Hallo. Auf dem Computer meiner Mutter (älterer iMac, Catalina), die nun weiß Gott kaum etwas aus dem Internet lädt und recht defensiv unterwegs ist, zeigen sich seit ein paar Wochen unregelmäßig offenbar gefälschte Mac-Benner mit diversen Viren und Alarmmeldungen. Ich habe ihr gesagt, sie soll ja nicht drauf klicken.

Als halbwegs erfahrener Mac-Nutzer sehe ich, dass diese Meldungen ein Mitteilungsbanner ganz gut simulieren, aber keines sind.

Das Problem ist, dass ich bisher noch keinen Weg gefunden habe, diese nervigen Dinger los zu werden. In der Aktivitätsanzeige findet sich auf den ersten Blick nicht Auffälliges, wobei es natürlich schwer ist, die gesamte Liste an laufenden Prozessen zuzuordnen. Die Fake-Banner erscheinen auch bei geschlossenem Safari, bzw. wenn alle Apps außer dem Finder beendet sind.

Ich wollte auf diesem Wege mal fragen, ob jemand das Phänomen kennt und einen Fingerzeig geben kann, wo ich suchen muss, ohne den harten Weg (neuen Besitzer angelegen, alle Apps einzeln austesten etc.) zu gehen.

Sieht wie eine Push-Nachricht von einer Website aus. Versuch mal in den Einstellungen von Safari die Webseiteneinstellungen komplett zu löschen (Datenschutz—>Webseitedaten verwalten / „Alle entfernen“).

Gleich getestet, alles gelöscht, Safari beendet, Virusmeldung kommt wieder! Fazit: Hilft leider nicht. Trotzdem Danke.

Es genügt, unter Websites/Mitteilungen die Anzeige von Mitteilungen zu deaktivieren.

Das sind auch 'echte' Mitteilungen, die von Websites per Safari an das Mitteilungszentrum gesendet werden.

Danke, marm, gleich probiert, kommt trotzdem wieder

Ich habe auch eben gesehen, dass ich oben eine falsche Info gegeben habe (sorry, bin nur remote auf dem Rechner, habe das übersehen) Aber die Mitteilungen erscheinen tatsächlich im Mitteilungszentrum, sind also offenbar keine Fake-Banner, sondern echte. Offenbar schickt also eine laufende App diese Mitteilungen. Safari scheint es nicht zu sein, denn nach marms Tip habe ich die Webseitenmitteilungen abgestellt und es kommt trotzdem noch.

Ich habe unter EinstellungenMitteilungszentrale jetzt alle Mitteilungen von allen dort angeführten Apps ausgeschaltet. Die Dinger kommen trotzdem noch!!!

Habe eines der Banner jetzt einfach mal angeklickt, führt zu dem hier:



Habe natürlich nichts gescannt

Die Meldungen zeigen ja alle das "Systemeinstellungen"-Icon an, also schau' doch dort mal unter "Sicherheit & Datenschutz" nach, ob es genauere Informationen gibt...

Edit: Sehe gerade, dass es sich wohl um McAfee handelt. Software auf dem Mac ausfindig machen und löschen!

Hast Du wirklich in den Safari-Einstellungen geschaut? Eigentlich sind das ganz eindeutig Mitteilungen von Websites. Daher auch die Weiterleitung an eine Scareware-Seite, um Angst zu machen. Dafür reicht ein Klick auf einer Website, die so etwas anbietet.
Die Installation von Schadsoftware ist dagegen viel aufwändiger.

Vielleicht dann doch mal prüfen - oder Apple meldet korrekte Dateien älterer Systeme jetzt als MalWare - vielleicht sind da Zertifikate abgelaufen.

Aber zur Vorsicht würde ich mal etrecheck laufen lassen. Wärest du vor Ort könnte auch mal ein Start im abgesicherten Modus helfen um festzustellen, ob es eine Erweiterung ist, die nicht von Apple kommt, wegen der die Meldungen erscheinen.
Catalina ist ja auch nicht mehr so aktuell und es ist durchaus möglich, dass Sicherheitslücken ausgenutzt wurden, die seither längst geschlossen wurden, aber eben nicht mehr für Catalina.

Der Rechner ist mit Schadsoftware infiziert, deine Mutter hat da wohl (unwissentlich) was installiert, oder es wurde eine Sicherheitslücke genutzt. Ich empfehle dringend zu handeln, da man nicht weiß, was die Schadsoftware im Hintergrund noch so anstellt. Man kann mit etwas know-how versuchen das händisch zu bereinigen (Start-/Anmeldeobjekte sowie LaunchAgents und LaunchDeamons systemweit nach verdächtigen Sachen durchsuchen und säubern), aber einfacher wäre vermutlich der Einsatz eines seriösen Antivieren-Programms (ich weiß, oft ein Widerspruch in sich) oder aber ein Backup aller Nutzerdaten und dann eine saubere Neuinstallation des Betriebsystems.

Keine Infos unter "Sicherheit", McAfee ist nicht auf dem Computer (hatte ich natürlich längst gesucht, auch unter Systemdateien, Aktivitätsanzeige etc.)

marm, Danke fürs Nachhaken.



Das komische war, als ich Safari nochmal öffnete waren die Mitteilungen wieder erlaubt. Kann sein, dass die Eingaben nicht so schnell angenommen wurden, weil ich via Teamviewer auf ihrem Desktop bin. Beim zweiten Mal hat es geklappt und siehe da: Keine Mitteilungen mehr! Es sind also diese "System Alert" Mitteilungen. Habe die jetzt entfernt. Danke!!!!

Prima, dass es geklappt hat.Diese Mitteilungen wären mir lieber als eine Schlangenöl-Antiviren-Software auf meinem Rechner zu haben. Auf gar keinen Fall!
Antiviren-Software würde einen auch künftig mit irren Warnmeldungen versorgen. Der Kunde muss ja getriggert werden, damit er sein Abo verlängert.

Nein, es stand eigentlich die ganze Zeit fest, dass das normale Webseiten-Mitteilungen waren. Das hat nichts mit lokaler Software zu tun. Dafür braucht es keine Sicherheitslücke, sondern nur einen einzigen Mausklick auf eine unseriöse Webseite.

Das ist seit einiger Zeit grundsätzlich unnötig, da sich das Betriebssystem ab Catalina 10.15 auf einem Nur-Lese-Volume befindet und zusätzlich noch durch 3 weitere, voneinander unabhängige Verfahren gegen Änderungen geschützt ist.

https://communities.apple.com/de/thread/254660579

Auch: die Antiviren Programme, auch wenn die deinstalliert sind, können sich aus welchen "Resten" wieder installieren, oder sorgen für welches Ärger.

Trotzdem ist da was nicht in Ordnung. Bei mir taucht "SYSTEM ALERT" nicht in Safari auf.

Woher kommt "SYSTEM ALERT"?
Was ist das für eine Webseite?

Du hast jetzt die Mitteilungen gestoppt - aber das bedeutet nicht, dass ggf. in Safari nicht noch immer auf "SYSTEM ALERT" zugegriffen wird. Also du hast die Symptome bekämpft, aber nicht die Ursache.

Es könnten natürlich Überbleibsel eines Antivirenprogramms sein, welches sich als Proxy auf localhost installiert hatte um den Netzwerkverkehr zu überwachen. Es könnten aber auch weniger freundliche Intentionen dahinter stecken.

Ich würde da an deiner Stelle noch weitere Nachforschungen anstellen.
(Sorry - wenn ich Quantas Vermutung da nochmal poste, ohne vorher seinem Link gefolgt zu sein)

Auch mal von anderen installierten Browsern die Einstellungen checken:

Die Website: "https://hlofyd.cfd/8kjLgEN/index.p..." (siehe Link oben um 12:38) nennt sich "SYSTEM ALERT" und hat ein Favicon, das wie die Systemsteuerung aussieht. Mehr steckt nicht dahinter.
Die Website ist in Island registriert, siehe https://www.eurodns.com/de/whois-suche/cfd-domain

Die eigentlichen Probleme fangen an, wenn jemand tatsächlich auf diese Art von Website geht. Es gab durchaus sogar Fälle, wo durch Sicherheitslücken im Betriebssystem/Browser Probleme entstehen können, ohne dass auf solchen Websites etwas angeklickt wird.

Ich würde mal Malwarbytes scannen lassen. Hat bei einem Freund von mir einige merkwürdige Browsererweiterungen gefunden.

Das ändert aber nichts daran, dass Safari scheinbar noch immer diese Push Mitteilungen empfängt - jetzt nur nicht mehr anzeigt. Tja und irgendwoher muss das ja kommen.
Der Screenshot zeigt ja nur, wohin der Click führt, aber noch lange nicht, woher die Mitteilung kommt. Da bitte nicht Ursache und Wirkung verwechseln.

Ein Scan mit Malwarebytes wird sicher nicht schaden, ich tippe mal auf so Kandidaten wie „OperatorMac“ oder „Genieo“, da läuft doch so einiges in freier Mac-Wildbahn herum.
Wenn nichts rauskommt, umso besser..😉

Das ist Unsinn. Safari kann von jeder Webseite Push-Mitteilungen empfangen, wenn man dazu verleitet wurde, auf den falschen Knopf zu drücken. Übrigens auch von MTN.

Die Mitteilung wird von der Webseite verschickt, die marm bereits erwähnt hat. So etwas kann im Prinzip jede Webseite. Wie gesagt macht auch MTN das, nur mit seriöserem Inhalt. Technisch gesehen kommt die Nachricht von Apple und wird von macOS über Safari angezeigt. Dazu braucht man keine Schadsoftware, das ist eine fest eingebaute Funktion von macOS.



Nein, wie oft sollen wir das noch wiederholen. Wenn Du diesen Text hier gerade liest, kann ich auch in der nächsten Zeile die Meldung

Ihr Computer ist von 27 Viren befallen.

auf Deinem Bildschirm anzeigen lassen. Dazu braucht man keinen Virus. Viel mehr steckt auch nicht hinter diesen Benachrichtigungen. Es wäre hilfreicher, technisch zu verstehen, was dort passiert, um nicht auf solche simplesten psychologischen Tricks hereinzufallen.

Ich glaube den Ergebnissen von einem Schadsoftware-Scan in der Regel mehr als denen einer Glaskugel. Selbst wenn diese Meldungen lediglich von einer dubiosen Website stammen (ob die Mutter des Erstellers solche besucht, sei mal dahin gestellt), schadet doch ein schneller Scan nicht.

Schadsoftware auf einem Gerät kategorisch auszuschließen, ohne dieses oder zumindest ein zugehöriges Scan-Ergebnis von Malwarebytes, etrecheck etc. je gesehen zu haben, grenzt ja schon an Rummelplatz-Wahrsagerei..😉

Der Inhalt dieser Popups ist in der Tat völlig irrelevant. Da könnte auch stehen:

„Es gibt Reis, Baby“

oder alles Andere. Dennoch kann (muss nicht), tauchen diese Popups z.B. beim Öffnen normalerweise vertrauenswürdiger Seiten auf, auch ein Befall mit Schadsoftware ursächlich sein.

Eine Weisheit der Dakota-Native Americans lautet: Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!

Es ist übrigens genau so seriös, jeden Kommentar von mir „aus Prinzip“ mit einem Daumen nach unten zu bewerten, wie grundsätzlich auszuschließen, dass ein Gerät, welches einem unbekannt ist, mit Schadsoftware befallen sein könnte..😄

Vielleicht möchte der Ersteller des Thread die Diskussion im Blauen ja doch durch Tatsachen beenden: (kann im Anschluss einfach wieder deinstalliert werden.)

Kommt nichts dabei raus, darf Marcel mir auch gern „Ich hab es doch gesagt/geahnt“ entgegen rufen. Finden wir jedoch etwas, ist es gut für Ersteller und seine Mutter, diese Erkenntnis gewonnen zu haben. So oder so freut sich jemand.😉

Sebbo, ich weiß Dein Engagement zu schätzen, bin da aber leider vollumfänglich bei marm und Marcel. Ich kenne diese Push-Mitteilungsanfragen, manchmal hätte ich selbst schon fast versehentlich auf eine geklickt. Damit erlaubt man dann dem Push-Dienst einem Mitteilungen zu schicken, bei Webseiten etwa über neue Artikel oder was auch immer. Das kann leicht ausgenutzt werden und meine Mutter hat vermutlich eine dieser Anfragen mit der Eingabetaste bestätigt, was dann per default "Zustimmen, dass einem Push-Nachrichten geschickt werden" bedeutet.

Der Name "System Alert" soll ja bloß irgendwas wichtiges, systeminternes vorschützen. Es könnte auch "Nasenbär" heissen, wenn wir hier schon so schön Namen erfinden.

Deine etwas ungenauen Ausführungen erklären ausserdem nicht, weswegen die Mitteilungen schlicht nicht mehr kommen, sobald man dem entsprechenden Push-Dienst die Erlaubnis entzieht, egal welche Seite man anschließend besucht (ich habe Deine diesbezügliche Erklärung am Ende von Post 23:03, ehrlich gesagt, nicht ganz verstanden)

Und so sehr Du mir das auch nahelegst, ich werde ihr ganz sicher deswegen keinen Virensoftwarescanner installieren, nicht einmal nur kurz. Denn sonst hätte meine Mutter vermutlich Grund mich am Ende für noch dümmer als sich selbst zu halten

Danke, diese Weisheit war mir nicht (rechtzeitig) bekannt. Dann lasse ich mein Pferd mal lieber zurück.😉

Schönes Wochenende noch in die Runde.

Eine Sache möchte ich doch (vielleicht für spätere Leser dieses Thread) noch loswerden:
Der Befall von Macs mit Schadsoftware ist eine reale Bedrohung und keineswegs (wie es früher gern gesagt wurde) ein Windows-exklusives Problem.

Programme zum Scan nach eben dieser, wie weiter oben geschehen, als Schlangenöl zu bezeichnen und damit weiter zu propagieren, Macs wären kein potentieller Angriffsvektor, verzerrt die Realität.

Natürlich gibt es diese „Schlangenöl-Programme“ wie beispielsweise „MacKeeper“, die mehr Schaden als Nutzen mit sich bringen. Auch von Echtzeit-Scans bin ich im privaten Bereich kein Freund, im Unternehmensbereich lässt es sich oft nicht vermeiden.
Malwarebytes bietet die Bereinigung aber beispielsweise in der Free-Variante ohne Angabe von E-Mail-Adresse oder persönlicher Daten an.
EtreCheck bietet z.B. einen Überblick über LaunchDemons und LaunchAgents an (heut zu Tage vermutlich noch mehr, liegt schon etwas zurück).

Das sind seit Jahren gängige Tools, die auch ich in dem Jahrzehnt meines Lebens, in dem ich mal als „certified Macintosh technician“ unterwegs war, hin und wieder eingesetzt habe.
Ich möchte euch nicht überzeugen, hier irgendetwas zu installieren (Stichwort „totes Pferd“), lediglich die Folgeleser darauf aufmerksam machen, dass ein Mac nicht grundsätzlich uninfizierbar ist. Beispiel: 🍀

Apple-Push-Nachrichten gehen völlig asynchron ein. Das hat nichts damit zu tun, welche Webseiten man gerade besucht, sondern welche Nachrichten der Anbieter, auf dessen "Benachrichtigung erlauben"-Knopf man in der Vergangenheit einmal gedrückt hat, gerade live über Apple versendet.

Das hat niemand getan. Deshalb sind in macOS bereits ein Virenscanner (Xprotect / Xprotect Remediator), ein Anti-Malware-Programm (MRT) und mehrere voneinander unabhängig arbeitende Schutzverfahren (Gatekeeper, Quarantäne, Code-Versiegelung, TCC - Transparency, Consent, and Control, Apple-Beglaubigung, Launch Constraints) ab Werk eingebaut. Apple aktualisiert den Virenscanner alle zwei Wochen.

Nun, ich hatte bei Einführung von Universal Binaries (also Intel + PPC) mal einen Exploit gebastelt, geprüft und an Apple geschickt. Auch die MacWelt hatte darüber berichtet. Damit war es eine ganz einfache Angelegenheit beim Starten eines Programms im Hintergrund einen zusätzlichen Prozess anzuwerfen, den man aber als Datei nicht findet, bzw. der zur App gehört.
Das ist wegen Codesigning nicht mehr so einfach in bestehende Software einzubauen, aber nicht unmöglich. Es war aber vor allem total einfach, ich habe das PoC in wenigen Stunden geschrieben.

Dann habe ich mich beruflich auch viel mit Mach-O Dateien beschäftigt, diese zerlegt und neu zusammen gesetzt - nur anders und mit zusätzlichen Inhalten. Das könnte man auch für MalWare verwenden, was ich aber nicht mache. Ich habe verfolgt, wie die Viren-Community ebenfalls versucht hat, Mach-O zu hacken und gezielt zu manipulieren - sie waren nur nach Jahren noch nicht so weit wie ich. Sie waren damals noch viel mehr auf Windows fokussiert.

Dann kommt hinzu, dass es ja noch viel mehr Angriffsvektoren gibt die regelmäßig ausgenutzt werden. Daher ist Catalina heute eben kein sicheres System mehr - ärgerlich, aber wahr. Da fehlen seit Jahren Sicherheitsupdates und da passiert unglaublich viel, auch auf macOS. Sonst kämen deutlich weniger Updates von Apple.

Also, wenn sich ein Rechner seltsam verhält, dann sollte man dem gründlicher nachgehen. Einfach nur die Mitteilungen zu deaktivieren, kann als Fahrlässig betrachtet werden. Das Risiko mag dir für deine Mutter gering erscheinen, aber du weißt nie, was danach kommt.

Das kann man natürlich machen, mit dem hier besprochenen Problem hat das aber nichts zu tun.

Das hat der Rechner ja hier nicht getan. Es wurde ein Mitteilungsdienst abonniert, der unseriöse Nachrichten verschickt, die Herkunft dieser Nachrichten wurde einwandfrei identifiziert, und dann wurde das Nachrichten-Abo wieder beendet.

Laienhafte Frage:

Könnte es etwas bringen, alle Cookies in Safari zu löschen?

Ich hatte seit gestern mit demselben Problem zu kämpfen, nachdem ich einen YouTube Film online in eine MP3 Datei konvertieren ließ. Da landet man auch ruckzuck auf unseriösen Seiten und klickt Dinge an, die etwas anderes tun als sie vorgeben zu tun. Bei mir war es ein vermeintliches Captcha Feld "I am not a robot".

Darauf hin habe ich einmal die hier benannten Software von Malwarebytes drüber laufen lassen. Die hat auch was gefunden, und zwar Dr.Cleaner. Hierbei handelt es sich wohl auch um Spyware, deshalb hab ich die App sofort in Quarantäne setzen lassen. Allerdings kamen die Meldungen danach immer noch, sprich: Dr. Cleaner war also nicht die Ursache! Zwischenfazit: Malwarebytes findet also nicht die Ursache für die Meldungen!

Lösung: In den Safari Einstellungen stand ein verdächtiger Eintrag ohne Namen unter "Websites/Mitteilungen", der aussah wie eine Systemmeldung. Diese hab ich gelöscht und seither ist wieder Ruhe!