Virus eingefangen? Wie weiter vorgehen?

[*rael*]

Guten Tag,
mein Vater nutzt einen MacMini M1 und hatte eine Bedrohungsmail bekommen, in der stand, dass sein Passwort gehackt wurde. Es handelte sich dabei um das Passwort, das er für seinen Mailaccount bei freenet benutzte und als Admin-Passwort zum Entsperren des MacMini. Eine Tag später kam eine Mitteilung von freenet, das sein Mailaccount wohl gehackt wurde und zum Versenden von Spams missbraucht wurde. Von daher wurde der Mailaccount vorsorglich gesperrt. Ich habe ihm dann von meinem iMac aus einen neuen Mailaccount bei GMX angelegt und auf seinem MacMini via Teamviewer eingerichtet. Heute konnte er sich auch dort nicht mehr einloggen. Bin dann auf die GMX-Seite im Browser und auch dort kam dann die Meldung, dass der Mailaccount gesperrt wurde wegen Verdacht Missbrauch und Spamversand. Wie gehen wir hier am besten weiter vor? Auf der GMX-Seite wurden noch Virenscanner verlinkt, weiß aber nicht, ob das sinnvoll ist. Hab ihm empfohlen, den MacMini auszuschalten und am Dienstag zum Händler zu bringen, damit die sich drum kümmern. Oder habt ihr ne alternative Idee? Wir haben vor der Sperre durch GMX aus Sicherheitsgründen die Apple-ID von freenet auf die neue GMX-Adresse umgestellt. Kann da was passieren?
Vielen Dank im voraus für eure Hilfe.

 

[MacKaz]

Vielleicht macht es Sinn, das Du den Mac mit Etre Check scannst und den Bericht hier reinstellst. Dann kann man das ggf. besser einschätzen. was da los ist.

 

[mikne64]

Hallo,

hat Dein Vater in dieser E-Mail/Seite sein Kennwort eingegeben?

Auf jeden Fall alle aktuellen Kennwörter für E-Mail und Mac mini-Administration-/Benutzer ändern.
Und das neue Kennwort sollte lang sein, mindestens 18 Zeichen.

Den Browser auf unbekannte Erweiterungen prüfen.

Du kannst mit Malwarebytes einen kostenlosen Scan machen
https://de.malwarebytes.com/
Eine Aktivierung/Lizenz ist nicht notwendig.

Bei Verdacht dass der Angreifer auch im WLAN sein könnte, das WLAN-Kennwort auch ändern.

Viele Grüße

 

[V8-Driver]

Vielleicht macht es Sinn, das Du den Mac mit Etre Check scannst und den Bericht hier reinstellst. Dann kann man das ggf. besser einschätzen. was da los ist.

Was bringt das, wenn sein Passwort gehackt wurde? Nichts.

Und das neue Kennwort sollte lang sein, mindestens 18 Zeichen.

Und Zahlen und Sonderzeichen enthalten.

 

[rudluc]

Was bringt das, wenn sein Passwort gehackt wurde? Nichts.

Es scheint aber etwas auf seinem Rechner zu sein, denn der von @*rael* angelegte neue Mailaccount wurde ja sogleich wieder gesperrt.

 

[MacKaz]

Was bringt das, wenn sein Passwort gehackt wurde? Nichts.

Es ging mir darum, einzuschätzen, ob und was da ggf. noch auf dem Mac los ist.
Er hat einen neuen Account bei einem anderen Anbieter angelegt und der ist anscheinend sofort kompromittiert, wenn ich das richtig verstanden habe.

 

[*rael*]

Hallo,

hat Dein Vater in dieser E-Mail/Seite sein Kennwort eingegeben?

Auf jeden Fall alle aktuellen Kennwörter für E-Mail und Mac mini-Administration-/Benutzer ändern.
Und das neue Kennwort sollte lang sein, mindestens 18 Zeichen.

Den Browser auf unbekannte Erweiterungen prüfen.

Du kannst mit Malwarebytes einen kostenlosen Scan machen
https://de.malwarebytes.com/
Eine Aktivierung/Lizenz ist nicht notwendig.

Bei Verdacht dass der Angreifer auch im WLAN sein könnte, das WLAN-Kennwort auch ändern.

Viele Grüße

Für freenet konnte wir das Passwort nicht mehr ändern, da ja der Zugang gesperrt wurde. Das Gleiche seit heute für gmx. Das Admin Passwort für den MacMini haben wir geändert. Problem ist, dass ich erst am Dienstag wieder vor Ort bin und mein Vater das aufgrund seines hohen Alters nicht alleine hinbekommt.

 

[Fabi_001]

Vll mal mit https://objective-see.org/products/knockknock.html und malwarebytes scannen. Mal die Script und Login Programme anschauen, ob du was verdächtiges siehst.

 

[rudluc]

Nicht, dass nun auch noch seine Apple-ID vom Angreifer übernommen wird!
Wenn dort wirklich der Worst Case eingetreten ist, würde ich einen neuen Mailaccount für ihn anlegen auf deinem(!) Rechner, damit die Apple ID verknüpfen, die wichtigen Daten deines Vaters auf einem Datenträger sichern und den Mac neu aufsetzen.

 

[*rael*]

Hab ihm jetzt erst mal gesagt, dass er alles inkl. Wlan ausschalten soll, bis ich am Dienstag danach schauen kann.

 

[518iT]

so lange wifi an ist und der Rechner mit einer Box/ einem Router verbunden ist, so lange wird er sicher auch Internetconnection haben, oder? also hilft es dann nur, den Rechner wirklich komplett offline zu nehmen.

 

[Chriskr79]

Bei sowas sucht man nix mehr. Da wird formatiert und von 0 neu aufgesetzt ohne Backup ! Und dann werden Kennwörter geändert von einer anderen Rechner aus. Saubere Kennwörter die nicht überall Identisch sind.

 

[Difool]

… und Vatern soll die eMail-Adressen, die mit der Apple-ID verknüpft sind, sowie die Apple-ID-Mail-Adresse selbst NICHT und NIEMALS im Netz für irgendwas benutzen.
Lege ihm eine Mail-Adresse an, die er für irgendwelche Anmeldungen benutzen kann.

 

[MacKaz]

Bei sowas sucht man nix mehr. Da wird formatiert und von 0 neu aufgesetzt ohne Backup !

Das würde ich so nicht unterstreichen. Ohne auch nur im Ansatz zu wissen, wie es entstand, kann es sich wiederholen. Ohne Sicherung des maladen Systems hat man nichts mehr in der Hand, wenn die Folgen noch heftiger sein sollten, als man es im ersten Moment annimmt (Identitätsklau o.ä.).
Im Resultat gebe ich Dir aber Recht, da würde ich auch neu aufsetzen und nicht mit dem alten System arbeiten.
Wobei ich aus dem Stehgreif nicht wüsste, ob dann das sichere Löschen aus dem Account heraus samt Neuinstallation von macOS ausreicht, oder man weitere Maßnahmen ergreifen sollte.

 

[Cassiuzz]

Hauptsache Vatta hat sich "nicht" mit seiner Freenet Email-Adresse bei "allen" wichtigen Diensten wie Amazon, Paypal, ebay etc. angemeldet und überall das selbe Passwort z.B. Bello123 hinterlegt!
Denn sonst geht der Angreifer via "Password Spraying" von Konto zu Konto und probier das alles schön aus!
Vorausgesetzt 2FA wurde nirgends aktiviert!

Btw: Hab jetzt noch nie sowas wie einen Mac Trojaner in freier Wildbahn bei den Tech Security Blogs erspäht, wo ein solcher Angriffsvektor ausführlich erklärt wird!

Was natürlich nix heißen muss, wenn ein User mit wenig Erfahrung einfach alles anklickt, was so in Emails oder
aufpoppenden Aufforderungen auf dem Mac erscheint und alles freigibt und erlaubt mit seinem Admin PW!


Drücke die Daumen, dass das alles glimpflich abläuft

 

[*rael*]

Besten Dank nochmals für eure Unterstützung. Den Rechner hat er jetzt komplett vom Strom genommen. Glücklicherweise ist er weder bei ebay, amazon oder Paypal aktiv. Die Mailadresse nutzt er für RTLplus Abo, Abo der Tageszeitung und eben als Apple ID, allerdings mit unterschiedlichen Passwörtern bei den einzelnen Diensten. Online-Banking macht er ausschließlich mit nem externen TAN-Generator. Das letzte Backup hatten wir vor knapp zwei Monaten über Time Machine gemacht. Ist davon auszugehen, dass dieses Backup auch schon verseucht ist und man lieber die Finger davon lässt?

 

[Brettsegler]

Rechner neu aufsetzen und aus dem Backup nur die reinen Nutzerdaten zurückspielen — das dürfte sicher sein.
Ich würde vorher auf dem verseuchten Teil aber mal nachschauen, ob ich Schadsoftware finde. Mit Malwarebytes oder so. Offline natürlich! Dann kann man ggf. genaueres empfehlen.
Viel Glück!

 

[tocotronaut]

Das wichtigte ist: Keine Panik.
Das da ein Virus drauf ist mag ich bezweifeln.

Wenn Jemand auf dem Rechner wär würden sie doch keine Email schicken...


Im normalfall agieren Angreifer von "ihren" Computern gegen die Onlineanbieter.
Da wurde was herausbekommen/gefunden und dann gab es eine Erpressermail.

Das ist alles durchorchestriert und löst Panik aus.

Mehr als das die genutze kombination aus Benutzername und Passwort verbrannt ist ist aber nicht passiert.
Auf den lokalen Rechnern ist niemand drauf. Sein Computer ist eher nicht betroffen.


Ändert das Passwort bei freenet und überall wo ihr diese Kombination aus freenet adresse und dem PW verwendet habt.
Fertig.

Viel wichtiger... wie kommt man auf die idee, vom Gukenanbieter Freenet zu Gmx zu wechseln? Regen -> Traufe und so...
Ich würe die GMX adresse auch direkt wieder löschen. Die alten Menschen kommen sonst echt durcheinander...

 

[*rael*]

Wie gesagt lässt sich das freenet-Passwort nicht mehr ändern, da freenet den Mailzugang gesperrt hat. Meine Eltern besitzen noch je win ipad Air und ein iphone. Können die in irgendeiner Form auch betroffen sein?

 

[dodo4ever]

Wie gesagt lässt sich das freenet-Passwort nicht mehr ändern, da freenet den Mailzugang gesperrt hat. Meine Eltern besitzen noch je win ipad Air und ein iphone. Können die in irgendeiner Form auch betroffen sein?

Nein, das ist ja alles in einer Sandbox. Wie schon mehrfach hier erwähnt, ist vermutlich auch der Mac nicht betroffen.