Viren gefunden - was nun?

[Frau Linde]

Da mein Mail-Programm keine meiner Accounts mehr erreichte und Vodafone sagte, meine E-Mail-Adresse sei gesperrt, weil es 1400 fehlgeschlagene Versuche gab, sich einzulocken (brute force attack), habe ich einen Viren-Scanner drüber laufen lassen (Avast Security). Der hat 16 Infizierungen gefunden und 23 nicht scannbare Dateien.
Nach weiteren Durchläufen, findet Avast nun keine Infizierungen mehr, kann aber 24 Dateien nicht scannen.

Um auch mein Backup virenfrei zu kriegen, habe ich die externe Festplatte gelöscht. Auf ihr waren auch Viren gefunden worden. Das Festplattendienstprogramm meldet nach dem Llöschen immer noch 3 Dateien. Ist das unbedenklich oder was kann ich tun?

Was mir mehr Sorgen bereitet, ist, dass unter Anmeldeobjekte ein „Keeper Agent“ auftaucht. Wie kriege ich den sicher weg, reicht da die Funktion “Ausblenden“? Im Netzt habe ich dazu nichts gefunden.
Ausblenden habe ich angekreuzt und den Rechner neu gestartet.

Weiß jemand etwas über diesen "Keeper Agent"?

Dieser Keeper Agent hat vor zwei Tagen innerhalb einer Minute mehrere Aktionen ausgeführt. Das Protokoll endet mit:
info: Keeper Password Manager will automatically update to the next version when the app restarts.

Das passierte übrigens am Nachmittag nach dem Ausfall des Mailprogramms.

Mehrere Zugriffsrechte lassen sich nicht anhaltend reparieren, sondern tauchen immer wieder auf. Vermutlich werde ich ein neues Betriebssystem aufspielen.
Ich war bisher übrigens mit Mavericks unterwegs, damit Lightroom 5 und CS6 läuft.

Ich bin nicht besonders erfahren mit Computerdingen und kenne mich nicht gut aus …

Mail ging übrigens nach einem Neustart wieder.

 

[ekki161]

(Avast Security). Der hat 16 Infizierungen gefunden und 23 nicht scannbare Dateien.

Aha.

Dazu wären aber auch mehr Infos nötig.

Lade dir bitte mal Etrecheck herunter und scanne dein System damit. Anschließend den Report hier bitte veröffentlichen.

Malwarebytes wäre dann ev. auch mal angeraten.

 

[MacMac512]

Ganz einfach:

1. https://de.malwarebytes.com downloaden, laufen lassen, "Vieren" entfernt.

2. Avast runterwerfen! Uninstaller benutzen.

3.
Bitte einmal EtreCheck downloaden, installieren und das Ergebnis hier in CODE Tags posten.
Siehe dazu das Bild.

Danke.
Die ersten 5 Mal sind kostenlos.

 

[Frau Linde]

Aha.

Dazu wären aber auch mehr Infos nötig.

Lade dir bitte mal Etrecheck herunter und scanne dein System damit. Anschließend den Report hier bitte veröffentlichen.

Malwarebytes wäre dann ev. auch mal angeraten.

Welche Infos brauchst du?

Schwierig ist, Programme für Maveriscks zu bekommen. Ich habe es mit gestern mit einem Link vom Support von Malwarebytes versucht. Ich fand, dass sich der Download seltsam verhalten hat. Er startete sofort nach dem Anklicken und es war nicht zu sehen, wohin er geladen wird. Ich habe dann die Seite verlassen und versucht den Ladevorgang abzubrechen. Wesentlich später (circa eine Stunde), als ich den Browser schloss, kam die Meldung, es liefe noch ein Download, ob ich den abbrechen will? Ja.
Später sah ich dann im Festplattendienstprogramm eine weiße Festplatte von Malwarebytes angezeigt und ja, sie war jetzt auf dem Schreibtisch zu finden. Als ich diese auswarf, ging das Fenster für die Installation auf. Mir erschien das alles sehr hartnäckig. War das alles normal und ich soll es noch mal installieren oder war das selbst ein Virus?

 

[ekki161]

Welche Infos brauchst du?

Zumindest mal eine Angabe, was denn Avast so alles angeblich gefunden hat.

Aber auch ich würde, wie schon in #3 von @MacMac512 geschrieben, Avast komplett deinstallieren.

LR 5 und PS CS6 sollten zumnindest bis El Capitän laufen (hier läuft PS CS6 auch auf Geräten mit High Sierra).

https://roaringapps.com/app/adobe-photoshop-lightroom-5

Und in Sachen Downloads: Hast du denn in Safari beispielsweise angehakt 'Sichere Dateien nach dem Donwload öffnen'?

ls ich diese auswarf, ging das Fenster für die Installation auf. Mir erschien das alles sehr hartnäckig. War das alles normal oder auch ein Virenprogramm?

Nein, das war eigentlich das normale Verhalten.

 

[MacEnroe]

War das alles normal und ich soll es noch mal installieren oder war das selbst ein Virus?

Das war normal. Und es ist höchst unwahrscheinlich, dass dein Mac von einem Virus befallen ist.
Die „brutal force attack“ auf deinen Vodafone Server wird mit deinem Mac nichts zu tun haben.
Die kommt nicht von deinem Mac.
Wenn du trotzdem dein System checken willst, dann mach es so wie in #3 beschrieben.

 

[Frau Linde]

Etrecheck hat kein Problem gefunden bei "no Problem - just checking". Das dauerte 1 Minute. Reicht das oder soll ich eine intensivere Suche mit Etrecheck starten?

Also noch einmal Malwarbytes runterladen. Mach ich.

Kann ich dir den ersten Bericht von Avast als private Nachricht schicken? Ich will ihn nicht einfach so ins Netz stellen. Wo ich doch ohnehin nicht kapiere, was drinn steht.

 

[ekki161]

Etrecheck hat kein Problem gefunden

Woher hast du diese Erkenntnis?

Den Report hier bitte mal zeigen (wie in '3 bebildert beschrieben). Da steht nichts 'Privates' drin.

Ich hoffe doch sehr, dass der 'Fehlerbericht' von Avast 'anonym' ist.

Zur Not Screenshots machen und an entsprechenden Stellen unkenntlich machen.

 

[Frau Linde]

Spoiler: EtreCheck

EtreCheck version: 4.1.4 (4A203)
Report generated: 2018-04-02 13:07:12
Download EtreCheck from https://etrecheck.com
Runtime: 3:48
Performance: Good

Problem: No problem - just checking

Major Issues:
Anything that appears on this list needs immediate attention.
Gatekeeper disabled - Gatekeeper security protection is disabled. This computer is at risk of malware infection.
Old operating system - Old operating system versions no longer receive security updates.

Minor Issues:
These issues do not need immediate attention but they may indicate future problems.
Time Machine auto backup disabled - Time Machine auto backups are disabled.
Clean up - There are orphan files that could be removed.
Unsigned files - There is unsigned software installed. They appear to be legitimate but should be reviewed.
Insufficient permissions - EtreCheck running under a standard user. Diagnostic information may not be available.
32-bit Apps - This machine has 32-bits apps that may have problems in the future.

Hardware Information:
Mac mini (Late 2012)
Mac mini Model: Macmini6,2
1 2.3 GHz Intel Core i7 (i7-3615QM) CPU: 4-core
8 RAM Upgradeable
BANK 0/DIMM0
4 GB DDR3 1600 ok
BANK 1/DIMM0
4 GB DDR3 1600 ok
Video Information:
Intel HD Graphics 4000 - VRAM: 1024 MB
EV2436W 1920 x 1200 @ 59 Hz

Drives:
disk0 - APPLE HDD HTS541010A9E662 1.00 TB (Mechanical)
Internal SATA 3 Gigabit Serial ATA
disk0s1 - EFI [EFI] 210 MB
disk0s2 - R*******d (Journaled HFS+) 999.35 GB
disk0s3 - Recovery HD [Recovery] 650 MB

Mounted Volumes:
disk0s2 - R*******d 999.35 GB (773.72 GB free)
Journaled HFS+
Mount point: /

Network:
Interface Bluetooth-Modem: Bluetooth DUN
Interface en0: Ethernet
One IPv4 address
Interface fw0: FireWire
Interface en1: Wi-Fi
802.11 a/b/g/n
One IPv4 address
Interface en3: Bluetooth PAN
Interface bridge0: Thunderbolt Bridge

System Software:
OS X Mavericks 10.9.5 (13F1911)
Time since boot: About an hour
System Load: 1.60 (1 min ago) 1.24 (5 min ago) 1.03 (15 min ago)

Security:
System Status
Gatekeeper Anywhere


Unsigned Files:
Launchd: /Library/LaunchDaemons/com.avast.update.plist
Executable: /Library/Application Support/Avast/components/update/update.sh
Details: Exact match found in the whitelist - probably OK
Launchd: /Library/LaunchDaemons/com.avast.uninstall.plist
Executable: /Library/Application Support/Avast/hub/autouninstall.sh
Details: Exact match found in the whitelist - probably OK
Launchd: /Library/LaunchDaemons/com.avast.init.plist
Executable: /Library/Application Support/Avast/hub/init.sh
Details: Exact match found in the whitelist - probably OK
Launchd: /Library/LaunchAgents/com.avast.userinit.plist
Executable: /Library/Application Support/Avast/hub/userinit.sh
Details: Exact match found in the whitelist - probably OK
Launchd: /Library/LaunchDaemons/com.adobe.SwitchBoard.plist
Executable: /Library/Application Support/Adobe/SwitchBoard/SwitchBoard.app/Contents/MacOS/launch.switchboard
Details: Exact match found in the whitelist - probably OK

32-bit Applications:
49 32-bit apps

Kernel Extensions:
/Library/Application Support/Avast/components/fileshield/signed
[Loaded] AvastFileShield.kext (4.0.0 - SDK 10.12)

/Library/Application Support/Avast/components/proxy/signed
[Loaded] AvastPacketForwarder.kext (2.1 - SDK 10.12)

System Launch Agents:
[Not Loaded] 6 Apple tasks
[Loaded] 137 Apple tasks
[Running] 41 Apple tasks
[Other] One Apple task

System Launch Daemons:
[Not Loaded] 49 Apple tasks
[Loaded] 139 Apple tasks
[Running] 60 Apple tasks
[Other] One Apple task

Launch Agents:
[Loaded] com.avast.userinit.plist (? bb25154c - installed 2018-03-31)
[Not Loaded] com.adobe.AAM.Updater-1.0.plist (? ffb65062 - installed 2015-10-07)
[Loaded] com.adobe.GC.Invoker-1.0.plist (Adobe Systems, Inc. - installed 2018-01-29)
[Not Loaded] com.oracle.java.Java-Updater.plist (? 0 - installed )
[Other] com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist (Adobe Systems, Inc. - installed 2018-02-14)

Launch Daemons:
[Loaded] com.adobe.ARMDC.SMJobBlessHelper.plist (Adobe Systems, Inc. - installed 2018-02-14)
[Loaded] com.avast.uninstall.plist (? 22f94791 - installed 2018-03-31)
[Loaded] com.avast.init.plist (? fc55b6fa - installed 2018-03-31)
[Loaded] com.adobe.SwitchBoard.plist (? 856489a3 - installed 2015-01-07)
[Loaded] com.adobe.fpsaud.plist (Adobe Systems, Inc. - installed 2018-02-24)
[Not Loaded] com.oracle.java.Helper-Tool.plist (? 0 - installed )
[Running] com.adobe.agsservice.plist (Adobe Systems, Inc. - installed 2018-01-29)
[Loaded] com.adobe.ARMDC.Communicator.plist (Adobe Systems, Inc. - installed 2018-02-14)
[Loaded] jp.co.canon.MasterInstaller.plist (? 81ce49d7 - installed 2017-03-16)
[Loaded] com.avast.update.plist (? 5c6ac355 - installed 2018-03-31)

User Launch Agents:
[Loaded] com.google.keystone.agent.plist (Google, Inc. - installed 2018-02-04)
[Loaded] com.adobe.ARM.df0ab5bbe6f698196fcc21e3c1e66dcb758bd911f4d637272d9d8109.plist (? 0 - installed 2015-09-24)
[Other] com.akamai.single-user-client.plist (? 0 - installed )
[Loaded] com.adobe.GC.Invoker-1.0.plist (Adobe Systems, Inc. - installed 2018-01-29)
[Loaded] com.adobe.AAM.Updater-1.0.plist (? 0 - installed 2015-09-01)

User Login Items:
iTunesHelper Programm (Apple, Inc. - installed 2017-07-21)
(/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
Mail Programm (Apple, Inc.
(/Applications/Mail.app)
com.adobe.SwitchBoard.monitor.plist MachInit
(/etc/mach_init_per_user.d/com.adobe.SwitchBoard.monitor.plist)

Internet Plug-ins:
AdobeExManDetect: AdobeExManDetect 1.1.0.0 (installed 2015-01-30)
AdobeAAMDetect: AdobeAAMDetect 1.0.0.0 (installed 2015-09-01)
QuickTime Plugin: 7.7.3 (installed 2016-07-19)
AdobePDFViewerNPAPI: 17.012.20098 (installed 2017-12-02)
Flash Player: 29.0.0.113 (installed 2018-03-31)
AdobePDFViewer: 18.009.20050 (installed 2017-12-02)
Default Browser: 537 (installed 2014-09-20)
FlashPlayer-10.6: 29.0.0.113 (installed 2018-03-31)

Safari Extensions:
Ecosia - The search engine that plants trees.safariextz - Ecosia - https://www.ecosia.org/ (installed 2017-02-15)

3rd Party Preference Panes:
Akamai NetSession Preferences (installed 2017-09-12)
Flash Player (installed 2018-02-24)

Time Machine:
Skip System Files:
Mobile backups: No
Auto backup: No
Volumes being backed up:
R*******d: Disk size: 999.35 GB - Disk used: 225.63 GB
Destinations:
E****************e [Local] (Last used)
Total size: 499.76 GB
Total number of backups: 36
Oldest backup: 2017-10-28 22:01:00
Last backup: 2018-04-01 17:56:54

Top Processes by CPU:
Process (count) Source % of CPU
WindowServer Apple 5
kernel_task Apple 2
plugin-container (5) Mozilla Corporation 1
firefox Mozilla Corporation 1
Mail Apple, Inc. 1

Top Processes by Memory:
Process (count) Source RAM usage
plugin-container (5) Mozilla Corporation 1.28 GB
kernel_task Apple 607 MB
firefox Mozilla Corporation 558 MB
com.avast.daemon AVAST Software a.s. 214 MB
com.apple.IconServicesAgent 129 MB

Top Processes by Energy Use:
Process (count) Source Energy usage (0-100)
plugin-container (5) Mozilla Corporation 7
firefox Mozilla Corporation 3
WindowServer Apple 1
CIJScannerRegister Canon Inc. 0
launchd (4) Apple 0

Virtual Memory Information:
Available RAM 4.02 GB
Free RAM 587 MB
Used RAM 3.98 GB
Cached files 3.45 GB
Swap Used 0 B

Software Installs (past 30 days):
Name Version Install Date
Avast Security 13.5 2018-03-31

Clean up:
~/Library/LaunchAgents/com.akamai.single-user-client.plist
~/Applications/Akamai/netsession_mac
Executable not found
/Library/LaunchDaemons/jp.co.canon.MasterInstaller.plist
/Library/PrivilegedHelperTools/jp.co.canon.MasterInstaller
Executable not found

Diagnostics Information (past 7 days):
2018-03-31 15:09:16 Mail.app Crash (once)

Directory /Library/Logs/DiagnosticReports is not accessible.
Run as an administrator account to see more information.

End of report

 

[ekki161]

Clean up - There are orphan files that could be removed.

Da könntest du mal aufräumen.

Insufficient permissions - EtreCheck running under a standard user. Diagnostic information may not be available.

Und Etrecheck mal als Admin scannen lassen bitte.

 

[Frau Linde]

Da könntest du mal aufräumen.

Wenn ich nur wüsste was und wie ich aufräumen müsste … Um was handelt es sich da?

Malwarebytes hat nichts gefunden, schreibt er.

Das Ergebnis vom ersten Virenscan siehe Anhang. Eine E-Mail, in der mein Name auftaucht habe ich abgeschnitten.
Gestern fand Avast Security zuerst 16 Infizierungen. Da ich zunächst nicht kapiert hatte, dass ich die in den Vierencontainer stecken muss, habe ich erst einmal nichts gemacht außer einem Screenshot von der Liste. Beim nächsten Öffnen des Programms wurden diese infizierten Dateien nicht mehr angezeigt. Ich habe den Computer noch einmal scannen lassen. Dann wurden noch 7 Infizierungen gefunden. 5 davon konnte ich in den Viren-Container verschieben. Seitdem werden keine Infizierungen merh gemeldet.

Was ist mit diesem Keeper Agent?

Etrecheck als Admin wird gemacht.

 

[ekki161]

Zu den 'Infektionen', die dir Avast meldet:

https://discussions.apple.com/thread/7968581

Wie hier schon mehrfach geschrieben: Lösche diese 'Schutzsoftware' komplett von deinem Rechner.

 

[Frau Linde]

Danke für den Link. Hoffentlich kapiere ich das.

Kann/ soll ich die Sachen, die Avast gefunden hat und die ich in den Virencontainer verschoben habe, bedenkenlos löschen? Bevor ich Avast Security lösche. Reicht es das Programm in den Papierkorb zu verschieben.

Sorra, wie gesagt, ich kenne mich nicht gut aus …

Wenn ich mich als Admin anmelde, also als ein anderer Benutzer, erscheint Etrecheck nicht mehr. Muss ich es dann noch einmal runterladen?

 

[ekki161]

Hast du Etrecheck denn nicht in dem Programmordner installiert?

Wahrscheinlich dann nur für deinen (Standard-)Benutzer installiert, weil der Standardbenutzer ja keine Programme für alle User installieren kann.

Also: Als Admin-Benutzer Etrecheck installieren und ausführen bitte.

Und ich würde auch auf El Capitan aktualisieren.

 

[MacMac512]

Was ist mit diesem Keeper Agent?

Mit schwant da bei dem Namen "Keeper" schon übles..
Hast du mal MacKeeper installiert gehabt?
Damit du Viren löschen kannst, oder der Rechner schneller wird?

Zum Deinstallieren:
https://support.avast.com/en-ww/article/67/

Nicht Papierkorb, sondern das Programm selbst machen lassen.
Anschließend EasyFind aus dem App Store laden und dort für deine gesamte Platte nach Avast suchen lassen.

Dort alles löschen, was sich dort findet. Ansonsten im EtreCheck mal auf [Clean Up] klicken.
Wenn malwarebytes keine Viren findet, hast du auch keine - außer dem Virus "avast".

 

[oneOeight]

Gestern fand Avast Security zuerst 16 Infizierungen. Da ich zunächst nicht kapiert hatte, dass ich die in den Vierencontainer stecken muss, habe ich erst einmal nichts gemacht außer einem Screenshot von der Liste. Beim nächsten Öffnen des Programms wurden diese infizierten Dateien nicht mehr angezeigt. Ich habe den Computer noch einmal scannen lassen. Dann wurden noch 7 Infizierungen gefunden. 5 davon konnte ich in den Viren-Container verschieben. Seitdem werden

mal der vollständigkeit halber, das sind keine viren die da gemeldet wurden, PUP steht für Possible Unwanted Programm.
adware fällt z.b. darunter …

 

[Frau Linde]

Vielen Dank, @MacMac512

Mackeeper habe ich nie installiert, aber als ein Freund mir am Samstag mit dem aktuellen Problem helfen wollte, ging irgendein Programm "an", was wir gar nicht wollten. Es wurde dann sofort abgewürgt. Aber es könnte von der Uhrzeit dieser Keeper Agent gewesen sein. So lässt er sich auf meinem Computer nicht mehr ausfindig machen. Ich werde es mit Easy Find suchen.

 

[Frau Linde]

Avast ist deinstalliert. EasyFind fand unter meinem Admin Benutzer etwas, das ich gelöscht habe. Suche ich aber unter der gesamten Hd, findet Easy Find noch 8 Dateien von Avast, die ich aber nicht löschen kann. Zumindes als Admin nicht. Versuche es jetzt als anderer Benutzer.

 

[MacMac512]

Gut und davor sollst du avast deinstallieren und avast mit easyfind finden und alles löschen.

Okay, Antwort kam als ich getippt habe.

 

[ekki161]

@Frau Linde: Der 'neue' Etrecheck-Report unter dem Admin-Account kommt hier noch rein?

Kann/ soll ich die Sachen, die Avast gefunden hat und die ich in den Virencontainer verschoben habe, bedenkenlos löschen?

Würde ich nicht machen. Jedenfalls nicht ohne mir das vorher noch einmal ganz genau anzusehen, was Avast da soll alles für 'Potentially unwanted' markiert hat.