1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Trojaner Exploit-URLSpoof.gen

Dieses Thema im Forum "Mobil-Macs" wurde erstellt von chrisbiolog, 03.03.09.

  1. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Hallo Apfel-Gemeinde!

    Bin gerade etwas ratlos.
    Mein Antivirenprogramm (MacAfee) meldete jüngst einen Trojaner Exploit-URLSpoof.gen. Es cheint irgendwas mit dem dashboard client zu tun zu haben.
    Nun kann ich den im Virenprogramm angegebenen Ordner nicht finden um die Datei zu löschen.
    Irgendwas mit private/var/folders/WhuV-XPGG....../-Caches-/com.apple.dashboard.client/cache.db......
    Mittlereweile ist auch die Meldung des Virenprogramms verschwunden.
    Habe bisher alle installierten widgets gelöscht und den Rechner vom Internet getrennt.

    Wär super wenn mir jemand schnell helfen könnte.
    Wie kann ich die Datei finden und löschen oder was ratet Ihr mir sonst.

    Tausend Dank im Voraus

    Gruss

    B.
     
  2. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    Hey,

    die genauere Schädlingsbeschreibung ist hier beschrieben: http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=100927

    Das Risiko und Auswirkungen werden allgemein als sehr niedrig angesehen, und es ist einfach nur eine Art Proof of Concept. Das interessante ist, dass nur McAfee diesen Trojaner führt, und das er eigentlich viel mehr auf Windows-Systemen umherfliegt.

    Ich würde bei dem oberen Link mir einfach erstmal das Datum der Erstentdeckung anschauen, und dann die Anleitung zur Entfernung. Da du selber schreibst, dass der Trojaner zur Zeit nicht mehr gefunden werden kann, würde ich davon ausgehen, dass dein Antiviren-Programm aufgrund irgendwelcher Einstellungen diesen automatisch irgendwie löschen oder in eine ungefährliche Gegend verschieben konnte.
     
  3. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    MacAfee hat halt gemeldet dass es deie Detei nicht repariert wurde.
    Das ich den Trojaner nicht finden konnte via Spotlight heisst evtl. nicht dass er nicht mehr da ist.
    Ich konnte ja noch nicht mal die übergeordneten Ordner finden.

    Kann ich damit PC-Usern schaden?

    Danke nochmal

    B.
     
  4. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    da in der Fehlerbeschreibung steht, dass er sich nicht vervielfältigt, würde ich behaupten, dass du dies nur durch aktives Eingreifen kannst. Das heisst du schickst eine E-Mail mit ihm im Anhang.

    Den Dateipfad, den du geschrieben hattest, ist sonst nur ein sehr temporärer. Das heisst, dass dort der Cache ausgelagert wird, falls dieser eben voll ist. Indem Fall war es von einem Dashboard-Widget.

    Wenn möglich folge einfach der Entfernungsempfehlung durch die zusätzliche Installation von dieser engine und DAT file.
     
  5. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Diese DAT-Dateien werden bei mir im McAfee ja automatisch aktualisiert und gefunden hat es ja den Trojaner auch schon. (Auch wenn es Ihn jetzt nicht mehr findet)

    Ich kann jedenfalls den Trojaner nicht auf meinem Computer finden bzw. ich kann den Pfad nicht finden.
    Ginge vielleicht im Terminal aber da bin ich ja nun nicht so ganz bewandert.

    Ich kann ja auch daer keine mail mit dem Trojaner verschicken, da ich ja gar nicht weiss wo er ist.

    Im logfile von McAfee sieht das jedenfalls so aus:

    Mar 3 11:12:59 L-Word VirusScan[56]: Infection found: /private/var/folders/Wh/WhuV-XPGGICV1uv5cZwLDk+++TI/-Caches-/com.apple.dashboard.client/Cache.db/0004f758.js is infected with Exploit-URLSpoof.gen, type of infection is Trojan, accessed by DashboardClient, action taken is Not repaired.

    B.
     
    #5 chrisbiolog, 03.03.09
    Zuletzt bearbeitet: 03.03.09
  6. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    Öffne das Terminal (Dienstprogramme im Programme-Ordner), und wechsel den Ordner mit 'cd'.
    Also der Befehl:
    'cd /private/var/folders/Wh/WhuV-XPGGICV1uv5cZwLDk+++TI/-Caches-/com.apple.dashboard.client/Cache.db'
    dann solltest du versuchen ihn zu löschen, falls die Datei überhaupt noch existiert bzw. der Ordner, in den du wechseln sollst, überhaupt noch existiert:
    'sudo rm -f 0004f758.js'

    dabei musst du dein Passwort eingeben, um sicher zu sein auch die nötigen Rechte zu besitzen die Datei zu entfernen.
     
    chrisbiolog gefällt das.
  7. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Super danke!

    Da kommt allerdings als Meldung: Not a directory
    Daher gehe ich dann davon aus dass die Datei nicht mehr besteht.

    Kann man mit dem Terminal auch nach Dateien suchen?

    wofür ist das sudo?

    Muss ja auch gleich was dabei lernen.
    Gibts eigentlich irgendwo ne èbersicht über Terminal Befehle?

    Danke nochmal

    B.
     
  8. Cyrics

    Cyrics Neuer Berner Rosenapfel

    Dabei seit:
    01.04.05
    Beiträge:
    1.975
    deine Freunde sind die Tab-Taste und die man-Pages im Terminal.
    Mit Hilfe von Tab lässt sich alles vereinfacht eintippen, und bestimmte Befehle, Verzeichnisse usw. auswählen durch mehrfaches drücken der Taste.

    Falls ein Befehl unbekannt sein sollte, kann man diesen mit 'man befehl-name' sich die Anleitung dazu anschauen.

    sudo führt, sofern du Administrator bist, einen Befehl in der höchsten Priorität durch. Auf Linux/Unix-Systemen ist dies klassischerweise root.

    Es gibt dann noch verschiedene Möglichkeiten nur als root zu arbeiten. Aber dies sollte man tunlichst sein lassen. Da gerade Anfänger am Anfang einfach nicht wissen, was es bedeutet sich sein System in wenigen Sekunden zerschiessen zu können.

    Wenn du nach Dateien suchen möchtest, gibt es verschiedene Ansätze der Suche.
    Mit locate oder slocate wird ein Index genutzt, der vorher immer mal wieder angelegt werden muss, um die aktuell-vorhandenen Dateien aufzuzeichnen.
    Es gibt jedoch auch 'find', welches eines der mächtigsten und ältesten Werkzeuge ist. Am Anfang wird man 'find' erst einmal nicht verstehen. Es brauch einfach etwas Zeit und Übung. Der Vorteil bei 'find' ist, dass du deine Suche sehr stark einengen kannst, auf die gefundenen Treffer auch Aktionen ausführen kannst, wie z.B. das Entfernen, Umbennenen, Verschieben etc.
    Spotlight und Co. sind dafür beispielsweise nicht ausgelegt, und suchen ja auch nur in Benutzerebenen, und nicht Systemebenen-weit. So spart man auch lässtige Automator-Aktionen, der verdammt langsam sind.
     
  9. Macbeatnik

    Macbeatnik Golden Noble

    Dabei seit:
    05.01.04
    Beiträge:
    24.955
    Nur als Nachfrage, ein AntivirenSchadprogramm(McAffee) findet einen angeblichen Trojaner auf einem Mac, der für Win geschrieben ist, der Win angreift, nur ein Exploit ist, der dann auch nur in einem Pfad zu einer Cache Datei vorhanden ist, und man löscht alle Dashboard Widgets dafür, um das Teil zu eliminieren, war das nicht eine Kanone, die Mücken vertreiben sollte?
    Kein Wunder, das AntiVirenprogramme ihren Ruf alle Ehre machen, neben dem User, die meisten Macs lahmgelegt zu haben, die finden Viren auch notfalls in Systemprogrammen auf dem Mac und der User beginnt dort, sofern es nicht dieses angebliche Hilfsprogramm von selber schafft, fleissig die angeblich infizierten Dateien zu löschen und wundert sich dann, das der Mac nicht mehr läuft. Hier waren es nur Widgets, aber das kann auch anders ablaufen.
     
  10. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Das ist eine URL in einer Mail oder Webseite, die einen Fehler im IE ausnutzt, um eine gefälschte Adresse im Browser anzuzeigen. Liegt mutmaßlich im Browser-Cache, wird da eh irgendwann gelöscht und kann bei Dir sowieso nichts ausrichten mangels IE, selbst wenn Du es anklickst.

    Völlig unnötiger Schuß ins Knie.

    Idealerweise löscht Du dieses AV-Programm, da es Dir mehr schadet als nützt.
     
  11. eLTonno

    eLTonno Riesenboiken

    Dabei seit:
    23.10.07
    Beiträge:
    284
    Im Normalfall ist bei McAfee eingestellt, dass die Datei gesäubert werden soll. Wenn dies nicht möglich ist, so wird sie gelöscht bzw. umbenannt und an einen anderen Ort verschoben. Du solltest also mal im Quarantäne Ordner nachschauen und dir keine weiteren Gedanken machen. Wenn dein Virenscanner sich meldet, dann ist schon alles gelaufen und der Virus, sofern er überhaupt "schädlich" war bereits unschädlich gemacht.
     
  12. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Zunächst mal tausend dank für die hilfreichen Antworten.

    Inwiefern schadet es mir?

    Hab übrigens immer nochdas Problem, dass ich diese Meldung bekomme, wenn ich das Dashboard benutze.


    Danke nochmal

    B.
     
  13. chrisbiolog

    chrisbiolog Becks Apfel (Emstaler Champagner)

    Dabei seit:
    13.11.06
    Beiträge:
    329
    Ja Du magst sicher recht haben. Jedenfalls in meinem Fall war ich mir ja sicher dass ich "meinen Mac nicht kaputt mache" indem ich ein paar Widgets lösche, vond denen ja eh die meisten nur Spielerei sind.

    B.
     
  14. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Es löscht Dir oder dem System Sachen, die es nicht löschen sollte, oder bringt Dich dazu, es selbst zu tun.
     

Diese Seite empfehlen