Versehentlich Anhang aus Phising Mail (FritzBox Anrufbeantworter) geöffnet - TR/Dldr.Delphi.cmywh auf dem Rechner

ben-der

Mitglied
Thread Starter
Dabei seit
27.11.2021
Beiträge
14
Reaktionspunkte
0
Moin zusammen,

seit vielen Jahren als stiller Mitleser habe ich mich heute mal registriert, weil - klar- ich nicht weiterkomme...

Hatte bis jetzt nur einmal vor Jahren einen Befall mit meinem alten Windowssystem und passe eigentich immer auf.... Bis jetzt. Ich habe gestern Abend unbedacht eine Mail mit einer vermeintlichen AB-Nachricht geöffnet und den Anhang heruntergeladen. Habe tatsächlich eine Fritzbox und die AB-Funktion an... Auf dem falschen Fuß erwischt / Brain.exe wohl kurzzeitig auf Standby.... siehe zur Mail: Link zu AVM, dort die Meldung vom 25.11.21.
Hab jetzt schon die halbe Nacht im Netz gesucht, gelesen und geschaut, bisher recht ergebnislos. Habe auch kaum bis gar keine Ahnung von sowas.


Was habe ich bisher gemacht?

1) Habe die Datei nicht geöffnet (meine ich trotz schlaftrunkenem Schockzustand zumindest), sondern sofort gelöscht und die Mail ebenfalls. Den Papierkorb des Mac's hatte ich geleert, den Papierkorb vom Mailprogramm zunächst vergessen. Ich nutze Readdle's "Spark" als Mailprogramm.


2) Die dann eilig installierte Avira Free Security for Mac Version 1.9.2 hat beim ersten Komplettscan dann auch eine Bedrohung gefunden und diese in die Quarantäne verschoben (vermutlich eben die Mail samt Anhang aus dem Papierkorb von "Spark").

3) Ich habe diese Mail dann erstmal zur Analyse an Kaspersky geschickt ("nur" weitergeleitet, nicht gepackt (wie mache ich das??) und im Betreff als Trojaner markiert), beim

4) zweiten Scan gestern Nacht aber hat Avira 4 weitere Dateien gefunden,
- 2x die ursprüngliche Datei
"25.11.21_09.36_Anruf.0613259177.iso" (der Name des ursprünglichen Anhangs dieser ver*&%$ Mail)

nun aber auch
- die beiden Dateien
"4-1-pushop-append.dat"
bzw.
"4-2-pushop-append.dat"

alle 5 Dateien kommen aus einem Ordner des Mailprogrammes , alle 5 haben im Quarantäneordner von Avira als Namen der Bedrohung
TR/Dldr.Delphi.cmywh

5) Ein dritter Scan heute morgen hat jetzt keine weitere Gefahr mehr erkannt, allerdings habe ich mal die Konsole von Beginn an mitlaufen lassen und da jede Menge Mitteilungen wie diese gesehen (Als "Fehler" gelb markiert in der Konsole):

Prozess com.avira.scanservice:
Code:
[APC]11024: can't read from file '/usr/local/libexec/AuthManager_Mac.app/Contents/Frameworks/AppProtection.framework/Resources': failed with error code 1

oder auch

Code:
SAVAPI_scan for '/private/var/folders/bd/ktwmmf2s4bj209v_d9tnnf7c0000gn/C/mds/mdsObject.db_' failed with error code '33': File open error

-> Problem oder normal, weil vom Mac aus geschützte Dateien? Ich lese ja immer wieder, dass Antivirenprogramme eigentlich nichts bringen, daher hatte ich bisher auch keins drauf.


Mein System:
macOS Catalina Version 10.15.7, MacBook Pro 2019


Meine Fragen zur Sache:
- Kann der Schädling einem Mac-System etwas anhaben, kennt ihn jemand hier?
- Ist der eventuell nur auf Windowsrechner spzialisiert und/oder ein reiner Delphitrojaner, also ein Kollege, der mit Delphi ursprünglich sauber programmierte Software infiziert? Gab es mal vor ein paar Jahren (u.a. https://www.deutschlandfunk.de/virus-ab-werk-100.html)
- Kann ich jetzt einfach alle Mails in Spark dazu löschen oder soll ich lieber hier noch was hochladen oder an Avira schicken o.ä.? (https://www.avira.com/en/analysis/submit) Dazu müsste ich vermutlich wieder die Datei runterladen, aus dem "Quarantäneordner" in Avira kann ich die nicht ziehen und im Finder finde ich (mal wieder) nichts...

Ich hoffe, ihr könnt mir helfen?


Herzliche Grüße

Ben



PS.: Ich habe die Problematik auch im Trojaner-board (Link zum Thread eingestellt, habe dort aber an mehreren Stellen bereits gelesen, dass dort nur wenige Mac-Experten unterwegs sind und es wurde zum Teil wieder auf macuser.de verwiesen... Ich befürchte also, dass ich da eventuell nichts höre, würde dann aber hier auch etwas schreiben und nicht unnötig doppelt lösen lassen.

Ich danke Euch schonmal im Voraus!!!


PPS: Fehlermeldung aus dem Forum hier beim Erstellen des Beitrages:
Oops! Wir sind auf ein Problem gestoßen.
Du darfst keine neuen Tags erstellen. Bitte ändere die folgenden Tags: tr/dldr.delphi.cmywh
Durfte das nicht als drittes Schlagwort hinterlegen...warum? Was meint die Fehlermeldung? Im Zweifel aber auch egal, dachte, das würde der Suchfunktion später mal helfen ;-)
 
"25.11.21_09.36_Anruf.0613259177.iso" (der Name des ursprünglichen Anhangs dieser ver*&%$ Mail)

nun aber auch
- die beiden Dateien
"4-1-pushop-append.dat"
bzw.
"4-2-pushop-append.dat"

alle 5 Dateien kommen aus einem Ordner des Mailprogrammes , alle 5 haben im Quarantäneordner von Avira als Namen der Bedrohung
TR/Dldr.Delphi.cmywh
25.11.21_09.36_Anruf.0613259177.iso > Das ist Malware; m.E. für Windows > einfach löschen.
4-1-pushop-append.dat und 4-2-pushop-append.dat > keine Ahnung, dazu habe ich nichts finden können.

TR/Dldr.Delphi.cmywh > Das ist ein Downloader für den Delphi-Trojaner > Für Windows > einfach löschen.

Lass mal malewarebytes als Free- bzw. Test-Version drüberlaufen:
https://de.malwarebytes.com/
 
  • Gefällt mir
Reaktionen: iWetterstein und dg2rbf
Was aber vollkommen unnötig ist da es ein Windows Programm ist was auf dem Mac nichts macht. Und wenn man es nicht geöffnet oder in dem Fall gemounted hat noch weniger.
 
  • Gefällt mir
Reaktionen: Nutzloser, raubsauger, iWetterstein und eine weitere Person
unbedacht eine Mail mit einer vermeintlichen AB-Nachricht geöffnet
Mein Provider bietet eine "Antiviren"-Option für den Emailverkehr an (kostenpflichtig ca. 2 Euro im Monat). Ich weiss nicht ob Deiner das auch anbietet, aber wäre vielleicht auch eine Option...
 
Wow, danke euch schonmal für die schnellen Antworten!

@Difool : Mache ich später mal direkt, danke auch für die erste Einschätzung!!

@JohnnyChicago : ich bin tendenziell auch lieber etwas übervorsichtig, die Variante mit dem Backup hatte ich auch schon überlegt, nur kam mir dann auch der Gedanke von @AgentMax … und ja, natürlich sind einige Sachen nicht im letzten Backup, war gestern ein langer, produktiver Tag

Ist hier eigentlich grundsätzlich die TimeMachine ausreichend? 😬 hab das Macbook „erst“ knapp ein Jahr und mich da nicht weiter drum gekümmert. Muss mich da auch mal wieder einarbeiten, bin alleine schon zu dämlich, ein altes Backup hier auf dem MB auszuwählen, alles bis auf das letzte "aktuelle" ausgegraut...

Hatte mal auf meinem alten iMac ein Extraprogramm laufen und das Ganze mit der LaCie gesichert, zuletzt dann aber immer die Time Machine genutzt. Wollte irgendwann mal auf ein gespiegeltes Synologysystem o.ä. gehen, auch für eine private Cloud. Aber dann kommt immer so viel dazwischen ;-)
 
Zuletzt bearbeitet:
Mein Provider bietet eine "Antiviren"-Option für den Emailverkehr an (kostenpflichtig ca. 2 Euro im Monat). Ich weiss nicht ob Deiner das auch anbietet, aber wäre vielleicht auch eine Option...
Anscheinend werd ich langsam alt, und sowas eventuell mal so langsam ne Überlegung. 🤔

Eigentlich bin ich im Freundes- und Kollegenkreis immer der Informierte und derjenige, dem solcher Mist sofort auffällt. Jetzt passte einfach zu viel, ich hab die AB Funktion der Fritzbox aktiviert und warte dazu auch noch auf Rückmeldungen von Handwerkern, im Titel stand auch was von „Dachdoktor“, so viele Zufälle, war zudem so im Tunnel…
 
Hallo und einen frohen ersten Advent in die Runde!!

Nochmal: Danke an euch alle! :upten:

Habe alles rund um die aufgefallenen Dateien gelöscht (aus der Quarantäne in Avira und im Mailprogramm die entsprechenden Mails), die Papierkörbe entleert.

Avira habe ich deinstalliert (naja... wie auf der Supportseite beschrieben in den Papierkorb verschoben und den später dann geleert, es sollte sich aber nach dem Verschieben ein Deinstaller automatisch öffnen, davon habe ich bis auf eine Frage zu Systemerweiterungen nichts gemerkt, Festplattenzugriff etc. bestand danach immer noch, zumindest das nochmal manuell nachgearbeitet. Das stützt deine Aussage, @WollMac, hast Du noch einen Tipp, wo ich nachschauen sollte, bzw. was ich ggf. machen muss, damit Avira auch wirklich komplett weg ist?)

Danach Malwarebytes installiert und laufen lassen ("Scanner" starten). Der hat nichts mehr gefunden. Soweit, so gut.
Was mich aber wundert: Der Scan hier hat 16 Sekunden gedauert, bei Avira war der kurze Scan auch so schnell und hatte ganz am Anfang auch nichts gefunden, der Komplettscan, der dann jeweils die oben beschriebenen Dateien gefunden hat, hat aber etwa 30min gedauert... Gibt es keinen Komplettscan bei Malwarebytes oder finde ich das nur nicht?

PS.: Backup habe ich anscheinend gar keins, war so dämlich und dachte, TimeMachine macht zumindest ein Backup in einer eigenen Partition auf der internen Festplatte. Daher konnte ich bei TimeMachine auch nichts auswählen o_O Ich sag's ja: Ich werde Alt und nachlässig... Lese mich jetzt mal bei Synology und Backuplösungen hier ein... Oder hat jemand zufällig schonmal einen kurzen, schnellen Tipp? :unsure:

LG und einen schönen Sonntag :)
Ben
 
Backup habe ich anscheinend gar keins, war so dämlich und dachte, TimeMachine macht zumindest ein Backup in einer eigenen Partition auf der internen Festplatte.
Das wäre ja totaler Schwachsinn. Es soll dich doch vor dem wahrscheinlichsten Fall, dem Ausfall der Festplatte schützen. Und du bist ernsthaft
Eigentlich bin ich im Freundes- und Kollegenkreis immer der Informierte und derjenige, dem solcher Mist sofort auffällt.
?

Wie dem auch sei. Scheint ja jetzt bereinigt zu sein der Mac. Also höchste Zeit sich jetzt mal um wesentliche Grundlagen wie Datensicherung zu kümmern.
 
  • Gefällt mir
Reaktionen: Robsig12, JenaroFios und Schnatterente
Das wäre ja totaler Schwachsinn. Es soll dich doch vor dem wahrscheinlichsten Fall, dem Ausfall der Festplatte schützen. Und du bist ernsthaft

?

Wie dem auch sei. Scheint ja jetzt bereinigt zu sein der Mac. Also höchste Zeit sich jetzt mal um wesentliche Grundlagen wie Datensicherung zu kümmern.
Lieber @walfreiheit, ja, tatsächlich gibt es viele Gesellschaftsgruppen und Bereiche, in denen sich viele Menschen kaum mit EDV auskennen.

Aber sorry, schwachsinnig? Auch wenn es leichtsinnig von mir war (das zumindest habe ich ja auch selbst erkannt), hatte ich in den 30 Jahren meiner aktiven Amiga-, PC- und Macnutzung keinen einzigen Festplattencrash gehabt, allerdings ansonsten auch immer externe Backupfestplatten genutzt. Die meisten meiner Dokumente hier auf dem Macbook speicher ich übrigens zusätzlich in der Cloud, und generell suche ich ja nach einer internen Cloud bzw. WLAN-Backuplösung a'la Synology. Also: Nicht so schnell urteilen ;-)
 
Avira habe ich deinstalliert (naja... wie auf der Supportseite beschrieben in den Papierkorb verschoben und den später dann geleert, es sollte sich aber nach dem Verschieben ein Deinstaller automatisch öffnen, davon habe ich bis auf eine Frage zu Systemerweiterungen nichts gemerkt, Festplattenzugriff etc. bestand danach immer noch, zumindest das nochmal manuell nachgearbeitet. Das stützt deine Aussage, @WollMac, hast Du noch einen Tipp, wo ich nachschauen sollte, bzw. was ich ggf. machen muss, damit Avira auch wirklich komplett weg ist?)

Danach Malwarebytes installiert und laufen lassen ("Scanner" starten). Der hat nichts mehr gefunden. Soweit, so gut.
Was mich aber wundert: Der Scan hier hat 16 Sekunden gedauert, bei Avira war der kurze Scan auch so schnell und hatte ganz am Anfang auch nichts gefunden, der Komplettscan, der dann jeweils die oben beschriebenen Dateien gefunden hat, hat aber etwa 30min gedauert... Gibt es keinen Komplettscan bei Malwarebytes oder finde ich das nur nicht?
Moin,

ich muss nochmal nachfragen: Hat jemand noch einen Tipp für mich, wo ich nach Avira Resten Ausschau halten sollte?

Und ist es korrekt, dass der Scan bei Malwarebytes nur 16sec. dauert? Heute hat es 12sec. gedauert und er hat angeblich 42.470 Elemente gescannt. Kann das wirklich sein?

Aus reinem technischen Interesse: Warum brauchte Avira dann so lang, was macht es anders?

VG
Ben
 
Zuletzt bearbeitet:
suche ich ja nach einer internen Cloud bzw. WLAN-Backuplösung a'la Synology.
Das wäre dann aber ja eine externe Backuplösung. Intern sind Dinge nur, wenn sie direkt im Gehäuse deines PCs / Macs verbaut sind.
Ein Backup auf einem NAS ersetzt aber keine Timemachine Sicherung.
hatte ich in den 30 Jahren meiner aktiven Amiga-, PC- und Macnutzung keinen einzigen Festplattencrash gehabt
Dann schnell drei Mal auf Holz klopfen. Ich habe schon einen Festplattencrash gehabt, habe ihn aber noch rechtzeitig erkannt und konnte die Platte tauschen. Nur weil du bisher großes Glück gehabt hast, heißt dass ja nicht, dass ein Crash sehr unwahrscheinlich wäre.
 
  • Gefällt mir
Reaktionen: dg2rbf
Das ist für alle gängigen Betriebssysteme.

Screenshot 2021-12-01 084814.png
 
Zurück
Oben Unten