Seltsames Programm in Library

[makra]

Hallo zusammen,

der iMac meiner Frau macht komische Sachen, die ich leider gerade nicht rekonstruieren kann (Browser stürzen ab und zeigen seltsame Werbungen im Text). Einige andere Fehler hingen damit zusammen, dass Library/LaunchDaemons ohne Leserechte war. Das war durch einen Neustart nicht behoben, habe ich manuell verändert. Jetzt lässt sich zB. MS Office wieder starten.

Aber dann liegt im selben Ordner ein ebenfalls ohne Benutzer-Leserechte ausgestatteter Ordner mit dem unharanguedUpd. Ca. 10MB groß, scheint mir ein reguläres Programm zu sein (siehe ScreenShot mit Teilen des Contents-Ordners in unharanguedUpd). Hat jemand eine Idee, ob da irgendwie Malware am Wirken sein könnte? Und: Wie werde ich das ggf. los? Bewegen, Löschen darf ich ja nicht.

Gruß, Martin

 

[Kojak19]

Könnte eine Update-Datei sein (abgekürzt Upd).
Harangue wird sinngemäß übersetzt mit "eine Ansprache halten".
Evtl.ein Wörterbuch oder Sprachassistent?

Ist aber nur eine ganz verruchte Vermutung.

 

[makra]

Nachdem ich geschrieben hatte, kam mir der Update-Gedanke auch. Seltsam bleibt es aber...

 

[raven]

@makra Was du mal machen kannst, ist Etrecheck laden und mit den den Code-Tags posten
https://etrecheck.com/#about

 

[Kojak19]

Ich bin mir fast sicher, dass wir User haben die dir genau sagen können was das ist

 

[raven]

Ich bin mir fast sicher, dass wir User haben die dir genau sagen können was das ist

Ja haben wir. Aber ob @Rastafari on ist und sich gleich meldet. Man weiss es nicht

 

[Kojak19]

Rastafari ist ja nicht der einzige der sich auskennt.
(Aber sein Wissen in diesem Bereich ist beeindruckend, diesbezüglich sind wir uns einig)

 

[raven]

Rastafari ist ja nicht der einzige der sich auskennt.
(Aber sein Wissen in diesem Bereich ist beeindruckend, diesbezüglich sind wir uns einig)

Jo klar. Offenbar musss ich mir ein Textfile erstellen, damit ich gleich mehrer User einbinden kann.
Wobei seine Kenntnisse sind wirklich mehr als beeindruckend.

Ergänzung: Nur um Missverständnisse zu vermeiden, muss ich jedesmal die ganze Liste runterbeten?

 

[MacAlzenau]

Der im Screenshot abgebildete Ordner ist Teil des Programm-Packages dieses unbekannten Programms?
Klingelt bei den Dateien irgendetwas? Geoservices, nokia, map, diverse Bilderformate… irgendetwas mit einem Navisystem?

 

[makra]

Der im Screenshot abgebildete Ordner ist Teil des Programm-Packages dieses unbekannten Programms?
Klingelt bei den Dateien irgendetwas? Geoservices, nokia, map, diverse Bilderformate… irgendetwas mit einem Navisystem?

Irgendwie nicht.

 

[MacAlzenau]

Hat vielleicht mal ein Bekannter ein Handy oder Navi angeschlossen gehabt, direkt oder über WLAN, und da hat sich ein Treiber oder Zusatzprogramm vielleicht halbautomatisch installiert oder dies versucht?

 

[Rastafari]

In dem Paket steckt die Datei "./Contents/Info.plist"
Die kloppst du einfach auf TextEdit, oder ein anderes Programm das plist versteht (wenn du eins hast).
Dort drin solltest du - neben viel Kauderwelsch der einem Laien nichts sagt - etwas hilfreiches vorfinden, zB einen Copyrighthinweis, oder zumindest einen Identifier der Rückschlüsse auf die Website des Erstellers hergibt.

 

[makra]

Also doch nur ein gescheitertes Apple-Update?

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>NSPrincipalClass</key>
<string>NSApplication</string>
<key>CFBundleIconFile</key>
<string></string>
<key>CFBundlePackageType</key>
<string>APPL</string>
<key>CFBundleGetInfoString</key>
<string>Created by Qt/QMake</string>
<key>CFBundleSignature</key>
<string>????</string>
<key>CFBundleExecutable</key>
<string>Updater</string>
<key>CFBundleIdentifier</key>
<string>com.yourcompany.Updater</string>
<key>NOTE</key>
<string>This file was generated by Qt/QMake.</string>
</dict>
</plist>

 

[KALLT]

Ich habe noch nie gesehen, dass sich ein Programm im LaunchDaemons-Verzeichnis befindet. Wird das Programm denn derzeit ausgeführt? (War EtreCheck aufschlussreich?)

Und: Wie werde ich das ggf. los? Bewegen, Löschen darf ich ja nicht.

Finder lässt dich die Datei nicht löschen, auch nicht nach Eingabe des Verwalterkennworts? Dann müsstest du es vom Terminal aus erledigen.

 

[Rastafari]

Also doch nur ein gescheitertes Apple-Update?

Nein, leider nicht. Apple hat hier nur das Schema für die Syntax der Datei definiert - das gehört nur zum Header der Datei und ist bei sämtlichen plist identisch.
Leider findet sich da weder ein Copyright-Tag noch eine für seriöse Entwickler selbstverständliche eindeutige ID.
Das könnte zwar tatsächlich nur irgendein Updater einer mörderverpfuschten Dreckssoftware sein, aber leider auch was heimtückisches.
Lass mich mal ins Blaue raten:
ffmpeg, avidemux, Matroska/MKV, irgendein "hypergeiler" Medienplayer oder Dateikonverter? Klingeln dir da irgendwie die Ohren?

 

[makra]

Hmm, alles nicht wirklich. Hypergeile Dateikonverter habe ich dort eigentlihc nicht installiert...

EtreCheck werde ich noch mal angehen.

 

[makra]

Ich habe noch nie gesehen, dass sich ein Programm im LaunchDaemons-Verzeichnis befindet. Wird das Programm denn derzeit ausgeführt? (War EtreCheck aufschlussreich?)



Finder lässt dich die Datei nicht löschen, auch nicht nach Eingabe des Verwalterkennworts? Dann müsstest du es vom Terminal aus erledigen.

Du hast recht! Nicht im. Da war nur eine entsprechende .plist-Datei. Neben wäre der richtige Ausdruck gewesen.

 

[makra]

So. Das zeigt mir EtreCheck. Das habe ich dann mal entfernt.

 

[Kojak19]

genio ist unschön, darum solltest du dich kümmern.