weknow.ac

[ctc1999@t-online]

Ich habe mir auf meinem iMac, Safari 11.1.2, OS X El Capitan 10.11.6, beim Update des Adobe Flash Players den Virus „weknow.ac“ eingehandelt und bekomme ihn leider nicht entfernt - er taucht bei jeder Öffnung von Safari als Startseite auf und die Startseite lässt sich nicht mehr ändern. Auch ein mehrfacher Scan mit der installierten Malwarebytes Premium Version war nicht erfolgreich - ebensowenig ein Reparaturversuch mit Reimage.
Wer hilft?

 

[noodyn]

Mehr kann man auch kaum falsch machen.
- Titel ohne Aussage,
- Mehrere Copy & Paste Threads erstellen
- Virus, VIRUS rufen (es handelt sich auch hier um einfache Malware)
- und dann noch deine Email-Adresse als Benutzernamen verwenden.

beim Update des Adobe Flash Players den Virus „weknow.ac“ eingehandelt

Das passiert aber nicht einfach so. Du solltest mal dein Surf- und Installationsverhalten kontrollieren. ... Und evtl. auch mal Google benutzen:
https://www.pcrisk.de/ratgeber-zum-entfernen/8806-weknowac-redirect-mac

 

[ctc1999@t-online]

Nicht jeder lebt nur in der PC - Welt...

 

[bowman]

...ein Thread hätte gereicht...

 

[ctc1999@t-online]

Ja - hab ich schon verstanden - wie lösch ich einen?

 

[tocotronaut]

Ich hatte auch gerade den Auftrag weknow.ac zu entfernen...
...und bin gescheitert.

Malwarebytes hat soweit alles entfernt.
Ist auch Alles runter bis auf ein Detail.
Die Startseite im Safari ist noch auf weknow.ac gestellt und lässt sich nicht ändern.
Der eintrag war ausgegraut.
safari.plist löschen brachte keinen erfolg.

Homepage über das terminal ändern ging auch nicht.
https://discussions.apple.com/thread/8162285
edit: an die keychain-2.db traue ich mich nicht ran.
backup ist 1,5 Jahre alt, da auch ein Problem mit dem iCloud Drive vorliegt, das die Time Machine lahmlegt.

Hab dann Profile entdeckt, die unter Systemeinstellungen angelegt wurden.
(Die haben die Safari.plist so eingestellt, dass die Homepage immer auf weknow.ac gesetzt wurde.)
Profile entfernt.
Problem besteht weiterhin - mit dem unterschied, dass man jetzt wieder von Hand was in Safari -> Einstellungen -> Homepage eintippen kann.
Leider nimmt er das aber nicht an und es steht immer wieder weknow.ac drin, sobald man enter drückt oder das fenster wechselt.

Bin ratlos.
Interessanterweise ist der weknow.ac jetzt auch nicht mehr in \User\Library\Preferences\com.apple.Safari.plist zu sehen.

Jemand noch eine Idee wie man die Startseite im Safari neu setzt?
Anleitungen für Windows gibt es zuhauf die bringen aber bei der mac-variante nichts.

 

[walfreiheit]

EtreCheck?

Mal mit EasyFind korrespondieren Dateien gesucht und entfernt?

 

[tocotronaut]

Dateien sind sicherlich keine mehr drauf, nur noch eine Sperre die es verhindert in safari die Startseite zu ändern.
Als ob es irgendwie eine vorlage für die Safari.plist gibt, die verändert wurde.

Hab auch schon in den Containers und groupcontainers nach safari einstellungen gesucht aber nichts gefunden.

 

[Olivetti]

safari plugins gecheckt?
die 3 (~)/Library/Launch* ordner gecheckt?

 

[tocotronaut]

Ja. Alles gelöscht Deaktiviert.
Ja. In der Library und der Benutzerlibrary alles entfernt.
(/System/Library/Launch* hab ich ausgelassen, zuviele dateien die ich nicht zuordnen kann, aber SIP ist aktiv)


Ich bin kurz davor mein system zu klonen und meinen eigenen rechner mit diesem mist zu verseuchen...

Ich vermute dass da nichts mehr drauf ist. Ich kann nur die keine Startseite abspeichern.
Es ist also vermutlich ein Rechteproblem.

System war 10.13.5 also nur halb aktuell.
Das Backup war 1,5 Jahre alt und man konnte Time Machine nicht Starten. Da gab es noch ein Problem mit iCloud Drive. die icloud ist jetzt schon auf zwei komplett unabhängigen rechnern nicht synchron.
-> Dazu werde ich eventuell mal ein eigenes Posting eröffnen,
Das konnte ich aber soweit lösen, dass icloud Drive nicht mehr beim Upload hing und Ein neues Time Machine Backup angelegt werden konnte.

Danach habe ich am Samstag nach dem Posting nochmal High Sierra als komplettinstallation angestupst.
Vielleicht ist das Problem damit schon erledigt...

-> Ich werde ansonsten mal die Rechte für den kompletten Benutzerordner zurücksetzen.

 

[Olivetti]

safari resetted?

 

[tocotronaut]

Safari zurücksetzen gibt es so ja leider nicht mehr.
Cache / Cookies und Webseitedaten habe ich gelöscht.
Erweiterungen gibt es keine.

Richtig loslegen konnte ich erst nach dem Backup. Danach war aber die zeit knapp.
Wichtig sind dem Nutzer nur die Lesezeichen. Passwörter hat er alle in einer liste...

Danke @Olivetti für dein eindenken in das Problem, aber ich habe jetzt schon 1-2 ideen die ich morgen nochmal umsetzen kann.
- Benutzerrechte Zurücksetzen.
- Lesezeichen sichern und Safari ordner komplett löschen.
Ausserdem kann das drüberinstallieren vielleicht auch was bewirkt haben.

 

[Raffff]

Ich bin eher so der Leser hier, aber diesmal muss ich mich mal zu Wort melden.
Ich habe eine Blu-Ray unterwegs am Start gehabt und da liegt immer so ein Zettel bei, von wegen einfach runterladen und unterwegs gucken. Ich bin gerade unterwegs, haben die interne Adresse eingegeben (de.flixstervideo.com) und eine Aufforderung bekommen, einen aktellen Flash Player runterzuladen. Ich bin der Anweisung gefolgt und hab mir den weknow (Virus/Trojaner) auf den Mac geladen. Ärgere mich immer noch total darüber. Normal passe ich mehr so genau auf, aber bei so einer offiziellen Seite habe ich mir keinen Kopf gemacht

 

[Olivetti]

beide scanner, hier verlinkt, laden und nacheinander ausführen.
etrecheck kannst du evtl. ebenfalls noch laden, falls darauf zurückgegriffen werden soll.

welches OS?

und, ganz wichtig, hier niemals von "viren" zu sprechen, sonst wirst du von den clowns gemobbt. politisch korrekte "malware" wird gerade so geduldet.

---

Safari ordner komplett löschen

ich würde vorher "defaults read >~/mydefaults.txt" ausführen, das hilft evtl. beim untersuchen.

 

[tocotronaut]

in meinem fall kam es wohl auch über den Flash Player auf das system.

Vielleicht werfe ich den auch nochmal runter.

 

[walfreiheit]

Wo auch immer ihr sowas herunter ladet, dass ihr euch solchen Müll mit einfangt.

 

[Nicolas1965]

Vielleicht kann ein Mod hier den Titel ändern, so in etwa "FlashPlayer: Vorsicht, Malware bei Update!"

Und vielleicht gibt es auch ein passenderes Unterforum.

Scheint ja eine gewisse Brisanz dahinter zu stecken.

 

[tocotronaut]

Bitte nicht. Der Titel Ist bestens gewählt.
Ich habe mich extra wegen des passenden Titels hier angehängt.

Und du kannst ja nichtmal sagen woher die den flashplayer haben und Allgemeine warnungen verhallen eh ungehört.

Das einzige was man hier machen kann ist eine Anleitung zu geben, wie man das zeug schnell wieder los wird.
Dazu passt der Titel.

 

[walfreiheit]

Davon ab: Prüft mal bitte genau, ob ihr Flash wirklich noch braucht? Adobe hat Flash abgekündigt. Es wird eingestellt.

 

[tocotronaut]

Ketzerei!

Wenn eine Webseite einem sagt man braucht Flash braucht man definitiv und ganz dringend Flash.