable: /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/Java Updater.app/Contents/MacOS/Java Updater -bgcheck
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchDaemons/com.xrite.hasp.drivers.plist
    Executable: /Applications/i1Profiler/i1Profiler.app/Contents/Resources/installHasp.sh
    Details: Exact match found in the whitelist - probably OK
  Launchd: /Library/LaunchDaemons/com.aladdin.hasplmd.plist
    Executable: /usr/libexec/hasplmd -s -f
    Details: Exact match found in the whitelist - probably OK

Kernel Extensions:
  /Library/Application Support/HASP/kexts/aksfridge_signed.kext
    [Not Loaded] aksfridge.signed.kext (1.0.16332)
  /Library/Extensions
    [Loaded]     com.malwarebytes.mbam.rtprotection.kext (3.2 - SDK 10.13)
    [Not Loaded] SophosFileProtection.kext (9.6.53 - SDK 10.11)
    [Not Loaded] SophosWebProtection.kext (9.6.52 - SDK 10.11)
    [Not Loaded] Pen Tablet.kext (Pen Tablet 5.3.7-6 - SDK 10.12)

System Launch Agents:
  [Not Loaded]  6 Apple tasks
  [Loaded]      183 Apple tasks
  [Running]     96 Apple tasks

System Launch Daemons:
  [Not Loaded]  40 Apple tasks
  [Loaded]      175 Apple tasks
  [Running]     105 Apple tasks
  [Other]       2 Apple tasks

 

[Robin235]

Launch Agents:
  [Not Loaded] com.xrite.device.softwareupdate.plist (X-Rite, Incorporated - installed 2015-09-18)
  [Not Loaded] com.wacom.pentablet.plist (Wacom Technology Corp. - installed 2016-10-11)
  [Not Loaded] com.teamviewer.teamviewer_desktop.plist (TeamViewer GmbH - installed 2014-12-16)
  [Not Loaded] com.sophos.uiserver.plist (Sophos - installed 2017-05-08)
  [Not Loaded] C1765printhelper.plist (? 5c719288  - installed 2013-01-21)
  [Not Loaded] com.teamviewer.teamviewer.plist (? aa311aa9  - installed 2014-12-16)
  [Not Loaded] com.adobe.AAM.Updater-1.0.plist (Adobe Systems, Inc. - installed 2015-09-11)
  [Not Loaded] org.macosforge.xquartz.startx.plist (Apple Inc. - XQuartz - installed 2016-10-26)
  [Not Loaded] com.google.keystone.agent.plist (Google, Inc. - installed 2017-09-28)
  [Not Loaded] com.adobe.GC.Invoker-1.0.plist (Adobe Systems, Inc. - installed 2018-01-31)
  [Not Loaded] com.oracle.java.Java-Updater.plist (? d95e095c  - installed 2017-12-20)
  [Not Loaded] com.epson.esua.launcher.plist (Seiko Epson Corporation - installed 2017-05-14)
  [Not Loaded] com.cisco.anyconnect.gui.plist (? 40bd3462  - installed 2014-06-11)
  [Not Loaded] com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist (Adobe Systems, Inc. - installed 2017-01-11)
  [Not Loaded] com.malwarebytes.mbam.frontend.agent.plist (Malwarebytes Corporation - installed 2018-02-14)
  [Not Loaded] com.sophos.agent.plist (Sophos - installed 2017-05-08)
  [Not Loaded] com.epson.Epson_Low_Ink_Reminder.launcher.plist (EPSON - installed 2015-01-19)

Launch Daemons:
  [Not Loaded] com.adobe.ARMDC.SMJobBlessHelper.plist (Adobe Systems, Inc. - installed 2017-01-11)
  [Not Loaded] com.malwarebytes.mbam.settings.daemon.plist (Malwarebytes Corporation - installed 2018-02-14)
  [Not Loaded] com.microsoft.autoupdate.helper.plist (Microsoft Corporation - installed 2017-01-18)
  [Not Loaded] com.teamviewer.teamviewer_service.plist (? b485a599  - installed 2014-12-16)
  [Not Loaded] com.xrite.hasp.drivers.plist (? e1f82b3d  - installed 2017-04-29)
  [Not Loaded] org.virtualbox.startup.plist (? 0  - installed )
  [Not Loaded] com.cisco.anyconnect.vpnagentd.plist (? a7cbca7  - installed 2014-06-11)
  [Not Loaded] com.teamviewer.Helper.plist (TeamViewer GmbH - installed 2014-12-30)
  [Not Loaded] com.malwarebytes.HelperTool.plist (Malwarebytes Corporation - installed 2018-02-27)
  [Not Loaded] com.malwarebytes.mbam.rtprotection.daemon.plist (Malwarebytes Corporation - installed 2018-02-14)
  [Not Loaded] com.adobe.SwitchBoard.plist (? 856489a3  - installed 2014-08-16)
  [Not Loaded] com.adobe.fpsaud.plist (Adobe Systems, Inc. - installed 2018-02-02)
  [Not Loaded] com.microsoft.office.licensing.helper.plist (? 6d8cb30e  - installed 2014-03-26)
  [Not Loaded] com.oracle.java.Helper-Tool.plist (? e3fefdd2  - installed 2017-12-20)
  [Not Loaded] org.macosforge.xquartz.privileged_startx.plist (Apple Inc. - XQuartz - installed 2016-10-26)
  [Not Loaded] com.adobe.agsservice.plist (Adobe Systems, Inc. - installed 2018-01-31)
  [Not Loaded] com.adobe.ARMDC.Communicator.plist (Adobe Systems, Inc. - installed 2017-01-11)
  [Not Loaded] com.cyberghostsrl.CyberghostPrivilegedHelper.plist (Cyberghost SRL - installed 2014-12-06)
  [Not Loaded] com.aladdin.aksusbd.plist (? 882ffbab  - installed 2018-02-24)
  [Not Loaded] com.google.keystone.daemon.plist (Google, Inc. - installed 2017-10-13)
  [Not Loaded] com.aladdin.hasplmd.plist (? c5d97ee2  - installed 2018-02-24)
  [Not Loaded] com.xrite.device.xrdd.plist (X-Rite, Incorporated - installed 2015-09-18)
  [Not Loaded] com.microsoft.office.licensingV2.helper.plist (Microsoft Corporation - installed 2016-06-11)
  [Not Loaded] com.sophos.common.servicemanager.plist (Sophos - installed 2017-09-26)

User Launch Agents:
  [Not Loaded] com.spotify.webhelper.plist (Spotify - installed 2018-02-09)
  [Not Loaded] com.dropbox.DropboxMacUpdate.agent.plist (Dropbox, Inc. - installed 2017-08-10)
  [Not Loaded] com.adobe.GC.Invoker-1.0.plist (Adobe Systems, Inc. - installed 2018-01-31)
  [Not Loaded] org.virtualbox.vboxwebsrv.plist (? 0  - installed )
  [Not Loaded] com.skype.skype.shareagent.plist (Skype Communications S.a.r.l - installed 2017-05-04)
  [Not Loaded] com.adobe.AAM.Updater-1.0.plist (Adobe Systems, Inc. - installed 2015-09-11)

User Login Items:
  iTunesHelper Programm (Apple, Inc. - installed 2018-01-25)
     (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
  Dropbox Programm (Dropbox, Inc.
     (/Applications/Dropbox.app)
  Alfred 2 Programm (Running with Crayons Ltd
     (/Applications/Alfred 2.app)
  Mail Programm (Apple, Inc.
     (/Applications/Mail.app)
  i1ProfilerTray Programm
     (/Applications/i1Profiler/i1ProfilerTray.app)
  tubcloud Programm
     (/Applications/tubcloud.app)
  ColorNavigator 6 Programm (EIZO Corporation
     (/Applications/ColorNavigator 6.app)

Internet Plug-ins:
  ChemDraw Plugin Pro: 14 . 0 . 0 (installed 2014-04-17)
  Unity Web Player: UnityPlayer version 4.5.4f1 (installed 2014-09-21)
  ChemDraw Plugin Professional: 15 . 0 . 0 (installed 2015-07-21)
  AdobeExManDetect: AdobeExManDetect 1.1.0.0 (installed 2014-08-18)
  WacomTabletPlugin: WacomTabletPlugin 2.1.0.6 (installed 2016-10-11)
  AdobeAAMDetect: AdobeAAMDetect 1.0.0.0 (installed 2015-09-11)
  AdobePDFViewerNPAPI: 17.009.20044 (installed 2017-04-12)
  FlashPlayer-10.6: 28.0.0.161 (installed 2018-02-06)
  Silverlight: 5.1.41212.0 (installed 2016-02-07)
  QuickTime Plugin: 7.7.3 (installed 2018-02-05)
  Flash Player: 28.0.0.161 (installed 2018-02-06)
  NP_2020Player_IKEA: 5.0.94.1 (installed 2012-09-28)
  AdobePDFViewer: 17.009.20044 (installed 2017-04-12)
  SharePointBrowserPlugin: 14.6.6 (installed 2016-07-13)
  JavaAppletPlugin: Java 8 Update 161 build 12 (installed 2018-01-20)

User Internet Plug-ins:
  RealPlayer Plugin: Unknown (installed 2016-03-19)

Safari Extensions:
  AdBlock.safariextz - BetaFish, Inc. - https://getadblock.com (installed 2015-09-28)
  Google Scholar Button.safariextz - Alex Verstak, Google - https://scholar.google.com/ (installed 2016-08-23)
  YouTubeUnblocker.safariextz - Lunaweb Ltd. - http://www.unblocker.yt (installed 2016-01-05)
  WasteNoTime.safariextz - Bumblebee Systems, Inc. - http://www.bumblebeesystems.com/ (installed 2017-05-04)
  Grammarly for Safari.safariextz - Grammarly - https://www.grammarly.com (installed 2018-02-11)

3rd Party Preference Panes:
  Flash Player (installed 2018-02-02)
  Java (installed 2018-01-20)
  TeXDistPrefPane (installed 2015-09-30)
  PenTablet (installed 2016-10-15)

Time Machine:
  Skip System Files: No
  Mobile backups: No
  Auto backup: Yes
  Volumes being backed up:
    Macintosh HD: Disk size: 249.78 GB - Disk used: 224.84 GB
  Destinations:
    I*****O [Local]
      Total size: 999.86 GB
      Total number of backups: 23
      Oldest backup: 2015-12-21 14:41:27
      Last backup: 2018-01-14 17:13:55
    M*************e [Local] (Last used)
      Total size: 2.00 TB
      Total number of backups: 9
      Oldest backup: 2018-02-17 17:35:47
      Last backup: 2018-02-25 22:06:19

Top Processes by CPU:
  Process (count)     Source    % of CPU
  WindowServer        Apple           1
  kernel_task         Apple           1
  cloudd              Apple           0
  UserEventAgent (2)  Apple           0
  Dock                Apple           0

Top Processes by Memory:
  Process (count)                  Source    RAM usage
  kernel_task                      Apple       1002 MB
  com.apple.WebKit.WebContent (2)  Apple        587 MB
  Safari                           Apple        543 MB
  WindowServer                     Apple        433 MB
  Dock                             Apple        154 MB

Top Processes by Network Use:
  Process                      Source    Input  Output
  com.apple.WebKit.Networking  Apple    107 KB   14 KB
  mDNSResponder                Apple     25 KB    5 KB
  apsd                         Apple     10 KB   10 KB
  netbiosd                     Apple     522 B   354 B

Top Processes by Energy Use:
  Process (count)    Source  Energy usage (0-100)
  assistant_service  Apple   4
  Terminal           Apple   1
  assistantd         Apple   0
  WindowServer       Apple   0
  CalendarAgent      Apple   0

Virtual Memory Information:
  Available RAM    11.54 GB
  Free RAM          7.99 GB
  Used RAM          4.46 GB
  Cached files      3.55 GB
  Swap Used             0 B

Software Installs (past 30 days):
  Name           Version  Install Date
  Plot2          2.3.2    2018-02-08
  Evernote       7.0.1    2018-02-25
  Dr. Antivirus  2.1.0    2018-02-27

Clean up:
  ~/Library/LaunchAgents/org.virtualbox.vboxwebsrv.plist
    /Applications/VirtualBox.app/Contents/MacOS/vboxwebsrv
    Executable not found
  /Library/LaunchAgents/com.cisco.anyconnect.gui.plist
    /Applications/Cisco/Cisco AnyConnect Secure Mobility Client.app
    Executable not found

Diagnostics Information (past 7 days):
  2018-02-27 23:36:57 Last Shutdown Cause: 3 - Hard shutdown
  2018-02-27 23:21:54 Installer.app Crash
  2018-02-27 23:18:56 package.app Crash
     Terminating app due to uncaught exception NSRangeException reason: -__NSCFString substringWithRange:: Range 9223372036854775843 500 out of bounds string length 36976abort calledterminating with uncaught exception of type NSException
  2018-02-27 23:12:27 Dr. Antivirus.app CPU
  2018-02-27 19:26:01 SophosScanD.app CPU
  2018-02-25 19:38:34 iTunes.app CPU
  2018-02-24 17:58:45 ColorNavigator 6.app Crash
  2018-02-24 16:22:38 C1765printhelper.app Crash
    dyld: launch running initializersusrliblibSystem.B.dylib

End of report

 

[Robin235]

Beim rebooten OHNE abgesicherten Modus erscheint direkt nach der Anmeldung diese Anfrage an eine Netzwerkverbindung.

Die kam wenn ich mich richtig erinnere letzte Woche schon mal, hatte es da nur ignoriert weil ich in diesem Thread: Hasplmd, what does it do? | Official Apple Support Communities darauf gestoßen bin, dass es was mit meinem X-Rite i1Pro zu tun haben kann (Farbkalibriergerät für Fotografen) und ich zu dem Zeitpunkt da auch was verändert hatte an den Einstellungen.

Evtl. muss man das nun unter einem anderen Licht beurteilen?

 

[walfreiheit]

Der Sophos-Quatsch ist ja immer noch drauf.

Hatte ja auch nicht geholfen.

 

[Robin235]

Der Sophos-Quatsch ist ja immer noch drauf.

Hatte ja auch nicht geholfen.

Da ich Online Banking benutze gehört ein aktueller Virenscanner zu den Sorgfaltspflichten. Dass das dämlich ist, weiß ich selbst, aber in die Haftung möchte ich nicht genommen werden falls doch mal irgendwas sein sollte

 

[Robin235]

Die verdächtig nach Cryptominer aussehende Cache.db findet Malwarebytes aber nicht (siehe 2. Post) ... Als Laie sehe ich da aber schon an den URLs das da irgendwas nicht ganz koscher sein kann...

 

[Robin235]

Also ich habe noch mal nachgeschaut... die in Post 2 erstellten Dateien wurden am 19. Februar erstellt, 1 Minute nachdem ich den ebook Verwalter Calibre von:

Calibre für macOS

heruntergeladen und installiert habe. Wenn ich den installer allerdings scanne wird nichts gefunden.

Spricht das für harmlose Adware oder sollte ich das System platt machen?