[10.8 Mountain Lion] Browser hat gesperrt?

[Carsten_HH]

Guten Tag,

nachdem meine Tochter fleissig gesurft ist
HAbe ich folgende Meldung unter Safari:
Zuerst wat das Fenster wasaus der Windows Welt bekannt ist mit dem Bundestrojaner da: Mit der Aufforderung geld zu zahlen.
Nach beenden (nur möglich über sofort beenden von Safari) kommt beim Start (von Safari) immer ein weisses Fenster mit der Meldung "Ihr Browser at gesperrt". Siehe Bild

Ich lade gelich noch eine Konsolenmeldung hoch.

VG Carsten

netbiosd(67) deny file-read-metadata /private/var/empty

Process:         netbiosd [67]
Path:            /usr/sbin/netbiosd
Load Address:    0x100d4a000
Identifier:      netbiosd
Version:         ??? (???)
Code Type:       x86_64 (Native)
Parent Process:  launchd [1]

Date/Time:       2013-08-24 10:56:17.626 +0200
OS Version:      Mac OS X 10.8.4 (12E55)
Report Version:  8

Thread 0:
0   libsystem_kernel.dylib            0x00007fff8e86837e stat$INODE64 + 10
1   CoreFoundation                    0x00007fff8f46d6eb -[CFPrefsSearchListSource addSourceForIdentifier:user:byHost:] + 123
2   CoreFoundation                    0x00007fff8f46cdfd +[CFPrefsSearchListSource withSearchListForIdentifier:perform:] + 301
3   CoreFoundation                    0x00007fff8f3429ca CFPreferencesCopyAppValue + 186
4   CoreFoundation                    0x00007fff8f3d15d3 ___CFBundleCopyUserLanguages_block_invoke_0 + 35
5   libdispatch.dylib                 0x00007fff8a71f0b6 _dispatch_client_callout + 8
6   libdispatch.dylib                 0x00007fff8a71f041 dispatch_once_f + 50
7   CoreFoundation                    0x00007fff8f320cd8 _CFBundleAddPreferredLprojNamesInDirectory + 440
8   CoreFoundation                    0x00007fff8f32147b _CFBundleGetLanguageSearchList + 107
9   CoreFoundation                    0x00007fff8f320c54 _CFBundleAddPreferredLprojNamesInDirectory + 308
10  CoreFoundation                    0x00007fff8f32147b _CFBundleGetLanguageSearchList + 107
11  CoreFoundation                    0x00007fff8f3d29f9 _CFBundleCreateQueryTableAtPath + 761
12  CoreFoundation                    0x00007fff8f3cf277 _CFBundleCopyQueryTable + 279
13  CoreFoundation                    0x00007fff8f3d3919 _CFBundleCopyURLsOfKey + 361
14  CoreFoundation                    0x00007fff8f3d0e0d _CFBundleCopyFindResources + 1709
15  CoreFoundation                    0x00007fff8f333870 CFBundleCopyLocalizedString + 448
16  CFOpenDirectory                   0x00007fff927cb7e4 _ODErrorSet + 104
17  CFOpenDirectory                   0x00007fff927cb746 transaction_simple_response + 79
18  CFOpenDirectory                   0x00007fff927cdc17 _ODNodeExternalCreate + 180
19  CFOpenDirectory                   0x00007fff927ccb39 node_cache_get_and_retain + 218
20  CFOpenDirectory                   0x00007fff927cca38 _ODNodeInit + 272
21  CFOpenDirectory                   0x00007fff927cd0b2 ODNodeCreateWithNameAndOptions + 116
22  SMBClient                         0x0000000100dce72f smb_connect + 188
23  SMBClient                         0x0000000100dce402 smb_get_server_info + 271
24  SMBClient                         0x0000000100dcb9c9 SMBOpenServerEx + 362
25  netbiosd                          0x0000000100d6a2da renew_wg_info(platform::counted_ptr<nbns::workgroup>, BB_RENEW_TARGET) + 503
26  netbiosd                          0x0000000100d55834 nbns::workgroup_list::renew_servers::operator()(platform::counted_ptr<nbns::workgroup>) const + 74
27  netbiosd                          0x0000000100d557b8 void nbns::workgroup_list::tell_workgroups<nbns::workgroup_list::renew_servers>(nbns::workgroup_list::renew_servers const&) + 72
28  netbiosd                          0x0000000100d4d078 workgroup_update_timer_fn(nb_chore_base_t*) + 69
29  netbiosd                          0x0000000100d5a0b5 nb_chore_timer_processing(double) + 161
30  netbiosd                          0x0000000100d618f4 nbns_dispatch_runloop(runloop_action_t) + 534
31  libdispatch.dylib                 0x00007fff8a71f0b6 _dispatch_client_callout + 8
32  libdispatch.dylib                 0x00007fff8a72129b _dispatch_source_invoke + 691
33  libdispatch.dylib                 0x00007fff8a720305 _dispatch_queue_invoke + 72
34  libdispatch.dylib                 0x00007fff8a720448 _dispatch_queue_drain + 180
35  libdispatch.dylib                 0x00007fff8a7202f1 _dispatch_queue_invoke + 52
36  libdispatch.dylib                 0x00007fff8a7201c3 _dispatch_worker_thread2 + 249
37  libsystem_c.dylib                 0x00007fff8ed62d0b _pthread_wqthread + 404
38  libsystem_c.dylib                 0x00007fff8ed4d1d1 start_wqthread + 13

Binary Images:
       0x100d4a000 -        0x100d9cff7  netbiosd (136.20.1) <4922874C-4FA5-3B80-B887-55240CB9EEFF> /usr/sbin/netbiosd
       0x100dca000 -        0x100de3ff7  com.apple.SMBClient (1.8 - 1.8) <CCEABA2F-2F88-3CF1-B39E-5D92DE47BACF> /System/Library/PrivateFrameworks/SMBClient.framework/Versions/A/SMBClient
    0x7fff8a71d000 -     0x7fff8a732ff7  libdispatch.dylib (228.23) <D26996BF-FC57-39EB-8829-F63585561E09> /usr/lib/system/libdispatch.dylib
    0x7fff8e855000 -     0x7fff8e870ff7  libsystem_kernel.dylib (2050.24.15) <A9F97289-7985-31D6-AF89-151830684461> /usr/lib/system/libsystem_kernel.dylib
    0x7fff8ed4c000 -     0x7fff8ee18ff7  libsystem_c.dylib (825.26) <4C9EB006-FE1F-3F8F-8074-DFD94CF2CE7B> /usr/lib/system/libsystem_c.dylib
    0x7fff8f2f5000 -     0x7fff8f4dfff7  com.apple.CoreFoundation (6.8 - 744.19) <0F7403CA-2CB8-3D0A-992B-679701DF27CA> /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation
    0x7fff927ca000 -     0x7fff927e1fff  com.apple.CFOpenDirectory (10.8 - 151.10) <10F41DA4-AD54-3F52-B898-588D9A117171> /System/Library/Frameworks/OpenDirectory.framework/Versions/A/Frameworks/CFOpenDirectory.framework/Versions/A/CFOpenDirectory

24.08.13 11:06:17,671 SubmitDiagInfo[391]: Failed to load serverside whitelist, using cached list: Error Domain=NSURLErrorDomain Code=-1202 "The certificate for this server is invalid. You might be connecting to a server that is pretending to be “radarsubmissions.apple.com” which could put your confidential information at risk." UserInfo=0x7fdd94838470 {NSURLErrorFailingURLPeerTrustErrorKey=<SecTrust 0x7fdd93416220 [0x7fff796a9110]>, NSLocalizedRecoverySuggestion=Would you like to connect to the server anyway?, NSUnderlyingError=0x7fdd94b0ac10 "The certificate for this server is invalid. You might be connecting to a server that is pretending to be “radarsubmissions.apple.com” which could put your confidential information at risk.", NSErrorPeerCertificateChainKey=(
    "<SecCertificate 0x7fdd93417130 [0x7fff796a9110]>",
    "<SecCertificate 0x7fdd934157e0 [0x7fff796a9110]>",
    "<SecCertificate 0x7fdd93414020 [0x7fff796a9110]>"
), NSLocalizedDescription=The certificate for this server is invalid. You might be connecting to a server that is pretending to be “radarsubmissions.apple.com” which could put your confidential information at risk., NSErrorFailingURLKey=https://radarsubmissions.apple.com/macSubmissions/diagnosticwhitelist.jsp?osv=10.8.4, NSErrorFailingURLStringKey=https://radarsubmissions.apple.com/macSubmissions/diagnosticwhitelist.jsp?osv=10.8.4, NSErrorClientCertificateStateKey=0}

 

[pti'Luc]

ClamXav herunterladen und ausführen.

Eigentlich ist das nur was für die Windows-Welt und hätte Dich gar nicht treffen sollen.

 

[Carsten_HH]

ich weiss, umso erstaunter bin ja....

 

[KoboldDresden]

Und vielleicht mal mit deiner Tochter ein Gespräch führen.

 

[Necrosis]

Das könnte der neue "Fake-Pseudo-Trojaner" sein. Wenn die Informationen richtig sind, ist das lediglich eine Website, welche den Browser mit ein paar Tricks in den Vordergrund bringt und nicht einfach so beenden lässt. Wenn das dieses Teil war, dann sollte da kein Schaden entstanden sein, da nicht auf dein System zugegriffen werden konnte. Anscheinend konnte er bei dir den Content auch nicht laden, falls es dieser war.

Diese "BKA-Trojaner"-Familie wird wohl vor allem über Film-Stream-Seiten oder XXX-Seiten verbreitet. Ein Gespräch mit deiner Tochter wäre vielleicht wirklich nicht falsch.

 

[echo.park]

War wahrscheinlich das:

http://www.apfeltalk.de/forum/content/6345-osx-ransomware-fbi.html

Beunruhigt wäre ich trotzdem und würde prüfen wollen, auf "welchen" Seiten sich die Tochter bewegt hat.

 

[pti'Luc]

Guter Tipp, das hatte ich gesucht, aber nicht gefunden zum Verlinken! Danke!

 

[simmac]

Tipp: Verlauf ansehen, wenn er gelöscht wurde, ist das verdächtig.

 

[MacAlzenau]

nachdem meine Tochter fleissig gesurft ist
HAbe ich folgende Meldung unter Safari:

Diese Malware wirkt sich also auch auf andere Benutzerkonten aus?

 

[echo.park]

Er meint sicher nicht die Benutzerkonten, sondern lediglich beteiligte Personen.

 

[apfelfrischling]

Hi,

@echo.park:
Ich interpretiere MacAlzenaus Anmerkung als sublimen Hinweis an den TE, dass man, wenn man denn schon seinen Mac auch Familenmitgliedern zur Verfügung stellt, diesen tunlichst einen eigenen, idealerweise eingeschränkten, Benutzeraccount einrichten möge.

 

[MacMark]

Guten Tag,

nachdem meine Tochter fleissig gesurft ist
HAbe ich folgende Meldung unter Safari:
Zuerst wat das Fenster wasaus der Windows Welt bekannt ist mit dem Bundestrojaner da: Mit der Aufforderung geld zu zahlen.
Nach beenden (nur möglich über sofort beenden von Safari) kommt beim Start (von Safari) immer ein weisses Fenster mit der Meldung "Ihr Browser at gesperrt". Siehe BildAnhang anzeigen 100864

In Safari gehe auf das Menü "Safari" und rufe auf "Reset Safari …" oder "Safari zurücksetzen …". Alles anhaken. Okay. Dann sollte das Problem gelöst sein.

 

[Carsten_HH]

In Safari gehe auf das Menü "Safari" und rufe auf "Reset Safari …" oder "Safari zurücksetzen …". Alles anhaken. Okay. Dann sollte das Problem gelöst sein.

DAnke, das zurücksetzen hat geholfen, danach kam die Seite beim Start nicht mehr hoch...
Gespräch wurde geführt

VG Carsten

 

[MacMark]

Hallo Carsten,

solche Malware fängt man sich auf ganz normalen Seiten ein, deren Server nicht richtig abgesichert sind, und die dann ihre Besucher infizieren. Es gibt daher keine speziellen "falschen" Seiten. Wichtig ist allerdings, nicht alles zu öffnen, was versehentlich runtergeladen wurde. Denn manche Webseiten können über Browser- oder Plugin-Bugs auch ohne Nutzerhilfe Dateien runterladen. Im Zweifelsfall die Datei löschen. Wichtige Sachen kann man immer wieder runterladen.

Wie oben schon erwähnt, schützt es das System und Deinen Account, wenn Du Deiner Tochter einen eigenen normalen User einrichtest.

Grüße von MacMark

 

[echo.park]

Hier geht es doch gar nicht um Malware an sich, sondern eher um eine Webseite die mit JavaScript hunderte Fenster öffnet und so den Browser blockiert. Der Browser selbst, also Safari und seine Funktion mit dem Öffnen der zuletzt geschlossenen Seiten, sorgt dann für den Rest.

Also tatsächlich Malware ist das hier ja gar nicht.

Und wo du gerade davon sprichst, was Downloads und das Öffnen dieser angeht:

Dann weise ich an dieser Stelle darauf hin, Safari so zu konfigurieren, dass angeblich "sichere Downloads" nicht "automatisch geöffnet werden". Zu finden in den Einstellungen.

Bei Google Chrome ist mir aufgefallen, dass wenn man dort ein Addon installiert, dieses kurz im Download Ordner "aufblitzt" ehe es wieder verschwunden ist. Soll wohl so sein, ganz koscher ist mir das aber auch nicht. Besonders dann, wenn man bedenkt, dass Chrome bis vor paar Monaten noch Addons installiert hat, die keine Signatur hatten.

Aber das schweift zu sehr ab.

 

[biwo]

Hallo,

habe heute morgen folgenden Thread erstellt:

HALLO

Brauch dringend Hilfe..

heute morgen beim SURFEN in den Tiefen des Internets hat sich folgende Seite geöffnet:

Es war diese bekannte Seite von der GVU , die auch als Bundespolizei-Trojaner bekannt ist. (Dort wurde ich aufgefordert dass ich eine Straftat begangen hätte und 100Euro per Paysafe bezahlen sollte.) Daraufhin habe ich die Seite schnell wieder weggeklickt was auch ging.

Daraufhin habe ich mich versucht darüber zu informieren. Andere Nutzer schrieben, dass dadurch ihr PC gesperrt wurde oder ähnliches.. Dies war bei mir jedoch nicht der Fall....Nach dem Wegklicken der Seite konnte ich ohne Probleme weitersurfen...

Nun meine Frage:

Habe ich evtl auch mir diesen Trojaner geholt ?

Ist dieser Trojaner überhaupt auf dem Mac möglich ?
(auf einer anderen Seite stand etwas von a la: dies sei ein reiner windows trojaner und könnte auf dem Mac nichts bewirken)

Was kann ich tun ? Wenn ich mir evtl einen Trojaner eingeholt habe...?


Zusatzinfo:

Habe mit Safari gesurft; habe bisher noch kein Backup via TimeMachine gemacht..

Danke für eure Hilfe schon mal!!




Der Thread wurde anschließend zum Trash-Ordner verschoben.

Habe anschließend wie hier im Forum empfohelen den ClamXav drüberlaufen lassen.
Gefunden hat der nichts bis auf folgende Datei: Heuristics.Phishing.Email.SpoofedDomain

andere User hier meinten, dass das ungefährlich ist... ??

Wenn der ClamXav nichts gefunden hat, kann ich dann auch sicher sein, dass kein Trojaner auf meinem Mac drauf ist ??

Zum Schluss entschuldige ich mich nochmals für die ganzen dämlichen Fragen (bin halt kein Technikfreak )
und falls selbst in diesem Thread antworten schon genannt sind ebenfalls sorry-Wollte meinen speziellen Fall schildern und hätte daher auch gern Antworten speziell zu meinem Fall.... Danke !!!!

 

[MacMark]

Diesen Trojaner würdest du bemerken.