Malware /Hijacking auf Browsern meines MacBookAir - wer weiss Hilfe?

[Miribe]

hallo an die Runde,

ich habe offenbar einen sog. Hijacker Virus auf meinem McBook Air. Als Browser verwende ich zumeist Safari, ab und an Firefox. Bei mir ist google als Suchmaschine eingestellt, in den Voreinstellungen stimmt alles. Allerdings schiebt sich seit 5 Tagen dauernd yahoo und / oder bing vor google und nachdem ich yahoo einmal per hand über Safari auslöschen konnte bing und nun wieder yahoo - das ist wie ein loop... Ich kann es zwar immer wieder deaktivieren, aber nun auch nicht mehr löschen und keine der Aktionen hilft.
Was kann ich machen, um die Malware zu entfernen? Den Netdoktor habe ich durchgeführt, inzwischen auf Rat von oneOeight den Etrecheck durchgeführt und die Malware Bytes Anti-Malware installiert. Dann erscheint wieder google, alles scheint richtig und kaum gebe ich Suchbegriffe ein schiebt sich bing und / ode yahoo davor. Ich war gestern bei Gravis, da funktionierte plötzlich alles... Das Problem habe ich allerdings nicht nur im home office sondern mit dem selben macbook auch bei mir im Büro so dass es wohl kaum am Plan liegen kann?

 

[oneOeight]

mach noch mal den etrecheck, den kannst dann hier mal einfügen mit dem plus symbol, dort dann code auswählen.

wahrscheinlich wurden die launch agents/daemons nicht gelöscht oder du hast noch profile, das immer wieder umstellen.
die profile findest du in den systemeinstellungen.

 

[Miribe]

danke! Zum Verständnis: was meinst Du mit hier einfügen mit plus symbol und und dort dann code auswählen. Wo einfügen?
Und Du meinst nicht Safari Einstellungen sondern Systemeinstellungen: schau ich da unter Sicherheit?

 

[YoungApple]

Den EtreCheck-Report so einfügen.

 

[Rubens]

Das etrecheck Ergebinss einfügen bei der Anwort hier im Forum.

 

[oneOeight]

Und Du meinst nicht Safari Einstellungen sondern Systemeinstellungen: schau ich da unter Sicherheit?

die systemeinstellungen und nein, nicht unter sicherheit.
wenn es profile gibt, dann gibt es da einen eigenen eintrag profile.

 

[Miribe]

Hallo, ich hab jetzt noch mal versucht, den Etrecheck zu machen aber da ich dort keine Kundin bin, erhalte ich wieder den von gestern. Kein Code, sondern den Report. Den kann ich gerne als Schriftdatei hier Dreinkopieren. macht das Sinn?

 

[elChupete]

Lies was die Anderen geschrieben haben.

Den Etrechek text markieren, kopieren , hier auf Antworten klicken , das pluszeichen klicken , code auswählen, den etrecheck text einfügen

 

[oneOeight]

Hallo, ich hab jetzt noch mal versucht, den Etrecheck zu machen aber da ich dort keine Kundin bin, erhalte ich wieder den von gestern. Kein Code, sondern den Report.

du darfst doch 5x mal checken in der gratis version.
wenn du auch nichts installiert/deinstalliert hast, unterscheidet sich der report auch nicht großartig.

 

[TMacMini]

PEBSAC.

Sorry, aber wenn es schon am verstehen eines einfachen Textes mit einer Aufgabenstellung scheitert, dann wundert es mich auch nicht, wenn Malware installiert wurde.

 

[Miribe]

Startup Items:

    HWNetMgr Path: /Library/StartupItems/HWNetMgr

    HWPortDetect Path: /Library/StartupItems/HWPortDetect

    StartOuc Path: /Library/StartupItems/StartOuc


System Launch Agents:

    [Not Loaded] 16 Apple tasks

    [Loaded] 166 Apple tasks

    [Running] 73 Apple tasks

    [Killed] 39 Apple tasks


System Launch Daemons:

    [Not Loaded] 37 Apple tasks

    [Loaded] 183 Apple tasks

    [Running] 85 Apple tasks

    [Killed] 32 Apple tasks


Launch Agents:

    [Not Loaded] com.adobe.AAM.Updater-1.0.plist (? ffb65062 - installed 2012-10-16)

    [Running] com.malwarebytes.mbam.frontend.agent.plist (Malwarebytes Corporation - installed 2019-11-18)

    [Loaded] com.microsoft.update.agent.plist (Microsoft Corporation - installed 2020-01-18)

    [Running] com.sony.SonyAutoLauncher.agent.plist (? a756a1bd - installed 2015-04-20)


Launch Daemons:

    [Loaded] com.Avanquest.Helper.plist (Avanquest North America - installed 2020-02-04)

    [Loaded] com.adobe.fpsaud.plist (Adobe Systems, Inc. - installed 2020-01-13)

    [Not Loaded] com.apple.installer.osmessagetracing.plist (Apple - installed 2020-01-24)

    [Loaded] com.boxcryptor.BCFS.Mounter.Helper.plist (Benjamin Fleischer - installed 2019-07-29)

    [Running] com.boxcryptor.osx.PrivilegedHelper.plist (Secomba GmbH - installed 2018-06-01)

    [Running] com.malwarebytes.mbam.rtprotection.daemon.plist (Malwarebytes Corporation - installed 2020-02-05)

    [Running] com.malwarebytes.mbam.settings.daemon.plist (Malwarebytes Corporation - installed 2019-11-18)

    [Loaded] com.microsoft.autoupdate.helper.plist (Microsoft Corporation - installed 2020-01-18)

    [Loaded] com.microsoft.office.licensing.helper.plist (? 6d8cb30e - installed 2010-08-31)

    [Loaded] com.westerndigital.WD-SmartWare-Installer.plist (? 4b566c2 - installed 2014-06-30)

    [Running] gramblr.plist (? 7279637b - installed 2019-08-02)


User Launch Agents:

    [Loaded] com.adobe.AAM.Updater-1.0.plist (? 0 - installed 2013-01-30)

    [Other] com.adobe.ARM.***.plist (? 0 - installed 2013-10-24)

    [Loaded] com.dropbox.DropboxMacUpdate.agent.plist (Dropbox, Inc. - installed 2019-08-21)


User Login Items:

    [Running] PhotoStreamAgent (App Store - installed 2020-02-04)

        Modern Login Item

        /Applications/iPhoto.app/Contents/Library/LoginItems/PhotoStreamAgent.app


Internet Plug-ins:

    Flip4Mac WMV Plugin: 3.3.3.1 (? - installed 2015-02-28)

    FlashPlayer-10.6: 32.0.0.321 (Adobe Systems, Inc. - installed 2020-02-04)

    EPPEX Plugin: 10.0 (? - installed 2017-11-16)

    AdobePDFViewerNPAPI: 11.0.23 (Adobe Systems, Inc. - installed 2020-02-04)

    AdobePDFViewer: 11.0.23 (Adobe Systems, Inc. - installed 2020-02-04)

    CANONiMAGEGATEWAYDL: 3.0.0.2 (? - installed 2020-02-04)

    Flash Player: 32.0.0.321 (Adobe Systems, Inc. - installed 2020-02-04)

    Default Browser: (? - installed 2020-02-04)

    JavaAppletPlugin: 15.0.1 (Apple - installed 2014-06-27)


Audio Plug-ins:

    AppleTimeSyncAudioClock: 1.0 (Apple - installed 2020-02-02)

    BluetoothAudioPlugIn: 6.0.7 (Apple - installed 2020-02-04)

    AirPlay: 2.0 (Apple - installed 2020-02-02)

    AppleAVBAudio: 683.1 (Apple - installed 2020-02-02)

    BridgeAudioSP: 4.69.2 (Apple - installed 2020-02-02)

    iSightAudio: 7.7.3 (Apple - installed 2020-02-04)


Safari Extensions:

    LearningTools - Unknown (installed 2020-02-01)


3rd Party Preference Panes:

    Flash Player (installed 2020-01-13)

    Flip4Mac WMV (installed 2015-01-05)


Time Machine:

    Time Machine information not available without Full Drive Access.


Performance:

    System Load: 1.85 (1 min ago) 2.44 (5 min ago) 3.17 (15 min ago)

    Nominal I/O speed: 5.16 MB/s

    File system: 101.11 seconds

    Write speed:  227 MB/s

    Read speed:  428 MB/s


CPU Usage Snapshot:

    Type Overall

    System 4 %

    User 5 %

    Idle 91 %


Top Processes Snapshot by CPU:

    Process (count) CPU (Source - Location)

    Other processes 22.08 % (?)

    EtreCheck 13.65 % (App Store)

    Dropbox 0.25 % (Dropbox, Inc.)

    routined 0.18 % (Apple)

    suggestd 0.17 % (Apple)

Top Processes Snapshot by Memory:

    Process (count) RAM usage (Source - Location)

    EtreCheck 440 MB (App Store)

    Dropbox 115 MB (Dropbox, Inc.)

    Finder 79 MB (Apple)

    AppleSpell 59 MB (Apple)

    CalendarAgent 46 MB (Apple)

Top Processes Snapshot by Network Use:

    Process Input / Output (Source - Location)

    Dropbox 87 KB / 261 KB (Dropbox, Inc.)

    Other processes 128 KB / 55 KB (?)

    Boxcryptor 30 KB / 35 KB (Secomba GmbH)

    SystemUIServer 0 B / 64 B (Apple)

    backgroundtaskmanagementagent 0 B / 0 B (Apple)


Virtual Memory Information:

    Physical RAM: 4 GB
    Free RAM: 49 MB

    Used RAM: 2.93 GB

    Cached files: 1.03 GB
     Available RAM: 1.07 GB

    Swap Used: 142 MB

Software Installs (past 30 days):

    Install Date Name (Version)

    2020-01-18 Microsoft AutoUpdate

    2020-01-21 Adobe Flash Player

    2020-01-23 XProtectPlistConfigData (2112)

    2020-01-23 MRTConfigData (1.53)

    2020-02-05 EtreCheck (5.4.8)

    2020-02-05 TotalAV

    2020-02-05 Malwarebytes for Mac

Clean up:

    ~/Library/LaunchAgents/com.adobe.ARM.***.plist

        /Applications/Adobe Reader.app/Contents/MacOS/Updater/Adobe Reader Updater Helper.app/Contents/MacOS/Adobe Reader Updater Helper
Executable not found
Diagnostics Information (past 7-30 days):
Directory /Library/Logs/DiagnosticReports is not accessible.
Enable Full Drive Access to see more information.
[CODE]

[/CODE]

 

[oneOeight]

also adware ist da keine zu sehen.
wenn du in safari immer noch probleme mit der suchmaschine bestehen, hast du dir mal das mit profile in den systemeinstellungen angesehen?
wenn da welche gesetzt wurden, dann gibt es halt den eintrag profile in den systemeinstellungen, sonst nicht.
der teil von dem etrecheck wo das stehen könnte, ist ja nicht mit dabei.
das sollte dir auch sehen, wenn du profile hast.

 

[Miribe]

Profile unter systemeinstellungen gibt es leider nicht, da haben wir alles durchsucht. Offenbar komplizierter als gedacht. Werde mal morgen zu gravis gehen. Bis hierhin danke jedenfalls!

 

[Schiffversenker]

der teil von dem etrecheck wo das stehen könnte, ist ja nicht mit dabei.

Ist halt das Problem. wenn die Leute keinen "full drive access" erlauben und vielleicht zusätzlich Teile weglassen, die ihnen uninteressant erscheinen.
Ohne vollen Plattenzugriff ist so eine EtreCheck-Diagnose genauso sinnlos wie ein Bericht der Aktivitätsanzeige, die sich nur auf den Benutzer beschränkt.

 

[oneOeight]

Profile unter systemeinstellungen gibt es leider nicht, da haben wir alles durchsucht. Offenbar komplizierter als gedacht. Werde mal morgen zu gravis gehen. Bis hierhin danke jedenfalls!

bevor du jetzt gravis geld für nichts schenkst, starte mal safari mit shift gedrückt und versuch dann dort die suchmaschine neu einzustellen.

 

[Miribe]

Das mit der Shift Taste hat bewirkt, dass Safari mit google startet. Sobald ich einen Suchbegriff eingebe, sieht man für einen Moment noch google, dann schiebt sich bing vor. Habe die Einstellungen kontrolliert und nur google zugelassen. Andere Suchmaschinen gibt es in den Einstellungen nicht. Dafür jetzt noch mal Etrecheck vollständig entfernt und neu heruntergeladen. Ich wollte den Report hier anhängen. Funktion Datei hochladen hier auf der Seite geht aber nicht mehr. Versuchs mit einer weiteren Antwort.

 

[Miribe]

welche Dateiformate kann ich hier hochladen? Das System erlaubt mir weder rtf noch pdf noch doc?

 

[win2mac]

Warum entfernst du Etrecheck?? Du sollstest einfach ein scan machen mit 'full drive access' und den komplett hier reinstellen (da steht nichts schädliches drin). Du kannst das so wie in #11 machen, nur VOLLSTÄNDIG

 

[oneOeight]

du musst schon den text aus dem report kopieren und hier einfügen.
als datei kannst du das nicht hochladen, ein bildschirm foto davon ist auch nicht so schön.
falls sich das forum wegen 10.000 zeichen beschwert, musst du halt den text aufteilen.

 

[Miribe]

EtreCheck version: 5.4.8 (5091)

Report generated: 2020-02-07 09:24:33

Download EtreCheck from https://etrecheck.com

Runtime: 4:11

Performance: Below Average

Sandbox: Enabled

Full drive access: Disabled


Problem: Other problem


Major Issues:

Anything that appears on this list needs immediate attention.


Low disk space - This machine is running critically low on free hard drive space.

Software/hardware problems - Software is causing performance problems.


Minor Issues:

These issues do not need immediate attention but they may indicate future problems or opportunities for improvement.


Clean up - There are orphan files that could be removed.

Unsigned files - There are unsigned software files installed. They appear to be legitimate but should be reviewed.

Low performance - EtreCheck report took an unusually long time to run.

32-bit Apps - This machine has 32-bits apps will not work on macOS 10.15 “Catalina”.

Limited drive access - More information may be available with Full Drive Access.


Hardware Information:

MacBook Air (13-inch, 2013 - 2014)

MacBook Air Model: MacBookAir6,2

1 1,4 GHz Intel Core i5 (i5-4260U) CPU: 2-core

4 GB RAM - Not upgradeable

BANK 0/DIMM0 - 2 GB DDR3 1600

BANK 1/DIMM0 - 2 GB DDR3 1600

Battery: Health = Normal - Cycle count = 322


Video Information:

Intel HD Graphics 5000 - VRAM: 1536 MB

Color LCD 1440 x 900


Drives:

disk0 - APPLE SSD SD0256F 251.00 GB (Solid State - TRIM: Yes)

Internal PCI 5.0 GT/s x2 Serial ATA

disk0s1 - EFI (MS-DOS FAT32) [EFI] 210 MB

disk0s2 [APFS Container] 250.79 GB

disk1 [APFS Virtual drive] 250.79 GB (Shared by 4 volumes)

disk1s1 - Macintosh HD (APFS) (Shared - 229.53 GB used)

disk1s2 - Preboot (APFS) [APFS Preboot] (Shared)

disk1s3 - Recovery (APFS) [Recovery] (Shared)

disk1s4 - VM (APFS) [APFS VM] (Shared - 3.22 GB used)


Mounted Volumes:

disk1s1 - Macintosh HD

250.79 GB (Shared - 229.53 GB used, 18.82 GB available, 17.37 GB free)

APFS

Mount point: /

Encrypted


disk1s4 - VM [APFS VM]

250.79 GB (Shared - 3.22 GB used, 17.37 GB free)

APFS

Mount point: /private/var/vm


Network:

Interface usbmodem1422: CM201

Interface usbmodem1424: CM201 2

Interface Bluetooth-Modem: Bluetooth

Interface en0: AirPort

802.11 a/b/g/n/ac

Interface en3: CM201 3

Interface en2: Bluetooth PAN

Interface fw0: Thunderbolt FireWire

Interface en4: iPhone

Interface en5: iPad

Interface bridge0: Thunderbolt Bridge


System Software:

macOS High Sierra 10.13.6 (17G11023)

Time since boot: About a day


Notifications:

Notifications not available without Full Drive Access.


Security:

Gatekeeper: Enabled

System Integrity Protection: Enabled


Antivirus software: Apple and Malwarebytes


Unsigned Files:

Launchd: /Library/LaunchDaemons/com.westerndigital.WD-SmartWare-Installer.plist

Executable: /Library/PrivilegedHelperTools/com.westerndigital.WD-SmartWare-Installer

Details: Exact match found in the whitelist - probably OK


Launchd: ~/Library/LaunchAgents/com.adobe.AAM.Updater-1.0.plist

Executable: /Library/Application Support/Adobe/OOBE/PDApp/UWA/UpdaterStartupUtility -mode

Details: Exact match found in the whitelist - probably OK


Launchd: /Library/LaunchAgents/com.sony.SonyAutoLauncher.agent.plist

Executable: /Library/Application Support/Sony Application Launcher/SonyAutoLauncher.app/Contents/MacOS/SonyAutoLauncher

Details: Exact match found in the whitelist - probably OK


Launchd: /Library/LaunchDaemons/com.microsoft.office.licensing.helper.plist

Executable: /Library/PrivilegedHelperTools/com.microsoft.office.licensing.helper

Details: Exact match found in the whitelist - probably OK


Launchd: /Library/LaunchAgents/com.adobe.AAM.Updater-1.0.plist

Executable: /Library/Application Support/Adobe/OOBE/PDApp/UWA/UpdaterStartupUtility -mode=logon

Details: Exact match found in the whitelist - probably OK


Safari Extension: LearningTools


32-bit Applications:

65 32-bit apps


Kernel Extensions:

/Library/Application Support/Malwarebytes/MBAM/Kext

MB_MBAM_Protection.kext (Malwarebytes Corporation, 4.0 - SDK 10.11)