Schädliches Programm

Auch dann geht es auf...

Ich will nur sicher stellen, daß das wirklich der Sichere Modus war, wie hier beschrieben:

Im gesicherten Modus Probleme mit dem Mac eingrenzen - Apple Support

...und nicht die Umschalttaste beim Einloggen, was verhindert, daß Programme die vor dem Neustart offen waren, wieder geöffnet werden.

Falls es wirklich im Sicheren Modus auch erscheint, ist es merkwürdig, daß es da verschieden Verhaltensweisen gibt.

Komisch ist nur, daß die app im sicheren Modus auch startet?

Vielleicht dann besser im Einzelbenutzermodus zum entfernen hochfahren (Mac im Einzelbenutzermodus oder Modus mit ausführlichem Protokoll starten - Apple Support:

⌘+S beim Hochfahren gedrückt halten, bis die Befehlszeile kommt, dann das folgende tippen:

mount -uw /
rm -R /Users/Shared/AppStore.app

PS. Leonie schrieb:

Da hast Du ja eine sehr nützliche Beschreibung gefunden

Das war nicht ich; das war jemand anderes.

Da hast Du ja eine sehr nützliche Beschreibung gefunden.

Meinst Du, dass es ausreichen wird,

• die im /Users/Shared installierte AppStore.app zu löschen
• die im Dokument genannten Zertificate zu löschen
• die m Dokument genannten Launch agents zu entfernen
• TOR und SOCAT zu entfernen

oder lieber gleich eine Neuinstallation machen und dann alle Passworte zu ändern?

Der AppStore Trojaner wurde ja noch nicht ausgeführt, oder? Dann reicht eventuell, ihn von /Users/Shared zu löschen.

Kannst Du den Mac benutzen, wenn Du ihn im sicheren Modus startest, wie von Redarm vorgeschlagen?

Dann öffne in diesem Modus mal die Systemeinstellungen > Benutzer & Gruppen und überprüfe die Liste der Objekte, die beim Login gestartet werden.

jetzt sehe ich Deine vorherige Antwort!

Wenn's was neues ist, dann würde ich mal manuell suchen, was neu dazu gekommen ist.

(Auch die zip Datei aufheben und an Apple schicken)

Was ich gehört habe ist, daß keine LaunchDaemons, oder LaunchAgents gefunden wurden, aber das ist nur Hören/Sagen.

Hier eine Hilfestellung zum manuellen suchen:

http://www.thesafemac.com/arg-identification/

Ja, ja, das ist richtig, aber man kann ja auch beim Einloggen die Umschalttaste drücken, damit zuletzt geöffnete Programme nicht aufmachen. Ich wollte bloß sicher stellen, daß da kein Missverständnis auftrat, weil das ja anders war, als das, was ich bei jemandem (mit der Englischen Version von dieser Ware) hörte.

Wenn in rot "Sicherer Systemstart" geschrieben stand, dann war das auch der sichere Modus. Danke.

Hier auch eine aktuelle Meldung bei Heise dazu.

IMHO:

Da das Ding anscheinend den kompletten verschlüsselten Verkehr ausliest, würde ich hier Paranoia als angemessen erachten und das komplette System neu aufsetzen sowie die Passwörter ändern.

Auch wenn es sich nicht komplett eingenistet haben sollte, wurde ein Teil zumindest installiert und gerade für unerfahrene Nutzer kann es sehr schwer sein alle Einzelteile restlos zu entfernen.

Hall Sigi,

Thomas Reed, der Autor von Malwarebytes, hat mir gerade in einem anderen Forum geschrieben, dass die neueste Malwarebytes version seit heute Nacht den DOK Trojaner erkennen kann.

Versuche doch mal den Update und siehe, ob das jetzt hilft.

Leonie

Thomas Reeds Auskunft über diesen Trojaner:

Malwarebytes Anti-Malware for Mac should have detected it as of last night some time, probably very late for European users.

Unfortunately, this malware is very invasive, and makes changes that cannot easily be reversed. It makes a change to the sudoers file that would allow any software the user runs to have root permissions without the need for a password. It installs a root certificate that shouldn't be trusted but is. It installs a Tor launch agent, which is legit and thus shouldn't be identified as malware, but is probably not wanted by most victims of this malware. It installs tens of thousands of files consisting of developer tools, open source binaries, etc... things like homebrew, tor and socat.

I'd be reluctant to tell someone to manually fix all these things. A mistake editing the sudoers file can have serious - and hard-to-fix - repercussions. Deleting the wrong certificate could also be bad. Removing the Tor launch agent is relatively risk-free, but there's virtually no way to remove the tens of thousands of command-line utility-related files.

My recommendation would be remove the essential parts of the malware in the short term - which Malwarebytes can do, but it's also easy enough to do with EtreCheck or even manually. Once it's gone, you've got some breathing room. The other modifications need to be undone, but the risk is not immediate.

Next, as soon as is possible, I'd erase the hard drive and restore from a backup made prior to the infection. If that's not possible, erase and reinstall, then restore documents only from backup.

If a user really wants to avoid restoring for some reason, they'll need to either be knowledgeable enough to know how to undo the other changes, or they'll need an expert to help them.

Aber diese Empfehlung ist nur für den Fall, daß "Alles Updaten" gedrückt wurde und das Admin Passwort die Installation überhaupt erst ermöglichte, schätze ich.

Richtig, ja.

Sigi war ja glücklicherweise vorsichtig und ist nicht darauf reingefallen.

Ich würde aber sicherheitshalber die letzte Sicherheitskopie vom Rechner, die vor dieser Attacke gemacht wurde, eine zeitlang aufheben.

Aber diese Empfehlung ist nur für den Fall, daß "Alles Updaten" gedrückt wurde und das Admin Passwort die Installation überhaupt erst ermöglichte, schätze ich.

Nachtrag von Thomas Reed:

Actually, if Malwarebytes detected anything, he definitely ran the "dropper" app, which would have infected the system. If he stopped and never gave it his password, and managed to escape from the full-screen fake update notice, then that would have limited the scope of the infection, but I haven't actually tested that case yet to see what would be installed at that point.

Nein das ist nicht von macOS.

Im Sicheren Modus (mit ⇧ Umschalttaste gedrückt hochfahren) soll es angeblich nicht aufmachen, aber das ist schon alles, das ich darüber gehört habe (im Moment).