macOS Big Sur Virus-Meldung??? *Unbekannte Datei ,,CleanParameterd'' beschädigt deinen Computer*

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Hi ich hab ein Problem mit meinem macbook - macOS Big Sur Version 11.2.1, MacBook Air (Retina, 13 Zoll, 2020) - Jedes mal wenn ich meinen Mac neu starte kommt diese Fehlermeldung (siehe Datei im Anhang) :

,,CleanParameterd'' beschädigt deinen Computer
Diese Datei wurde an einem unbekannten Datum geladen


ich weiß nicht mehr weiter, ich kann die Datei zwar irgendwie löschen aber bei jedem Neustart lädt er diese Datei immer wieder runter, ohne das ich was dagegen tun kann. Ich weiß nicht wie ich diese Datei jetzt wieder gelöscht bekomme. Weiß hier irgendjemand was das ist ? kann es sein das das ein Virus ist?
Falls jemand eine Ahnung hat, was das ist/ oder was man dagegen tun kann, würde mir wirklich helfen. Danke schonmal! Hoffe das mir irgendjemand weiter helfen kann :)

Liebe Grüße
Cherry
 

Anhänge

  • Bildschirmfoto 2021-02-24 um 18.05.24.png
    Bildschirmfoto 2021-02-24 um 18.05.24.png
    246,3 KB · Aufrufe: 101

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.530
Da ist noch ein launchd Job aktiv, die das Teil immer wieder installiert.
Lad dir mal Malwarebytes runter, Premium direkt deaktivieren, die Freie Version reicht.
 

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Da ist noch ein launchd Job aktiv, die das Teil immer wieder installiert.
Lad dir mal Malwarebytes runter, Premium direkt deaktivieren, die Freie Version reicht.

hi danke. Habs mir runtergeladen und einen Scan gemacht, da hat er auch Bedrohungen gefunden die hab ich dann gelöscht und einen Neustart gemacht, und dann kam aber genau dieselbe Fehler Meldung wieder! :(
 

bernie313

Aktives Mitglied
Registriert
20.08.2005
Beiträge
23.947
Ggf. auch in die Systemeinstellungen schauen, ob eventuell ein Profil installiert wurde.
 

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
Im Apple Forum gibt es schon einige Berichte dazu. Hier die Schritte, die angeblich funktionieren:
  1. Download EtreCheck (www.etrecheck.com) from AppStore
  2. Run a scan, it's free. After doing the first scan, you will see under 'unsigned files', some of the files will say CleanParameterd in the file name somewhere. Remove those files.
  3. This issue should still persist even after you click "ok" from the pop-up icon. So download Spyhunter (https://www.enigmasoftware.com/spyhunter-download-instructions/)
  4. Run a scan again. There should be one last malware file. You will have to pay to get it removed. But you can do it manually and for free. The directory is provided. (/private/var/root/Library/Application Support/.CleanParameter.dp/CleanParameterd). Keying this in Shift+Command+G will not work.
  5. Press Shift+Command+G and type "/private/var" you should see a locked file root. Press command+i and scroll all the way down. You should unlock it at the bottom right by clicking the lock icon first. Then, amend the privacy settings such that everyone can "view and edit the file".
  6. Do the same for the subsequent files for Library and Application Support.
  7. At this stage, you will not see a '.CleanParameter.dp' file as it is hidden.
  8. To reveal it, press command+shift+. to reveal the hidden folders. For me, I had 2 hidden folders, one of them being .CleanParameter.dp. At this stage, just move this file to bin and everything will be settled and solved.
Schritt 3 davon würde ich auslassen – man braucht nicht noch ein Programm. Der Pfad /private/var/... war bei allen scheinbar gleich, also kannst du Schritt 3 überspringen.
 

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Und wenn du wieder scannst?

Sonst vor dem Scan mit launchctl den Job beenden.

hey habe soeben nochmal gescannt und dann sagt er mir folgendes: (siehe Datei im Anhang)
- was bedeutet ,,vor dem scan mit launchctl den Job beenden''? bzw. was meinst du damit?

LG :)
 

Anhänge

  • Bildschirmfoto 2021-02-24 um 19.02.34.png
    Bildschirmfoto 2021-02-24 um 19.02.34.png
    406,1 KB · Aufrufe: 93

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.530
hey habe soeben nochmal gescannt und dann sagt er mir folgendes: (siehe Datei im Anhang)
- was bedeutet ,,vor dem scan mit launchctl den Job beenden''? bzw. was meinst du damit?
Dazu müsstest du das Terminal öffnen und dort erst
launchctl list
eingeben, dann bekommst du eine lange Liste und du musst das Clean Teil darin suchen.
Dann kannst du mit launchctl das Teil stoppen.

In den Benutzer Startobjekten hast du auch mal nachgesehen?
 

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Im Apple Forum gibt es schon einige Berichte dazu. Hier die Schritte, die angeblich funktionieren:

Schritt 3 davon würde ich auslassen – man braucht nicht noch ein Programm. Der Pfad /private/var/... war bei allen scheinbar gleich, also kannst du Schritt 3 überspringen.

hey danke erstmal! ich hab das etre check ausprobiert und einen Scan gemacht - dann werde ich aber aufgefordert die Vollversion zu kaufen, bevor ich weiter machen kann. :(
 

Anhänge

  • Bildschirmfoto 2021-02-24 um 19.16.59.png
    Bildschirmfoto 2021-02-24 um 19.16.59.png
    210 KB · Aufrufe: 49
  • Bildschirmfoto 2021-02-24 um 19.16.42.png
    Bildschirmfoto 2021-02-24 um 19.16.42.png
    462,3 KB · Aufrufe: 45

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
hey danke erstmal! ich hab das etre check ausprobiert und einen Scan gemacht - dann werde ich aber aufgefordert die Vollversion zu kaufen, bevor ich weiter machen kann. :(
Eigentlich solltest du dir den Bericht auch so anzeigen lassen können, worin dann die Pfade zur Malware stehen. Bitte auch "Full drive access" einschalten für den Scan mit EtreCheck.

Falls du Hilfe bei der Auswertung brauchst, stell den Bericht ruhig hier ein, damit mehr Leute drüberschauen können! Anleitung gibt es hier.
 

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Dazu müsstest du das Terminal öffnen und dort erst
launchctl list
eingeben, dann bekommst du eine lange Liste und du musst das Clean Teil darin suchen.
Dann kannst du mit launchctl das Teil stoppen.

In den Benutzer Startobjekten hast du auch mal nachgesehen?

danke für deine Hilfe :) ...kannst du mir noch erklären wie ich ,,das Terminal öffne''? ...und was die ,,Benutzer Startobjekte'' sind bzw. wie ich dorthin komme ?
sorry, nur ich kenn mich nämlich leider garnicht aus mit Apple Produkten - ist mein erster Mac ;) - hatte mein Leben lang immer nur windows, dies das ..... und jetzt ist alles doch krass anders... :) - deswegen, bin total überfragt mit der Umstellung ... :D :o :/
 

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
...kannst du mir noch erklären wie ich ,,das Terminal öffne''?
Es gibt ein Programm, das Terminal heißt. Findest du einfach im Launchpad (der kleinen Rakete), wo alle deine Programme sind. Oder du drückst [cmd]+[leertaste] und gibst "Terminal" ein.
Edit: Heutzutage (leider) keine Rakete mehr, unter Big Sur sieht das scheinbar aus wie eine Übersicht aller Apps.
...und was die ,,Benutzer Startobjekte'' sind bzw. wie ich dorthin komme ?
In den Einstellungen. Dazu gibt es hier mehr Infos: https://support.apple.com/de-de/guide/mac-help/mtusr003/mac.
 

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.530
Das Terminal findest du in Programme/Dienstprogramme.

Startobjekte findest du in Systemeinstellungen/Benutzer.
 

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Eigentlich solltest du dir den Bericht auch so anzeigen lassen können, worin dann die Pfade zur Malware stehen. Bitte auch "Full drive access" einschalten für den Scan mit EtreCheck.

Falls du Hilfe bei der Auswertung brauchst, stell den Bericht ruhig hier ein, damit mehr Leute drüberschauen können! Anleitung gibt es hier.

hey danke dir mach ich gleich mal.. :) ja ich kann leider nicht so perfekt Englisch das ich das wirklich verstehen würde, .. klar also einige Sachen versteht man, das man sich auf Englisch verständigen kann, aber der Bericht übersteigt meine Englisch Kenntnisse ein wenig - teilweise versteh ich es schon aber eben nicht in dem Zusammenhang....


hier ist der Bericht:
EtreCheck version: 5.7.1 (5243)

Report generated: 2021-02-24 19:12:26

Download EtreCheck from https://etrecheck.com

Runtime: 2:08


Performance: Excellent
Sandbox: Enabled

Full drive access: Disabled


Problem:
Other problem

Description:

Virus Meldung:

Cleanparameterd beschädigt deinen Computer

Diese Datei wurde an einem unbekannten Datum geladen


Major Issues:
Anything that appears on this list needs immediate attention.


System extension blocked - There are system extensions awaiting user approval.

Adobe Flash Player installed - Adobe Flash Player is installed on this computer. This is a security risk and no longer supported.


Minor Issues:
These issues do not need immediate attention but they may indicate future problems or opportunities for improvement.


No Time Machine backup - Time Machine backup not found.

Unsigned files - There are unsigned software files installed. Apple has said that unsigned software will not run by default in a future version of the operating system.

Limited drive access - More information may be available with Full Drive Access.


Hardware Information:
MacBook Air (Retina, 13-inch, 2020)
MacBook Air Model: MacBookAir9,1
1,1 GHz Dual-Core Intel Core i3 (i3-1000NG4) CPU: 2-core
8 GB RAM - Not upgradeable
BANK 0/ChannelA-DIMM0 - 4 GB LPDDR4X 3733
BANK 2/ChannelB-DIMM0 - 4 GB LPDDR4X 3733
Battery: Health = Normal - Cycle count = 16

Video Information:
Intel Iris Plus Graphics - VRAM: 1536 MB
Color LCD (built-in) 2880 x 1800

Drives:
disk0 - APPLE SSD AP0256N 251.00 GB (Solid State - TRIM: Yes)
Internal PCI-Express 8.0 GT/s x4 NVM Express
disk0s1 - EFI [EFI] 315 MB
disk0s2 [APFS Container] 250.69 GB
disk1 [APFS Virtual drive] 250.69 GB (Shared by 6 volumes)
disk1s1 (APFS) [APFS Container] (Shared)
disk1s1s1 - Macintosh HD (APFS) [APFS Snapshot] (Shared - 15.05 GB used)
disk1s2 - Macintosh HD - Data (APFS) [APFS Virtual drive] (Shared - 18.80 GB used)
disk1s3 - Preboot (APFS) [APFS Preboot] (Shared - 371 MB used)
disk1s4 - Recovery (APFS) [Recovery] (Shared)
disk1s5 - VM (APFS) [APFS VM] (Shared - 20 KB used)
disk1s6 - Update (APFS) (Shared - 1 MB used)

Mounted Volumes:
disk1s1s1 - Macintosh HD [APFS Snapshot]
250.69 GB (Shared - 15.05 GB used, 216.31 GB available, 215.71 GB free)
APFS
Mount point: /
Read-only: Yes
disk1s2 - Macintosh HD - Data [APFS Virtual drive]
250.69 GB (Shared - 18.80 GB used, 216.31 GB available, 215.71 GB free)
APFS
Mount point: /System/Volumes/Data
Encrypted
disk1s3 - Preboot [APFS Preboot]
250.69 GB (Shared - 371 MB used, 215.71 GB free)
APFS
Mount point: /System/Volumes/Preboot
disk1s5 - VM [APFS VM]
250.69 GB (Shared - 20 KB used, 215.71 GB free)
APFS
Mount point: /System/Volumes/VM
disk1s6 - Update
250.69 GB (Shared - 1 MB used, 215.71 GB free)
APFS
Mount point: /System/Volumes/Update

Network:
Interface en0: Wi-Fi
802.11 a/b/g/n/ac
Interface en4: Bluetooth PAN
Interface bridge0: Thunderbolt Bridge

System Software:
macOS Big Sur 11.2.1 (20D74)
Time since boot: Less than an hour

Notifications:
Notifications not available without Full Drive Access.

Security:

Gatekeeper: Enabled

System Integrity Protection: Enabled


Antivirus software: Apple and Malwarebytes


Security Risk! - Adobe Flash Player installed!


Unsigned Files:
Launchd: ~/Library/LaunchAgents/com.google.keystone.agent.plist
Executable: ~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/MacOS/GoogleSoftwareUpdateAgent -runMode ifneeded
Details: Exact match found in the legitimate list - probably OK
Launchd: ~/Library/LaunchAgents/com.google.keystone.xpcservice.plist
Executable: ~/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Resources/GoogleSoftwareUpdateAgent.app/Contents/MacOS/GoogleSoftwareUpdateAgent -runMode xpchost
Details: Exact match found in the legitimate list - probably OK
Plugin: /Library/Internet Plug-Ins/Flash Player.plugin/Flash Player.plugin/Contents/PlugIns/FlashPlayer-10.6.plugin
Plugin: /Library/Internet Plug-Ins/Flash Player.plugin/Flash Player.plugin

System Extensions:
[Waiting for authorization] MacKeeper Real-time Protection - version 5.1.1 (KROMTECH ALLIANCE CORP. - 2021-01-18)
Application: /Applications/MacKeeper.app - version 5.1.1
Description: MacKeeper Real-time Protection

System Launch Agents:
[Not Loaded] 17 Apple tasks

[Loaded] 173 Apple tasks

[Running] 141 Apple tasks


System Launch Daemons:
[Not Loaded] 36 Apple tasks

[Loaded] 183 Apple tasks

[Running] 140 Apple tasks

[Other] One Apple task


Launch Agents:
[Running] com.malwarebytes.mbam.frontend.agent.plist (Malwarebytes Corporation - installed 2021-01-19)


Launch Daemons:
[Loaded] com.adobe.fpsaud.plist (Adobe Inc. - installed 2020-11-24)

[Running] com.malwarebytes.mbam.rtprotection.daemon.plist (Malwarebytes Corporation - installed 2021-02-24)

[Running] com.malwarebytes.mbam.settings.daemon.plist (Malwarebytes Corporation - installed 2021-01-19)


User Launch Agents:
[Loaded] com.google.keystone.agent.plist (? 0 - installed 2021-01-06)

[Loaded] com.google.keystone.xpcservice.plist (? 0 - installed 2021-01-06)


User Login Items:
[Not Loaded] WhatsApp Login Helper (App Store - installed 2021-02-20)
Modern Login Item
/Applications/WhatsApp.app/Contents/Library/LoginItems/WhatsApp Login Helper.app

Internet Plug-ins:
FlashPlayer-10.6: 32.0.0.465 (? - installed 2021-01-18)
Flash Player: 32.0.0.465 (? - installed 2021-01-18)

User Internet Plug-ins:
User Internet Plug-ins need Full Drive Access

User Audio Plug-ins:

User Audio Plug-ins need Full Drive Access

User iTunes Plug-ins:

User iTunes Plug-ins need Full Drive Access

3rd Party Preference Panes:

Flash Player (Adobe Inc. - installed 2020-11-24)

Backup:
Time Machine Not Configured!

Performance:

System Load: 2.06 (1 min ago) 2.02 (5 min ago) 3.10 (15 min ago)
Nominal I/O speed: 0.00 MB/s
File system: 31.69 seconds
Write speed: 1086 MB/s
Read speed: 1240 MB/s

CPU Usage Snapshot:
Type Overall

System: 4 %

User: 7 %

Idle: 89 %


Top Processes Snapshot by CPU:
Process (count) CPU (Source - Location)

Other processes 33.21 % (?)

EtreCheck 9.78 % (App Store)

Dock 0.11 % (Apple)

Safari 0.05 % (Apple)

lockoutagent 0.05 % (Apple)


Top Processes Snapshot by Memory:
Process (count) RAM usage (Source - Location)

EtreCheck 540 MB (App Store)

Finder 128 MB (Apple)

Safari 121 MB (Apple)

AppleSpell 112 MB (Apple)

Notes 84 MB (Apple)


Top Processes Snapshot by Network Use:
Process Input / Output (Source - Location)

Other processes 203 KB / 5 MB (?)

com.apple.WebKit.Networking.xpc 468 KB / 32 KB (Apple)

Safari 23 KB / 986 B (Apple)

Notes 21 KB / 3 KB (Apple)

parsecd 11 KB / 2 KB (Apple)


Virtual Memory Information:
Physical RAM: 8 GB


Free RAM: 40 MB

Used RAM: 4.27 GB

Cached files: 3.69 GB


Available RAM: 3.73 GB

Swap Used: 0 B


Software Installs (past 30 days):
Install Date Name (Version)

2021-02-02 Telegram (7.4)

2021-02-05 macOS 11.2 (11.2)

2021-02-14 Antivirus One (3.6.3)

2021-02-14 TotalAV

2021-02-14 EtreCheck (5.7.1)

2021-02-20 WhatsApp (2.2104.10)

2021-02-20 macOS 11.2.1 (11.2.1)

2021-02-24 XProtectPlistConfigData (2140)

2021-02-24 MRTConfigData (1.74)

2021-02-24 Malwarebytes for Mac


Diagnostics Information (past 7-30 days):
Directory /Library/Logs/DiagnosticReports is not accessible.
Enable Full Drive Access to see more information.

End of report
 

CHERRYxBABYx666

Neues Mitglied
Thread Starter
Registriert
14.02.2021
Beiträge
13
Das Terminal findest du in Programme/Dienstprogramme.

Startobjekte findest du in Systemeinstellungen/Benutzer.

ok habe Programme/dienstprogamme geöffnet - dann bekomme ich folgendes angezeigt: (siehe Bild im Anhang). Welches davon ist es denn?
 

Anhänge

  • Bildschirmfoto 2021-02-24 um 19.33.15.png
    Bildschirmfoto 2021-02-24 um 19.33.15.png
    207,6 KB · Aufrufe: 49

dg2rbf

Aktives Mitglied
Registriert
08.05.2010
Beiträge
7.757
Hi,
den Adobe FlashPlayer deinstallieren, Security Risk! - Adobe Flash Player installed!,
auch diesen Müll deinstallieren,
2021-02-14 Antivirus One (3.6.3)

2021-02-14 TotalAV
zusätzlich, Application: /Applications/MacKeeper.app - version 5.1.1 Deinstallieren!!.
Franz
 

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
Vielleicht kannst du den Report nochmal einstellen mit dem "Full disk access"? Damit bekommt man noch mehr Infos, die weiterhelfen können.

Was direkt ins Auge springt ist der Adobe FlashPlayer, der müsste weg. Außerdem unbedingt in Zukunft (wenn alle Viren beseitigt sind) Backups machen ;)
 

Mihahn

Mitglied
Registriert
06.10.2017
Beiträge
286
Im Apple Forum gibt es schon einige Berichte dazu.
Um das nochmal aufzunehmen (und vielleicht etwas einfacher zu schreiben):
  1. EtreCheck (www.etrecheck.com) aus dem AppStore herunterladen
  2. Mit EtreCheck den Mac scannen. Unter den "unsigned files" tauchen Dateien auf, in deren Dateinamen irgendwo "CleanParamterd" auftaucht. Diese Dateien musst du löschen.
  3. Das Problem besteht immer noch, weshalb im Apple Forum vorgeschlagen wird, Spyhunter herunterzuladen. Ob es das braucht, glaube ich persönlich eher nicht.
  4. Es hat sich (bei mehreren Nutzern) gezeigt, dass in /private/var/root/Library/Application Support/ ein versteckter Ordner mit dem Namen .CleanParameter.dp existiert. Den kann man aber nicht einfach so löschen.
  5. Um ihn löschen zu können, musst du im Finder [cmd]+[shift]+[g] drücken (das öffnet einfach "Gehe zum Ordner...") und gibst ein /private/var. Darin ist dann der Ordner "root", den du nicht öffnen kannst. Wähle ihn also aus, drück [cmd]+[ i ] und in dem sich öffnenden Fenster ist ganz unten rechts (bei Teilen & Zugriffsrechte) ein Schloss. Darauf klickst du, gibst dein Passwort ein und änderst "everyone" von "Keine Rechte" zu "Lesen und Schreiben".
  6. Dann öffnest du den Ordner und machst dasselbe mit den darin enthaltenen Ordnern "Library" und "Application Support".
  7. Wenn du im Ordner "Application Support" angekommen bist, sieht du ".CleanParamter.dp" nicht, weil es versteckt ist.
  8. Drücke also [cmd]+[shift]+[.], um versteckte Ordner anzuzeigen. Dann schaust du, welche Ordner du findest, die im Namen .CleanParameter.dp enthalten und packst diese dann in den Papierkorb.
Anschließend würde ich den Papierkorb leeren, die Rechte von "everyone" in Application Support, Library und root wieder auf "Keine Rechte" zurücksetzen und den Mac neu starten. Dann nochmal Malwarebytes und EtreCheck laufen lassen.

Im obigen EtreCheck Protokoll hat sich ja nichts gefunden, was in Schritt 1+2 angezeigt werden sollte. Entweder hat das Malwarebytes schon entfernt, oder es fehlt beim Bericht durch den fehlenden "Full drive access". Du könntest also entweder nochmal ein EtreCheck Protokoll (mit full drive access) hier einstellen oder auch erstmal mit Schritt 4 weitermachen!

ok habe Programme/dienstprogamme geöffnet - dann bekomme ich folgendes angezeigt: (siehe Bild im Anhang). Welches davon ist es denn?
Ach ja, das wäre einfach das, was du im Screenshot ausgewählt hast: das Terminal.
 
Oben