Benutzerprofil für Benutzer: DennisRoausBln
DennisRoausBln Autor
Stufe: Stufe 1
8 Punkte

Problem mit Firefox (evt. Schadsoftware)

Hallo Zusammen,


aufgefallen ist mir mein Problem gestern Abend. Bei meiner Anmeldung in die ICLOUD. Über die Systemeinstellung war es nicht möglich. Angeblich falsches Passwort oder falsche ID.


Über meinen Browser komme ich allerdings problemlos in den Account. Bei genauerer Durchsuchung sind mir einige Erweiterungen aufgefallen die ich nicht kenne.


Beispiel:


Firefox DevTools ADB Extension

An extension providing ADB binaries for Android remote debugging in Firefox DevTools.

May be automatically installed when using WebIDE or about:debugging.

Bei Workern finde etwas mit Androit. In der Googlesuche führt mich das sofort auf Grithub. Davon habe ich keine Ahnung. (Wenn Ihr es bis jetzt noch nicht mitbekommen haben solltet)


Also schaue ich was ich alles auf meinem Mac befindet wenn ich Androit suche.



Angelegt habe ich den Ordner nicht. Die Seite habe ich geöffnet weil ich die Erweiterung im Firefox gegoogelt habe.

Beim weiteren Durchstöbern finde ich eine Datei mit der Bezeichnung Störenfried.config

Inhalt:


<Directory "/Users/Guest/Sites/">

Options Indexes MultiViews

Require all granted

</Directory>


Firewall ist Aktiv. Geladene Programme kommen aus dem Apple Store.

Malewarebytes findet nichts. Was könne es sein ?

Welche alternativen habe ich außer den Mac auf Werkseinstellungen zurückzusetzen?


Ich freue mich auf eure Hilfe,


LG


Dennis

iMac, macOS 10.13

Gepostet am 06. Mai 2020 11:05

Antworten

Ähnliche Fragen

9 Antworten
Benutzerprofil für Benutzer: Netcracker
Netcracker
Stufe: Stufe 9
56.564 Punkte

20. Mai 2020 01:17 als Antwort auf DennisRoausBln

Ich hatte bislang (cross my fingers !) nur einmal Kontakt mit dem Apple-Support. Der gute Mann am Telefon hatte in Windeseile Zugriff auf meinen Rechner und mein iPhone, allerdings ohne Spuren zu hinterlassen. Es gibt da also offensichtlich eine Art Backdoor, über die Apple ohne explizite Zustimmung des jeweiligen Users auf die Rechner Zugriff hat. Damals hatte er nur am Telefon gefragt, ob ich damit einverstanden sei. Und "pling"....


Das was bei dir zu sehen ist, sind mMn Spuren der damaligen Wartung. macOS einfach nochmal neu zu installieren, wird keine wirkliche Schadsoftware entfernen, dazu müsstest du schon einen clean install machen. Ich würde aber zunächst alle diese Dienste entfernen und den Rechner noch eine Weile beobachten, ob das dann auch so bleibt (wovon ich ausgehe).


Richtig sicher kannst du aber nur dann sein, wenn du ihn komplett neu aufsetzt.....

Antworten
Benutzerprofil für Benutzer: Netcracker
Netcracker
Stufe: Stufe 9
56.564 Punkte

20. Mai 2020 05:27 als Antwort auf DennisRoausBln


Ich hab zu dem Thema noch diesen Link hier gefunden: http://techfrage.de/question/2780/anleitung-ssh-verbindung-unter-max-os-x-aufbauen/


Demzufolge ist das, was du in diesem Menü siehst, die Dienste, die für einen Remotezugriff zur Verfügung stehen. Die sind bei dir aber nicht konfiguriert. Also musst du nichts entfernen, weil das nicht geht....(und nicht nötig ist).


ARD kannst du im Grunde völlig runterwerfen. Braucht kein Mensch. Notfalls nimmt man den Teamviewer, wenn wirklich mal eine remote-Sitzung nötig ist. Mach' ich mit meiner IT auch so.


Natürlich auch daemon, nobody und root.


Das sind Standard-User, "nobody" wird hier https://en.wikipedia.org/wiki/Nobody_(username) erklärt.

Antworten
Benutzerprofil für Benutzer: DennisRoausBln
DennisRoausBln Autor
Stufe: Stufe 1
8 Punkte

07. Mai 2020 14:31 als Antwort auf Netcracker

gestern habe ich herrausgefunden das mein Webspace / Server ganz offensichtlich kompromittiert wurde. Dort wurden Seiten und Weiterleitungen angelegt, welche u.a. auf nicht jugendfreie Seiten weiterleiten. Ich habe OnyX einmal durchlaufen lassen.

Vermutlich ist das der Grund warum ich die Dateien nicht mehr wiederfinde. DVon der Störenfried.conf hatte ich eine Kopie erstellt und mir auf den Schreibtisch gezogen. Den Android Ordner habe ich nicht geöffnet. Ich habe vermutet das ich möglicherweise einen unbemerkten Download o.ä aktiviere.


Um ganz sicher zu gehen habe ich dir den Report von DetectX und Etrecheck angehangen.

Etrecheck


DetectX


Antworten
Benutzerprofil für Benutzer: DennisRoausBln
DennisRoausBln Autor
Stufe: Stufe 1
8 Punkte

20. Mai 2020 01:09 als Antwort auf Netcracker

Die einzigen die Zugiff auf den Rechner hatten war der Apple Support. Ich erinnere mich aber da fand nichteinmal ein Download statt. Der Support von der Telekom nutz ein ähnliches Prinzip. Ich hätte ja auch irgendwas in der Firewall sehen müssen. Einen Download kann ich bei mir nicht finden. Aber irgendwas ist komisch.


In den Verzeichnisdiensten finde ich folgendes:




Der Mac hat nur mich als Nutzer/ Admin. Domain und/ oder Unternehmens Admin gibt es garnicht. In der letzen Woche habe ich mir ein weiten Nutzer angelegt. Ohne Admin Rechte. Ich wollte überprüfen ob es dort die gleichen Anzeichen gibt. Dort finde ich dern ARD Agent nciht.....


Malewarebytes findet nix und DetectX auch nix. Sollte ich Deiner Meinung nach dennoch High Sierra neu installieren ?

Antworten
Benutzerprofil für Benutzer: DennisRoausBln
DennisRoausBln Autor
Stufe: Stufe 1
8 Punkte

20. Mai 2020 04:49 als Antwort auf Netcracker

ja, dieses Hintertürchen nutzen Sie und das ohne Spuren. Somit Kann ich die beiden ausschließen. Wenn ich das richtig verstehe lösche ich folgendes:


ARDAgent und alles was mit Bildschirmfreigabe zu tun hat. Ich habe schon gegoogelt. Wie bekomme ich denn die "Freigaben" gelöscht. In den Systemeinstellungen sind Sie alle deaktiviert. Wenn es das System nicht durcheinander bringt kann es auch komplett runter. Ist ja schon fast Spätfrühling. Also wird die Festplatte gefegt.


Laut Terminal gibt es nur mich den "Admin" auf der Platte. Natürlich auch daemon, nobody und root. Von Domain und Unternehmensadmin finde ich auch keine Spur. Was nach Deiner Meinung sollte denn alles verschwinden?

Antworten
Benutzerprofil für Benutzer: Netcracker
Netcracker
Stufe: Stufe 9
56.564 Punkte

07. Mai 2020 03:38 als Antwort auf DennisRoausBln

Android kann auf deinem Mac keine Schaden anrichten. Das läuft darauf nicht.


Alle Dateien/Ordner, die du gefunden hast, liegen in der Library, ich nehme an, in der auf root. Schau' bitte mal nach, wo die dort genau liegen. Dazu die Datei markieren, der Pfad wird am unteren Fensterrand eingeblendet.


Das Verzeichnis mit https enthält vermutlich Einstellungen für die dort genannte Website, die scheint auf den ersten Blick in Ordnung zu sein. IMO kannst du das problemlos löschen (oder erstmal nur auf den Desktop verschieben).


Die "Störenfried"-Datei ist eine config-Datei, die beim Ausführen Einstellungen vornimmt und Zugriff auf ein Verzeichnis namens "Sites" unter deinem Gastzugang hat. Ich selbst habe so ein Verzechnis bei mir nicht gefunden. Ich würde diese Datei auch löschen (wo hast du sie eigentlich gefunden ?).


Mach doch mal einen Scan mit Etrecheck und poste das Log hier.

Antworten
Benutzerprofil für Benutzer: DennisRoausBln
DennisRoausBln Autor
Stufe: Stufe 1
8 Punkte

20. Mai 2020 00:05 als Antwort auf Netcracker

Hallo Netcracker,


leider konnte ich das Problem noch nicht ganz lösen. Möglicherweise helfen Dir oder den anderen aus der Community folgendes:


Mir ist unter der Firewall der ARD Agent aufgefallen:



Apple Desktop Remote verwende ich nicht. Um genau zu sein verwende ich keine Bildschirmfreigabe oder ähnliches. Die Einstellungen habe ich bereits kontrolliert. Dort ist allles deaktiviert.


Folgendes habe ich noch gefunden:



Wenn ich das richtig verstehe gibt es also Verbindungen, oder?

Dann habe ich mir das Netzwerkdienstprogramm angeschaut. Hier unten seht Ihr den Bericht.


Die IP Nummern 192. sind meine Geräte. Allerdings kann ich mit den localhost oder der IP 255 nichts anfangen.


Antworten
Benutzerprofil für Benutzer: Netcracker
Netcracker
Stufe: Stufe 9
56.564 Punkte

20. Mai 2020 00:19 als Antwort auf DennisRoausBln

Informationen zu den 255.er IP's (Netzmasken) findest du u.a. hier: https://de.wikipedia.org/wiki/Netzmaske.

Die sind völlig normal, im Übrigen sieht meine Routing-Tabelle genauso aus wie deine (von anderen interne IP's mal abgesehen).


Den ARD würde ich aus der Firewall löschen bzw. alle Verbindungen blockieren.


Die Fernzugriffe sind schon seltsam. Ich würde den Fernzugriff in der Freigabe komplett deaktivieren und sicherheitshalber diese Dienste aus der Freigabe entfernen. Bist du sicher, dass du nicht irgendwann man (für eine Wartung o.ä.) den ARD und diese Freigaben eingerichtet hast (ja, ich weiss, blöde Frage....)?


Mir wäre so auf die Schnelle kein Dienst und/oder keine Anwendung bekannt, die das "von selbst" einrichtet. Wie auch...


Antworten

Dieser Thread wurde vom System oder dem Community-Team geschlossen. Du kannst alle Beiträge positiv bewerten, die du hilfreich findest, oder in der Community nach weiteren Antworten suchen.

Problem mit Firefox (evt. Schadsoftware)

Willkommen in der Apple Support Community
Ein Forum, in dem Apple-Kunden sich gegenseitig mit ihren Produkten helfen. Melde dich mit deinem Apple Account an, um Mitglied zu werden.
Weitere Informationen Registriere dich