Virus blockiert ganzen Schreibtisch

Producer · 27.04.17

Hallo zusammen

mein Chef hat vermutlich einen Virus erwischt auf seinem iMac. Nach dem booten des iMac's und Anmelden des Standard User kommt sofort das Fenster auf dem Bild. Von da an lässt sich nicht's mehr machen ausser das "gesagte" auszuführen. Jedoch wenn man sich die Satzstellung anschaut, kann dies kein richtiges update sein.

Was möglich ist, ist sich mit dem Gastbenutzer anzumelden. Da habe ich bereits den Avira für Mac installiert um zu schauen ob er einen Virus findet. Leider ohne Erfolg.

Hat jemand eine Idee wie ich das Teil weg kriege? Evtl. Malware Scanner?

hillepille · 27.04.17

Hi, lass doch mal EtreCheck drüber laufen und poste das Ergebnis hier.

Producer · 27.04.17

hillepille schrieb:
Hi, lass doch mal EtreCheck drüber laufen und poste das Ergebnis hier.

Alles klar, mache ich. Ich kann dies aber nur mit dem Gastbenutzer tun, geht das?

hillepille · 27.04.17

Das weiß ich nicht, wäre aber nen Versuch wert. Ansonsten hast du nen USB-Stick/externe Festplatte mit nem laufenden macOS? Dann würde ich mal davon booten und darüber etrecheck laufen lassen. Alternantiv kannst du auch mal schauen, ob sich der Virus unter Library->StartupItems, Library->Launch Agents eingetragen hat. Das könntest du dann löschen. Musst aber dran denken, dass es die Ordner ggf. 2-mal gibt, einmal im Library-Order im Root der Festplatte und einmal im Userordner des betroffenen Users. Jedenfalls startet das Ding ja beim Systemstart, vermute mal das es in einem der Ordner nen EIntrag dazu gibt.

Martin Wendel · 27.04.17

Producer schrieb:
Da habe ich bereits den Avira für Mac installiert um zu schauen ob er einen Virus findet. Leider ohne Erfolg.

Schlechte Idee. Nimm Malwarebytes Anit-Malware. Der sollte solche Schädlinge finden und entfernen, ohne selbst eine Gefahr für das System zu sein.

Producer · 27.04.17

Martin Wendel schrieb:
Schlechte Idee. Nimm Malwarebytes Anit-Malware. Der sollte solche Schädlinge finden und entfernen, ohne selbst eine Gefahr für das System zu sein.

Geht das mit dem Gastbenutzer? Weil mit dem "normalen" User kann ich nichts bedienen.

Martin Wendel · 27.04.17

Das müsstest du ausprobieren. Vielleicht geht es unter dem Gastbenutzer mit Admin-Account. Funktionieren unter dem normalen Benutzer denn auch keine Tastenkombinationen, wie etwa Spotlight (cmd+Leertaste), um die Aktivitätenanzeige zu öffnen?

landplage · 27.04.17

Was passiert, wenn Du in den sicheren Modus startest?

Falls Du Gelegenheit hast, das zu fixen, schau mal nach, wie dieser Eindringling heißt, damit man vorsichtig sein kann.

Wo hat sich Dein Chef das eingefangen? Ach, das will ich lieber nicht wissen....

saw · 27.04.17

Starte den Mac doch mal im gesicherten Modus, schau dann bei den Startobjekten ob der Müll da steht und gelöscht werden kann und versuche dann mal Anti-Malware zu starten ob das geht.

Edit:
zu langsam ^^

Producer · 27.04.17

Martin Wendel schrieb:
Das müsstest du ausprobieren. Vielleicht geht es unter dem Gastbenutzer mit Admin-Account. Funktionieren unter dem normalen Benutzer denn auch keine Tastenkombinationen, wie etwa Spotlight (cmd+Leertaste), um die Aktivitätenanzeige zu öffnen?

Leider nein. Der Rechner ist wie komplett blockiert. Das einzige was geht ist CMD+Alt+Esc. Dann kommt das Fenster "Sofort beenden" hoch. Dass ist alles.

landplage schrieb:
Was passiert, wenn Du in den sicheren Modus startest?

Falls Du Gelegenheit hast, das zu fixen, schau mal nach, wie dieser Eindringling heißt, damit man vorsichtig sein kann.

Wo hat sich Dein Chef das eingefangen? Ach, das will ich lieber nicht wissen....

Er hat eine E-Mail mit einem ZIP File erhalten von der Schweizer Post. Der Rest erklärt sich von selber oder? :-D

landplage · 27.04.17

Wenn es ein aktuelles Backup gibt und der Rechner nicht mit weiteren vernetzt ist, würde ich den Anweisungen auf dem Bildschirm folgen und ein falsches (!!) Paßwort eingeben und mal sehen, was passiert.

Producer · 27.04.17

landplage schrieb:
Wenn es ein aktuelles Backup gibt und der Rechner nicht mit weiteren vernetzt ist, würde ich den Anweisungen auf dem Bildschirm folgen und ein falsches (!!) Paßwort eingeben und mal sehen, was passiert.

Es passiert nichts, weil das Passwort wird nicht angenommen.

Producer · 27.04.17

Martin Wendel schrieb:
Das müsstest du ausprobieren. Vielleicht geht es unter dem Gastbenutzer mit Admin-Account. Funktionieren unter dem normalen Benutzer denn auch keine Tastenkombinationen, wie etwa Spotlight (cmd+Leertaste), um die Aktivitätenanzeige zu öffnen?

Der Malware Scan hat keine Lösung gebracht. Mit dem normalen Benutzer kann ich den Malwarescan nicht starten. Nun habe ich einen Admin Account erstellt mit dem Gastbenutzer und den Malwarescanner da laufen lassen. Der findet leider nichts.

Producer · 27.04.17

hillepille schrieb:
Hi, lass doch mal EtreCheck drüber laufen und poste das Ergebnis hier.

Im Anhang der EtreCheck

landplage · 27.04.17

avira und CleanMyMac und diese Malware - wenn sich das im abgesicherten Modus nicht lösen läßt (das muß alles drei runter) würde ich zu einer Neuinstallation raten.

Producer · 27.04.17

landplage schrieb:
Wenn es ein aktuelles Backup gibt und der Rechner nicht mit weiteren vernetzt ist, würde ich den Anweisungen auf dem Bildschirm folgen und ein falsches (!!) Paßwort eingeben und mal sehen, was passiert.

Im abgesicherten Modus lassen sich die Programme wohl starten. Der Statusbalken von Malwarebytes hat sich jedoch nach über 5min. keinen Millimeter bewegt.

landplage · 27.04.17

Erst mal noch warten.

Dann versuchen, im abgesicherten Modus das Avira- und CleanMyMac-Zeug aus den Startobjekten zu bekommen. Entweder über die Systemeinstellungen oder in der Library direkt löschen. Vielleicht findest Du da auch den Übeltäter, schließlich startet der ja gleich beim Hochfahren.

raven · 27.04.17

Producer schrieb:
Im abgesicherten Modus lassen sich die Programme wohl starten.

Kannst du versuchen den ganzen Aviramüll (war der taugt sieht man jetzt ja) zu entfernen.
P. S und der Flasplayer ist alt,. Deinstallieren oder aktualisieren wenn das Sytem wieder funktioniert.

Producer · 27.04.17

raven schrieb:
Kannst du versuchen den ganzen Aviramüss (war der taugt sieht man jetzt ja) zu entfernen.

Kann ich machen ja, aber dass löst das Problem ja auch nicht? Weil Avira wurde vom User gestern aus reiner Verzweiflung installiert mit dem Gastbenutzer. Ich kann CleanMyMac, Malwarebytes und Avira shcon deinstallieren, mit dem Administrator Account welchen ich angelegt habe. Aber was ändert sich dann an meinem Problem, dass beim Hochfahren, diese "Malware" den User blockt? Und er blockt nur den User.

raven · 27.04.17

Also der ganze Mist muss eh runter. Würde dir mal vorschlagen Avira inkl allem was zu Avira gehört zu deinstallieren. CleanMymac auch rausschmeissen. Weg muss es ja eh. Flasplayer am Schluss deinstallieren oder aktualisieren.

Virus blockiert ganzen Schreibtisch

Jonagold

Anhänge

Melrose

Jonagold

Melrose

Redakteur & Moderator

Jonagold

Redakteur & Moderator

Admin

Sondergleichen von Welford Park

Jonagold

Admin

Jonagold

Jonagold

Jonagold

Anhänge

Admin

Jonagold

Admin

Golden Noble

Jonagold

Golden Noble

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)