SH No such file or directory pop up Virus?

design11

design11

Aktives Mitglied
Thread Starter
Dabei seit
09.01.2005
Beiträge
1.210
Reaktionspunkte
72
Moin,
ich habe seit gestern immer wieder aufgehende Pop Up Fenster mit der Applescript Meldung:
sh: : No such file or directory.

Zuvor niemals passiert und nie einen Virus gehabt.

Ich habe den Verdacht, dass dies mit einer Spam-Email mit einem angehängten PNG zu tun hat, die ein (pennender) Mitarbeiter geöffnet hat. Hänge Screenshot an.
Das PNG wurde nicht angeklickt oder geöffnet, nur die Email.

Kann mir jemand helfen, ob es sich um einen Virus handelt oder nur um einen Shellscript-Bug?

Danke im voraus!
 

Anhänge

  • Spam Mail Juanita.jpg
    Spam Mail Juanita.jpg
    121,9 KB · Aufrufe: 187
  • Pop up.jpg
    Pop up.jpg
    61,8 KB · Aufrufe: 191
Wurde die Mail gelöscht? Kommt die Meldung nur wenn die Mail geöffnet wird?
Wurde zwischenzeitlich etwas anderes installiert (kann ja auch ein kaputter Installer) sein.

Hm, kann man den Prozess nicht möglicherweise über die Aktivitätsanzeige analysiere und zu prüfen was hier passiert?
Im besten Fall wurde da doch was versucht zu öffnen, der Aufruf der Malware führt aber zu diesem Fehler...
 
Danke für die schnelle Antwort!

Die Mail wurde gelöscht, ist im Ordner Papierkorb.
Die Pop Ups erscheinen ohne die Mail zu öffnen.
Es wurde nichts weiter installiert.

Werde Aktivitätsanzeige checken wenn das nächste Fenster aufgeht.
 
Hi,
das sieht nach Malware aus, Malwarebytes downloaden und diesen Müll damit entfernen.
Franz
 
das ist ein applescript fehler.
musst du mal nach applescript apps gucks.

oder klick auf edit, damit du das script editieren kannst, um den inhalt zu sehen.
 
  • Gefällt mir
Reaktionen: design11 und dg2rbf
Hi,
tja, so kann man sich irren.
 
Beiden vielen Dank. Hier das Applescript, es geht offensichtlich um einen Google Earth Installer, den ich jedoch nicht installiert habe, zumindest nicht in den letzten Jahren!
Vielleicht könnt Ihr mir sagen, ob das nach Malware riecht oder nur ein simpler Scriptfehler ist, und wie ich die Meldungen loswerde...

(* An AppleScript application to run the Google Earth installer package.
This is an app instead of a simple AppleScript (or shell script for that matter)
because we need to use the built-in system authentication dialog to elevate to
root safely. If this were a simple script, the application name reported in the
dialog would be wrong (probably "osascript"), so it must be a full-fledged app. *)

(* Sets the exit status for this script to |status|. This can be called more than once,
and only the last call before the script exits will count. *)
on write_status(status)
-- Write the status to the file whose path is in the "status_file" environment variable.
do shell script "/bin/echo " & quoted form of (status as text) & " > " & quoted form of (system attribute "status_file")
end write_status

try
-- Default to assuming something went wrong in case we throw an exception.
write_status(128)

-- Elevate to root using the system authentication dialog, then run the installer.
-- We expect the base path to the disk image to be in the environment variable
-- called "dmg_path", the installer filename to in the one called "pkg_file".
do shell script "/usr/sbin/installer -pkg '" & (system attribute "dmg_path") & "/" & (system attribute "pkg_file") & "' -target /" with administrator privileges

-- No exception, so this apparently succeeded.
write_status(0)
on error errmsg number errNum
-- Installer exited non-zero. Write that status code and log the error message.
do shell script "syslog -s -l error " & quoted form of errmsg
write_status(errNum)
end try
 
nachdem du auf edit gedrückt hast und im skripteditor bist, kann doch auch gucken, wo das teil liegt.
dann halt entfernen bzw gucken, ob das nicht durch einen launchd job gestartet wird oder in startobjekte liegt.
 
Mit dem Teil kenne ich mich gar nicht aus... wo im Editor finde ich den Pfad zum Objekt? Ich hatte es schon in Spotlight eingegeben, kein Treffer
 
Sorry, gefunden, aber das Teil ist locked, write only
 

Anhänge

  • Google Earth.jpg
    Google Earth.jpg
    68,9 KB · Aufrufe: 160
das liegt auf einem image, aber irgendwas muss das ja ausführen bzw das image muss ja irgendwo liegen.
 
  • Gefällt mir
Reaktionen: design11 und dg2rbf
write only gibts nicht, nur read only !!.
 
  • Gefällt mir
Reaktionen: design11
Sorry, hast völlig recht! read only!
 
Habe in Library/Preferences eine com.google.GoogleEarthPlus, könnte das die schuldige p.list sein?
 
Hi,
wenn du kein GoogleEarth Plus Installiert hast, dann ja.
 
Hi,
im Finder dort hin navigieren, und mit Rechtsklick diese Datei löschen.
 
Kann ich das machen, oder lieber nicht?
 

Anhänge

  • Google earth 2.jpg
    Google earth 2.jpg
    66,3 KB · Aufrufe: 159
Hi,
klicke mal auf cancel
 
dg2rbf schrieb:
Hi,
im Finder dort hin navigieren, und mit Rechtsklick diese Datei löschen.
Zum Vergrößern anklicken....
In Applications finde ich nur die App Google Earth Pro, aber nicht das Image. Schmeisse ich die App raus und dann ist Ruhe?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten