Trojaner Exploit-URLSpoof.gen

chrisbiolog · 03.03.09

Hallo Apfel-Gemeinde!

Bin gerade etwas ratlos.
Mein Antivirenprogramm (MacAfee) meldete jüngst einen Trojaner Exploit-URLSpoof.gen. Es cheint irgendwas mit dem dashboard client zu tun zu haben.
Nun kann ich den im Virenprogramm angegebenen Ordner nicht finden um die Datei zu löschen.
Irgendwas mit private/var/folders/WhuV-XPGG....../-Caches-/com.apple.dashboard.client/cache.db......
Mittlereweile ist auch die Meldung des Virenprogramms verschwunden.
Habe bisher alle installierten widgets gelöscht und den Rechner vom Internet getrennt.

Wär super wenn mir jemand schnell helfen könnte.
Wie kann ich die Datei finden und löschen oder was ratet Ihr mir sonst.

Tausend Dank im Voraus

Gruss

B.

Cyrics · 03.03.09

Hey,

die genauere Schädlingsbeschreibung ist hier beschrieben: http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=100927

Das Risiko und Auswirkungen werden allgemein als sehr niedrig angesehen, und es ist einfach nur eine Art Proof of Concept. Das interessante ist, dass nur McAfee diesen Trojaner führt, und das er eigentlich viel mehr auf Windows-Systemen umherfliegt.

Ich würde bei dem oberen Link mir einfach erstmal das Datum der Erstentdeckung anschauen, und dann die Anleitung zur Entfernung. Da du selber schreibst, dass der Trojaner zur Zeit nicht mehr gefunden werden kann, würde ich davon ausgehen, dass dein Antiviren-Programm aufgrund irgendwelcher Einstellungen diesen automatisch irgendwie löschen oder in eine ungefährliche Gegend verschieben konnte.

chrisbiolog · 03.03.09

MacAfee hat halt gemeldet dass es deie Detei nicht repariert wurde.
Das ich den Trojaner nicht finden konnte via Spotlight heisst evtl. nicht dass er nicht mehr da ist.
Ich konnte ja noch nicht mal die übergeordneten Ordner finden.

Kann ich damit PC-Usern schaden?

Danke nochmal

B.

Cyrics · 03.03.09

da in der Fehlerbeschreibung steht, dass er sich nicht vervielfältigt, würde ich behaupten, dass du dies nur durch aktives Eingreifen kannst. Das heisst du schickst eine E-Mail mit ihm im Anhang.

Den Dateipfad, den du geschrieben hattest, ist sonst nur ein sehr temporärer. Das heisst, dass dort der Cache ausgelagert wird, falls dieser eben voll ist. Indem Fall war es von einem Dashboard-Widget.

Wenn möglich folge einfach der Entfernungsempfehlung durch die zusätzliche Installation von dieser engine und DAT file.

chrisbiolog · 03.03.09

Diese DAT-Dateien werden bei mir im McAfee ja automatisch aktualisiert und gefunden hat es ja den Trojaner auch schon. (Auch wenn es Ihn jetzt nicht mehr findet)

Ich kann jedenfalls den Trojaner nicht auf meinem Computer finden bzw. ich kann den Pfad nicht finden.
Ginge vielleicht im Terminal aber da bin ich ja nun nicht so ganz bewandert.

Ich kann ja auch daer keine mail mit dem Trojaner verschicken, da ich ja gar nicht weiss wo er ist.

Im logfile von McAfee sieht das jedenfalls so aus:

Mar 3 11:12:59 L-Word VirusScan[56]: Infection found: /private/var/folders/Wh/WhuV-XPGGICV1uv5cZwLDk+++TI/-Caches-/com.apple.dashboard.client/Cache.db/0004f758.js is infected with Exploit-URLSpoof.gen, type of infection is Trojan, accessed by DashboardClient, action taken is Not repaired.

B.

Cyrics · 03.03.09

chrisbiolog schrieb:
Mar 3 11:12:59 L-Word VirusScan[56]: Infection found: /private/var/folders/Wh/WhuV-XPGGICV1uv5cZwLDk+++TI/-Caches-/com.apple.dashboard.client/Cache.db/0004f758.js is infected with Exploit-URLSpoof.gen, type of infection is Trojan, accessed by DashboardClient, action taken is Not repaired.

B.

Öffne das Terminal (Dienstprogramme im Programme-Ordner), und wechsel den Ordner mit 'cd'.
Also der Befehl:
'cd /private/var/folders/Wh/WhuV-XPGGICV1uv5cZwLDk+++TI/-Caches-/com.apple.dashboard.client/Cache.db'
dann solltest du versuchen ihn zu löschen, falls die Datei überhaupt noch existiert bzw. der Ordner, in den du wechseln sollst, überhaupt noch existiert:
'sudo rm -f 0004f758.js'

dabei musst du dein Passwort eingeben, um sicher zu sein auch die nötigen Rechte zu besitzen die Datei zu entfernen.

chrisbiolog · 03.03.09

Super danke!

Da kommt allerdings als Meldung: Not a directory
Daher gehe ich dann davon aus dass die Datei nicht mehr besteht.

Kann man mit dem Terminal auch nach Dateien suchen?

wofür ist das sudo?

Muss ja auch gleich was dabei lernen.
Gibts eigentlich irgendwo ne èbersicht über Terminal Befehle?

Danke nochmal

B.

Cyrics · 05.03.09

deine Freunde sind die Tab-Taste und die man-Pages im Terminal.
Mit Hilfe von Tab lässt sich alles vereinfacht eintippen, und bestimmte Befehle, Verzeichnisse usw. auswählen durch mehrfaches drücken der Taste.

Falls ein Befehl unbekannt sein sollte, kann man diesen mit 'man befehl-name' sich die Anleitung dazu anschauen.

sudo führt, sofern du Administrator bist, einen Befehl in der höchsten Priorität durch. Auf Linux/Unix-Systemen ist dies klassischerweise root.

Es gibt dann noch verschiedene Möglichkeiten nur als root zu arbeiten. Aber dies sollte man tunlichst sein lassen. Da gerade Anfänger am Anfang einfach nicht wissen, was es bedeutet sich sein System in wenigen Sekunden zerschiessen zu können.

Wenn du nach Dateien suchen möchtest, gibt es verschiedene Ansätze der Suche.
Mit locate oder slocate wird ein Index genutzt, der vorher immer mal wieder angelegt werden muss, um die aktuell-vorhandenen Dateien aufzuzeichnen.
Es gibt jedoch auch 'find', welches eines der mächtigsten und ältesten Werkzeuge ist. Am Anfang wird man 'find' erst einmal nicht verstehen. Es brauch einfach etwas Zeit und Übung. Der Vorteil bei 'find' ist, dass du deine Suche sehr stark einengen kannst, auf die gefundenen Treffer auch Aktionen ausführen kannst, wie z.B. das Entfernen, Umbennenen, Verschieben etc.
Spotlight und Co. sind dafür beispielsweise nicht ausgelegt, und suchen ja auch nur in Benutzerebenen, und nicht Systemebenen-weit. So spart man auch lässtige Automator-Aktionen, der verdammt langsam sind.

Macbeatnik · 05.03.09

Nur als Nachfrage, ein AntivirenSchadprogramm(McAffee) findet einen angeblichen Trojaner auf einem Mac, der für Win geschrieben ist, der Win angreift, nur ein Exploit ist, der dann auch nur in einem Pfad zu einer Cache Datei vorhanden ist, und man löscht alle Dashboard Widgets dafür, um das Teil zu eliminieren, war das nicht eine Kanone, die Mücken vertreiben sollte?
Kein Wunder, das AntiVirenprogramme ihren Ruf alle Ehre machen, neben dem User, die meisten Macs lahmgelegt zu haben, die finden Viren auch notfalls in Systemprogrammen auf dem Mac und der User beginnt dort, sofern es nicht dieses angebliche Hilfsprogramm von selber schafft, fleissig die angeblich infizierten Dateien zu löschen und wundert sich dann, das der Mac nicht mehr läuft. Hier waren es nur Widgets, aber das kann auch anders ablaufen.

MacMark · 05.03.09

chrisbiolog schrieb:
... Mein Antivirenprogramm (MacAfee) meldete jüngst einen Trojaner Exploit-URLSpoof.gen. ...

Das ist eine URL in einer Mail oder Webseite, die einen Fehler im IE ausnutzt, um eine gefälschte Adresse im Browser anzuzeigen. Liegt mutmaßlich im Browser-Cache, wird da eh irgendwann gelöscht und kann bei Dir sowieso nichts ausrichten mangels IE, selbst wenn Du es anklickst.

chrisbiolog schrieb:
... Habe bisher alle installierten widgets gelöscht ...

Völlig unnötiger Schuß ins Knie.

Idealerweise löscht Du dieses AV-Programm, da es Dir mehr schadet als nützt.

eLTonno · 05.03.09

Im Normalfall ist bei McAfee eingestellt, dass die Datei gesäubert werden soll. Wenn dies nicht möglich ist, so wird sie gelöscht bzw. umbenannt und an einen anderen Ort verschoben. Du solltest also mal im Quarantäne Ordner nachschauen und dir keine weiteren Gedanken machen. Wenn dein Virenscanner sich meldet, dann ist schon alles gelaufen und der Virus, sofern er überhaupt "schädlich" war bereits unschädlich gemacht.

chrisbiolog · 09.03.09

Zunächst mal tausend dank für die hilfreichen Antworten.

MacMark schrieb:
Idealerweise löscht Du dieses AV-Programm, da es Dir mehr schadet als nützt.

Inwiefern schadet es mir?

Hab übrigens immer nochdas Problem, dass ich diese Meldung bekomme, wenn ich das Dashboard benutze.

Danke nochmal

B.

chrisbiolog · 09.03.09

Macbeatnik schrieb:
Nur als Nachfrage, ein AntivirenSchadprogramm(McAffee) findet einen angeblichen Trojaner auf einem Mac, der für Win geschrieben ist, der Win angreift, nur ein Exploit ist, der dann auch nur in einem Pfad zu einer Cache Datei vorhanden ist, und man löscht alle Dashboard Widgets dafür, um das Teil zu eliminieren, war das nicht eine Kanone, die Mücken vertreiben sollte?
Kein Wunder, das AntiVirenprogramme ihren Ruf alle Ehre machen, neben dem User, die meisten Macs lahmgelegt zu haben, die finden Viren auch notfalls in Systemprogrammen auf dem Mac und der User beginnt dort, sofern es nicht dieses angebliche Hilfsprogramm von selber schafft, fleissig die angeblich infizierten Dateien zu löschen und wundert sich dann, das der Mac nicht mehr läuft. Hier waren es nur Widgets, aber das kann auch anders ablaufen.

Ja Du magst sicher recht haben. Jedenfalls in meinem Fall war ich mir ja sicher dass ich "meinen Mac nicht kaputt mache" indem ich ein paar Widgets lösche, vond denen ja eh die meisten nur Spielerei sind.

B.

MacMark · 09.03.09

chrisbiolog schrieb:
Inwiefern schadet es mir?

Es löscht Dir oder dem System Sachen, die es nicht löschen sollte, oder bringt Dich dazu, es selbst zu tun.

Suche

Suche

Trojaner Exploit-URLSpoof.gen

chrisbiolog

Becks Apfel (Emstaler Champagner)

Cyrics

Neuer Berner Rosenapfel

chrisbiolog

Becks Apfel (Emstaler Champagner)

Cyrics

Neuer Berner Rosenapfel

chrisbiolog

Becks Apfel (Emstaler Champagner)

Cyrics

Neuer Berner Rosenapfel

chrisbiolog

Becks Apfel (Emstaler Champagner)

Cyrics

Neuer Berner Rosenapfel

Macbeatnik

Golden Noble

MacMark

Jakob Lebel

eLTonno

Riesenboiken

chrisbiolog

Becks Apfel (Emstaler Champagner)

chrisbiolog

Becks Apfel (Emstaler Champagner)

MacMark

Jakob Lebel

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)