Problem für den Mac? DHL Javascript (*.js) Virus ? Falsche Mail mit Sendungsankündigung....

Sehe ich auch so, auf den ersten Blick soll wohl ein neues Fenster geöffnet werden und Dir irgendwelche Hinweise zeigen, vermutlich sowas tolles wie "Ihr System ist infiziert, bitte laden Sie dies und das". Da das auf einem Mac ausgeführt wurde, dürfte ActiveX kaum greifen...
 
Code: 
Malwarebytes Anti-Malware 1.2.6.730 system report - 5. April 2017 um 14:49:51 MESZ
Mac OS X version Version 10.12.3 (Build 16D32)
System uptime: 0d 02:28:06
Helper tool version: 1.2.6.730
Signatures version: 147

Safari extensions
-----------------------
Robin
    Robin
        Name: AdBlock
        Path: /Users/Robin/Library/Safari/Extensions/AdBlock.safariextz
        Modified: 2015-09-28 08:17:45 +0000
 
        Name: Google Scholar Button
        Path: /Users/Robin/Library/Safari/Extensions/Google Scholar Button.safariextz
        Modified: 2016-08-23 07:35:04 +0000
 
        Name: WasteNoTime
        Path: /Users/Robin/Library/Safari/Extensions/WasteNoTime-2.safariextz
        Modified: 2017-03-30 08:27:06 +0000
 
        Name: YouTubeUnblocker
        Path: /Users/Robin/Library/Safari/Extensions/YouTubeUnblocker-2.safariextz
        Modified: 2016-01-05 20:47:25 +0000
 

Chrome extensions
-----------------------
Robin
    Default
        Name: ProxFlow
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/aakchaleigkohafkfjfjbblobjifikek
        Modified: 2017-01-07 13:35:06 +0000
 
        Name: Google Docs
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/aohghmighlieiainnegkcijnfilokake
        Modified: 2015-03-02 13:16:28 +0000
 
        Name: Google Drive
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/apdfllckaahabafndbhieahigkjlhalf
        Modified: 2016-01-05 20:54:01 +0000
 
        Name: YouTube
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/blpcfgokakmgnkcojhhkbfbldkacnbeo
        Modified: 2016-01-05 20:54:01 +0000
 
        Name: Google Search
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/coobgpohoikkiipiblmjeljniedjpjpf
        Modified: 2016-01-05 20:54:01 +0000
 
        Name: Google Docs Offline
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/ghbmnnjooekpmoecnnnilnnbdlolhkhi
        Modified: 2016-07-12 13:26:47 +0000
 
        Name: Application Launcher for Drive (by Google)
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/lmjegmlicamnimmfhcmpkclmigmmcbeh
        Modified: 2016-09-06 18:16:56 +0000
 
        Name: Chrome Web Store Payments
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/nmmhkkegccagdldgiimedpiccmgmieda
        Modified: 2017-01-22 22:26:24 +0000
 
        Name: Gmail
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/pjkljhegncpnkpknbcohdijeoejaedia
        Modified: 2015-04-07 18:27:13 +0000
 
        Name: Chrome Media Router
        Path: /Users/Robin/Library/Application Support/Google/Chrome/Default/Extensions/pkedcjkdefgpdelpbcmbmeomcjbeemfm
        Modified: 2017-01-07 13:34:37 +0000
 
    Chrome
        Name: [unknown Chrome extension format]
        Path: /Users/Robin/Library/Application Support/Google/Chrome/External Extensions/lmjegmlicamnimmfhcmpkclmigmmcbeh.json
        Modified: 2016-09-05 13:00:39 +0000
 

Firefox extensions
-----------------------
Robin
    oocfulj8.default
        Name: Proxy-Listen.de - Proxyswitcher
        Path: /Users/Robin/Library/Application Support/Firefox/Profiles/oocfulj8.default/extensions/admin@proxy-listen.de.xpi
        Modified: 2016-05-06 18:29:10 +0000
 
        Name: Hide My Ass! Web Proxy
        Path: /Users/Robin/Library/Application Support/Firefox/Profiles/oocfulj8.default/extensions/extension@hidemyass.com.xpi
        Modified: 2015-09-25 14:56:27 +0000
 
        Name: [name not found in install.rdf]
        Path: /Users/Robin/Library/Application Support/Firefox/Profiles/oocfulj8.default/extensions/ffext_basicvideoext@startpage24.xpi
        Modified: 2016-05-03 07:19:53 +0000
 
        Name: FoxyProxy Standard
        Path: /Users/Robin/Library/Application Support/Firefox/Profiles/oocfulj8.default/extensions/foxyproxy@eric.h.jung
        Modified: 2017-02-10 08:18:02 +0000
 
        Name: Flash and Video Download
        Path: /Users/Robin/Library/Application Support/Firefox/Profiles/oocfulj8.default/extensions/{bee6eb20-01e0-ebd1-da83-080329fb9a3a}
        Modified: 2017-02-27 15:15:56 +0000
 
        Name: Adblock Plus
        Path: /Users/Robin/Library/Application Support/Firefox/Profiles/oocfulj8.default/extensions/{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
        Modified: 2016-11-23 16:21:01 +0000
 

User Login Items
-----------------------
User: Robin
  Name: iTunesHelper
  Path: /Applications/iTunes.app/Contents/MacOS/iTunesHelper.app
 
  Name: Dropbox
  Path: /Applications/Dropbox.app
 
  Name: Alfred 2
  Path: /Applications/Alfred 2.app
 
  Name: Mail
  Path: /Applications/Mail.app
 
  Name: Google Drive
  Path: /Applications/Google Drive.app
 
  Name: i1ProfilerTray
  Path: /Applications/i1Profiler/i1ProfilerTray.app
 
  Name: Amazon Drive
  Path: /Applications/Amazon Drive.app
 

System startup items
-----------------------

User launch agents
-----------------------
/Users/Robin/Library/LaunchAgents/com.adobe.AAM.Updater-1.0.plist
/Users/Robin/Library/LaunchAgents/com.amazon.music.plist
/Users/Robin/Library/LaunchAgents/com.dropbox.DropboxMacUpdate.agent.plist
/Users/Robin/Library/LaunchAgents/com.spotify.webhelper.plist
/Users/Robin/Library/LaunchAgents/org.virtualbox.vboxwebsrv.plist

System launch agents
-----------------------
/Library/LaunchAgents/C1765printhelper.plist
/Library/LaunchAgents/com.adobe.AAM.Updater-1.0.plist
/Library/LaunchAgents/com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist
/Library/LaunchAgents/com.cisco.anyconnect.gui.plist
/Library/LaunchAgents/com.google.keystone.agent.plist
/Library/LaunchAgents/com.sophos.uiserver.plist
/Library/LaunchAgents/com.teamviewer.teamviewer.plist
/Library/LaunchAgents/com.teamviewer.teamviewer_desktop.plist
/Library/LaunchAgents/com.wacom.pentablet.plist
/Library/LaunchAgents/com.xrite.device.softwareupdate.plist
/Library/LaunchAgents/org.macosforge.xquartz.startx.plist

System launch daemons
-----------------------
/Library/LaunchDaemons/com.adobe.agsservice.plist
/Library/LaunchDaemons/com.adobe.ARMDC.Communicator.plist
/Library/LaunchDaemons/com.adobe.ARMDC.SMJobBlessHelper.plist
/Library/LaunchDaemons/com.adobe.fpsaud.plist
/Library/LaunchDaemons/com.adobe.SwitchBoard.plist
/Library/LaunchDaemons/com.aladdin.aksusbd.plist
/Library/LaunchDaemons/com.aladdin.hasplmd.plist
/Library/LaunchDaemons/com.cisco.anyconnect.vpnagentd.plist
/Library/LaunchDaemons/com.cyberghostsrl.CyberghostPrivilegedHelper.plist
/Library/LaunchDaemons/com.google.keystone.daemon.plist
/Library/LaunchDaemons/com.malwarebytes.HelperTool.plist
/Library/LaunchDaemons/com.microsoft.autoupdate.helper.plist
/Library/LaunchDaemons/com.microsoft.office.licensing.helper.plist
/Library/LaunchDaemons/com.microsoft.office.licensingV2.helper.plist
/Library/LaunchDaemons/com.sophos.common.servicemanager.plist
/Library/LaunchDaemons/com.teamviewer.Helper.plist
/Library/LaunchDaemons/com.teamviewer.teamviewer_service.plist
/Library/LaunchDaemons/com.xrite.device.xrdd.plist
/Library/LaunchDaemons/org.macosforge.xquartz.privileged_startx.plist

Kernel extensions
-----------------------
/System/Library/Extensions/BJUSBLoad.kext
/System/Library/Extensions/EPSONUSBPrintClass.kext
/System/Library/Extensions/JMicronATA.kext
/Library/Extensions/ACS6x.kext
/Library/Extensions/ArcMSR.kext
/Library/Extensions/ATTOCelerityFC8.kext
/Library/Extensions/ATTOExpressSASHBA2.kext
/Library/Extensions/ATTOExpressSASRAID2.kext
/Library/Extensions/BJUSBLoad.kext
/Library/Extensions/CalDigitHDProDrv.kext
/Library/Extensions/EPSONUSBPrintClass.kext
/Library/Extensions/HighPointIOP.kext
/Library/Extensions/HighPointRR.kext
/Library/Extensions/hp_io_enabler_compound.kext
/Library/Extensions/Pen Tablet.kext
/Library/Extensions/PromiseSTEX.kext
/Library/Extensions/SiLabsUSBDriver64.kext
/Library/Extensions/SoftRAID.kext
/Library/Extensions/SophosFileProtection.kext
/Library/Extensions/SophosWebProtection.kext

launchd.conf contents
-----------------------


Hosts file
-----------------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting.  Do not change this entry.
##
127.0.0.1    localhost
255.255.255.255    broadcasthost
::1             localhost


Scan log
-----------------------
2017-04-05 14:49:32 : 
2017-04-05 14:49:32 : ----- Scan Started -----
2017-04-05 14:49:32 : Scanning with signatures version 147 (2016-12-2)
2017-04-05 14:49:37 : ---- Scan Cancelled ----
 
Robin235 schrieb:
hm ok, lasse gerade ClamXav laufen... das zeigt mir aber auch jede (echte!) Mail von Pazpal als heuristic.phishing.email.spoofedDomain an...
Zum Vergrößern anklicken....
Na ja, Virenscanner müssen ja, sei es sicherheitshalber, sie es auch nur, um ihre Existenz zu rechtfertigen, immer eher mal false positive anzeigen als - eventuell - tatsächlich mal einen Virus zu übersehen.
Und da Viren immer noch nicht gesetzlich gezwungen sind, im Header eine "Hi, ich bin ein Virus" einzutragen, müssen die Scannerprogrammierer auch bei besten Absichten da vorsichtshalber breit streuen.
Und wenn sie das ganze Spektrum an Malware, vor allem auch noch Phishing-Mails, erfassen wollen… meiner Ansicht nach eine nicht zu bewältigende Aufgabe, solange das mit der KI kaum besser klappt als bei klassischen Layer-9-Problemen.
 
  • Gefällt mir
Reaktionen: Impcaligula
Okay, das verstehe ich. Kann mir denn jemand sagen ob ein frisch widerhergestelltes System dann sicher ist oder kann man diese Malware "verschleppen"?
 
Dass mit dem Script was passiert ist ist sehr unwahrscheinlich. Ob man da jetzt unbedingt einen Clean Install braucht bezweifle ich...
 
Ich habe das gleiche Problem.... habe in einem Anfall geistiger Umnachtung ( und weil ich tatsächlich eine DHL Sendung erwarte) den Link über mein iPhone angeklickt....
Leider auch dort hatte sich direkt Safari geöffnet... JavaScript habe ich auf dem iPhone auch aktiv.
Passiert ist aber augenscheinlich nichts...??
Hat jemand eine Ahnung ob so was auf dem iPhone/iPad überhaupt gefährlich ist ?
Muss ich mir jetzt Sorgen machen ? Laut Apple gibt es ja auf einem IOS Device keine Schadsoftware !?
 
Auf dem iPhone / iPad passiert gar nichts...
 
Malwarebytes hat bei mir nichts gefunden...
Ich selbst habe auch noch keine Veränderungen bemerkt...

Da ich die automatisch downgeloadete Datei sofort gelöscht habe, kann ich nicht mehr nachvollziehen, ob´s möglw. die gleiche/selbe, wie die hier gepostete
und für Windows gedachte war...

War jedenfalls genau diese Mail hier:
PhishingMail_DHL_Style.jpg
 
Ich werde jetzt das System neu aufsetzen.

Was genau passiert wenn ich "aus Time Machine Backup wiederherstellen" wähle? Wird dann auch erst die ganze Platte platt gemacht oder müsste ich dafür sie erst manuell über das Festplattendienstprogramm löschen? Kann ich dann noch mein Backup problemlos einspielen?
 
Also mein Macbook hat leider NACH dem DL der Datei noch mal eine Sicherung gemacht...
Somit fällt TC in "Gänze" aus...
Wenn, würde ich neu aufsetzen.. und die Sicherung löschen...
Allerdings habe ich auch nichts wirklich lebenswichtiges auf dem MacBook ...
Die Userdaten hole ich mir aus der Sicherung vom Mac... fertig

And dem sitze ich auch... das MBpR ist offline... und bleibt´s bis zum "rebuild" auch...
 
Robin235 schrieb:
Hier mal in besserer Qualittaet:
. . .
Zum Vergrößern anklicken....
Kannst Du das mal als Text posten? Sieht interessant aus, aber ich habe keine Lust das alles abzuschreiben.

Da ActiveX-Controls bemüht werden, dürfte es für ein ix-System ungefährlich sein. Das gleiche gilt für den Versuch den Windows-Scripting-Host (Wsh) einzusetzen. Allerdings prüft das Script, ob eine WSShell geöffnet werden kann . . . im weiteren Verlauf will das Script etwas runterladen, bestimmt nichts gutes. :p

Übrigens, den Text muß man rückwärts lesen. Netter Gag! :D
 
So, ich habe fertig...
Einmal neu aufgesetzt... Daten von anderem Mac migriert und gut is...

Jetzt kann ich besser schlafen ;-) vermutlich war´s auch "nur´n" WindowsWurm... aber egal..
Im Gegensatz zu einem Windowssystem ist´n Mac ja in einem gefühlten Wimpernschlag wieder - klar zum...
 
Trimmi schrieb:
Also mein Macbook hat leider NACH dem DL der Datei noch mal eine Sicherung gemacht...
Somit fällt TC in "Gänze" aus...
Zum Vergrößern anklicken....
Schrecklich.
Mal abgesehen vom Unterschied TM vs. TC: du hast schon mitbekommen, daß TM Versionen speichert, du also bequem auf einen Stand zurückgreifen kannst vor dem Öffnen dieser mutmaßlich dubiosen Datei? Alles Neuere an Dateien muß man dann halt händisch zurückholen.
Bei einer letzten TM-Sicherung vor dem Befall wären die Daten aber sowieso weg…
Wenn du neu installierst und die "Userdaten" dann aus dem letzten Backup, dem mit dem Befall, zurückholst - ganz sicher, daß sich diese mögliche Schadsoftware nicht im Benutzerordner breitgemacht hat?
 
Keine Panik..
Zurückgeholt von einem anderen Mac... nicht von der TC ;-) und der TM-Sicherung darauf...
War eh nichts lebenswichtiges darin ...
Klar kenne ich den Unterschied... Nur bei neuaufsetzen aus TM von TC bringt das nix... da kannste keine Zeit auswählen.. nimmt den letzten Stand... Zurückstellen wollte ich nicht... Ich wollte sicher gehen...
Ich habe ganz neu aufgesetzt und von anderem System die Userdaten gezogen... DAS sichert auch woanders hin...
 
Trimmi schrieb:
Nur bei neuaufsetzen aus TM von TC bringt das nix... da kannste keine Zeit auswählen.. nimmt den letzten Stand
Zum Vergrößern anklicken....
Das bezweifle ich. Ganz abgesehen davon, daß man alles auch einzeln und manuell zurückholen kann, würde das den sinn der Versionssicherungen konterkarieren (und das sag ich nicht nur, weil ich das Wort seit vielen Jahren mal verwenden wollte).
 
Ich wollte aber nix einzeln zurückholen oder gar suchen und löschen...
Habe mich ganz bewusst dazu entschieden... okay? Alles gut ;-)
 
Nö, du hast den zweiten Teil übersehen ("…würde das den Sinn…"). Wenn man tatsächlich nur die neueste Version zurückholen könnte, komplett und halbwegs automatisch, würde TM völlig den Reiz verlieren. Das kann man nämlich auch mit anderen Sicherungsprogrammen, die gelöschte Dateien irgendwo nebenan abspeichern (etwa CCC).
TM punktet damit, daß man bequem jeden beliebigen Stand zurückholen kann. Mit einem Klick.
Ich hab's noch nie gebraucht, aber die Vielzahl der Posts dazu zeigt, daß es tatsächlich funktioniert.
 
Ich habe das schon des Öfteren gemacht (Daten via TM zurück geholt... Mails z.B.) ... und kenne mich damit schon so´n bisschen aus ;-)

Aber ein NEU aufsetzen (auch das habe ich schon ab und an nach Neukauf Mac gemacht...)
geht nicht so wie in der Zeit (via TM) zurück gehen oder einzelne Files/Daten aus der Sicherung "raus" holen...

Neu aufsetzen ist neu aufsetzen, da kannste dann nur Daten aus so einer Sicherung migrieren... Via Auswahl von Mac oder Backup... mehr nicht...

So, habe fertig...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten