Hallo zusammen,
ich bekam zum zweiten mal per Brief von der Telekom (Mail: abuse@telekom.de) eine
"Wichtige Sicherheitswarnung zu ihrem Internetzugang"

darin steht,
". . . uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein Rechner oder ein Endgerät z.B. Smartphone, das sich über ihren Internetzugang mit dem Internet verbunden hatte, mit einem Virus/Trojaner infiziert ist"

weiter:
"1. . . . Virenfreiheit und Trojanerfreiheit sicherstellen . . . "
"2. Ändern der Telekom Passwörter"
"3. . . . Betriebssystem aktuell? . . ."


und jetzt???
Ich habe einen Internetzugang der Telekom, Fritzbox 7390, 4 Macs im Heimnetz, 3 iPhones und 3 Android Smartphones.
Einer der Macs hat noch OSX 10.6.8 (iMac Intel Core Duo von 2006), die anderen drei sind wesentlich aktueller allerdings nicht mit dem neuesten Betriebssystem.

Was soll ich eurer Meinung nach tun?

Gruß
Cliff the Dau

Danke für den Link. Aber das ist mir zu "hoch"
Lieber installiere ich Ubuntu oder besser Xubuntu (wegen der 2 GB RAM) auf dem iMac wobei ich noch nicht weiß ob das mit dem EFI funktioniert mit einer LifeCD . . .
Dann kann man ihn wieder normal am Netz verwenden und LibreOffice ist vollkommen ausreichend für die Tochter

Wenn auf dem Mac kein aktuelles macOS laufen kann, ist ein aktuelles anderes System eine gute Idee.

cliff de Dau
Schau mal etwa bei Heise.de im Downloadzentrum ob was passendes dabei ist. Auf Heise.de gibt es auch diverse Artikel, die sich mit Android, deren Viren etc. auseinandersetzen.

Wieso? Hier erzählen doch immer wieder die Flachleute, daß 10.6.8 das letzte gute OS X war und sie auf keinen Fall upgraden werden. Wenn das solche Kapazitäten sagen, wird das doch stimmen! Bescheid!

Disclaimer, bevor das jemand glaubt: Das ist natürlich absoluter, jegliche Fakten ignorierender Bullshit. Wer sein System jahrelang nicht aktualisiert handelt grob fahrlässig und hat wirklich alles verdient, was ihm infolgedessen widerfährt, einschließlich lebenslangen Ausschlusses von jeglicher Internetkommunikation und Verbannung in einer feuchte Höhle in den Anden.

Ruf bei der Telekom an und lass Dir einfach sagen, was genau sie wissen. Du wirst Auskunft bekommen. Ich würde jetzt einfach mal darauf tippen, dass das Passwort zu Deinem Telekom-Zugang (nutzt Du auch Telekom-Email?) gehackt wurde, Schadsoftware ist natürlich auch gut möglich.

Vorsichtshalber würde ich alle wichtigen Daten sichern und alle Deine Geräte platt machen/neu installieren. Zu aktuellen Systemen wurde eh schon alles gesagt.

Dann natürlich von einem sicheren Gerät aus alle Passwörter zu Deinen Accounts ändern...

In meinem Umfeld hatte ich schon zweimal so einen Fall. Einmal Account gehackt, einmal Schadsoftware auf Windows-Rechner.

um darauf nochmal zurückzukommen...

So, ich habe mit einem netten Herren vom AbuseTeam Telekom gesprochen. Das Bundesamt für Sicherheit hat festgestellt, dass von meinem Anschluss aus der Schädling CrossRider verbreitet wurde (2x im Mai) und hat die Telekom daraufhin informiert, deshalb auch der/die Briefe.

CrossRider gibt es auch für Mac und Android! iPhones sind sicher so seine Aussage.
Da wir nur noch die drei Macs mit aktuellen Sicherheitsupdates auf zweien hatte ich mit AVG Antivirus und Malwarbytes was gefunden, geht der Telekommensch davon aus dass es jetzt behoben ist.
Allerdings soll ich alle Android Smartphones über den Playstore mit Virenscannern und Malwarebytes untersuchen ob dort die Quelle ist.

Sollte von meinem Anschluss wieder was kommen und das BSI die Telekom informieren, dann bekomme ich ein Mail an meine Zugangsnummer geschickt.

Also mit Sperrung meines Telefonanschlusses hat er nicht gedroht . . .

Kein Problem, mein Gedanke war, dass man den Kommunikation eines jeden Geräts in Deinem Netz mit dem Internet mitliest und mit passenden Filter sehen kann welcher Computer auch wirklich infiziert ist.

Wir scannen jetzt erst mal die Android Phones mit AVG Antivirus für Android und Malwarebyte für Android
und den (nicht mehr am Netz) iMac mit Snow Leopard mit ESET CYBER SECURITY PRO ! (30 Tage Testversion)
dann mal sehen . . .

knall da doch bitte nicht noch mehr quatsch drauf

(und ein drittes mal frag ich nicht nach logs...)

Cliff the DAU

Du kannst lesen und schreiben. Warum lässt du dir dann nicht von john helfen?
Gehe zu dieser Website , lade EtreCheck herunter und lass es auf deinen Macs laufen. Kopiere das jeweilige Log und füge es bei Pastebin ein. (Registrierung nicht erforderlich). Schließlich poste hier den erzeugten Link. Die Logs möchte john prüfen und kann sie beurteilen. Aber wohl nur, wenn du beratungswillig bist.

Eine fundierte Bewertung (etwa von john) würde mich auch stark interessieren. Crossrider scheint mir (auf den ersten Blick der Viren/Malware-Beschreibung auf Virus Total) ja nicht so der richtige Seuchen-Verteil-Knaller zu sein, dass das Bundesamt an den Provider herantritt, um darüber einen Nutzer zu erreichen.

ok, mach ich

Mac mini P. - https://pastebin.com/JHQ5Gq7h

Wäre zuvorderst das Logfile von Malwarebytes und AVG auf dem/den Macs nicht mindestens genauso aufschlussreicher und interessant einzusehen und zu prüfen als genau jenes mit dem bereits getätigten Malware-Aufspür- und offenbaren Reinigungsvorgang unmittelbar befassten – evtl. sogar noch viel aufschlussreicher und hilfreicher als ein Logfile des mit dem Vorgang erstmal nichts zu tun zu habenden EtreCheck? In dem Logfile von Malwarebytes (und wie zu lesen ist, ist das AVG AV-Programm ja auch nochmal damit befasst gewesen) ist doch genau protokolliert, was Malwarebytes da auf dem/den Macs an Schadprogrammen gefunden und bereinigt hat. Und zumindest das AV-Programm von Malwarebytes bietet (so zumindest zu lesen im Netz und auch auf Malwarebytes' Support-Seiten), mit 1-2 Klicks im Applikationsmenü sogar direkten Zugriff aufs eigene Scan- und Tätigkeitsprotokoll an.

Und sicher ist jenes geschriebene Logfile auch unabhängig davon zu erreichen und liegt möglicherweise/wahrscheinlich in einem entsprechenden Unterordner von ~/Library/Logs oder /Library/Logs, auffindbar per Applikationsmenu von Malwarebytes for Mac, per Finder oder auch per Konsole.app.

Was will EtreCheck nach so einem Vorgang im Nachgang da denn noch groß finden oder gar protokollieren? Was zuvor die zuvor damit befasst gewesenen AV-Programme von Malwarebytes und AVG zu erzählen haben und in ihr jeweiliges Protokoll geschrieben haben, dürfte naheliegenderweise und mit hoher Wahrscheinlichkeit viel interessanter und aufschlussreicher sein, weil direkt und unmittelbar mit dem Vorgang und der von ihnen offenbar gefundenen Malware befasst gewesen, denke ich. Oder?

und die nächsten . . .

Mac mini K. - https://pastebin.com/x9gLrDSs

MacBook Pro - https://pastebin.com/ysbgKz75

der iMac folgt morgen

Ob das Quatsch ist weiß ich nicht. Habe einen Bekannten von einem "Systemhaus" gefragt die auch Macs betreuen. ESET CYBER SECURITY PRO wurde empfohlen, da die meisten Antivirenscanner nicht mehr unter 10.6.8 und 32 Bit (iMac von 2006) laufen. Habe jedenfalls keinen gefunden.

Nur mal kurz reingeschaut, weil schon so spät...

Was hast du mit deiner hosts-Datei angestellt? Wegen Adobe?

Weg mit Perfetnight.

Generell:
Brauchst du Flash, Silverlight? Von Flash scheinst du auch eine uralt Version zu nutzen, wenn dus brauchst > updaten!

auf dem macbook pro:
- /etc/hosts verändert. warum? creative suite raubkopiert?
- flash dringend updaten (oder besser gleich komplett entfernen)
- perfetnight DRINGEND entfernen! diese malware bremst den rechner aus und installiert ständig neue schadsoftware nach. ganz geiles zeug.
- auf sierra updaten

mac mini k.:
- der hat ein ram problem. irgendwas frisst dem den speicher dauernd weg. vermutlich der amoklaufende firefox da drauf.
- com.apple.installer.cleanupinstaller.plist liegt verwaist rum. ich hab ehrlich gesagt keine ahnung was das ist, oder wie man zu so einem problem überhaupt kommt.
- flash und silverlight sind uralt. entweder update oder besser gleich entfernen.
- picasa: uralt

mac mini p.:
- gatekeeper wieder auf default zurücksetzen. aktuell steht der auf "mach doch was du willst"
- plex wurde nicht richtig deinstalliert
- holla die waldfee läuft da viel kram drauf.. teilweise sachen, die seit 2014 nicht mehr aktualisiert wurden.. braucht man das alles? bin zu faul da im einzelnen drauf einzugehen.

Frage dürfte nun hinreichend beantwortet sein, oder ? Virenscanner für den Mac oder PC machen nur genau das wofür sie programmiert wurden, manche gut, manche schlecht. Nicht mehr und auch nicht weniger.
Das sich dort immer noch Malware wie perfetnight versteckt sagt eigentlich schon alles.

mal abgesehen davon, hat ihm ja auch keiner gesagt, dass er das machen soll, was er tat. das hat er aus blindem aktionismus heraus gemacht.

und ja, virenscanner scannen nach .. überraschung .. viren. ich wette aber mindestens 2 kisten bier, dass bei der ganzen grundproblematik des threads nicht ein einziger virus in dem sinne im spiel ist. malware sind nicht automatisch viren. viren am mac sind äusserst unwahrscheinlich. (andere) malware an sich allerdings nicht (wie man ja hier anschaulich sieht).
daher ist es ja so ein quatsch sich virenscanner zu installieren.

und wiederrum davon abgesehen: es ist ein ELEMENTARER GRUNDSATZ, dass man einem bereits kompromitiertem system niemals mehr nachträglich vertrauen kann, geschweige denn es mit virenscannern wieder "sauber" kriegen kann nachträglich. dann ist es längst zu spät.

@John: da hast du zwar grundsätzlich recht aber bei der meisten Malware (wie MacKeeper etc) die einem aktuell auf dem Mac begegnet handelt es sich doch um eher "harmlose" Spamschleudern die man auch alle wieder los wird.

Nein.

Du lenkst vom Eigentlichen ab und lenkst das Thema auf eine schiefe Bahn: in diesem Fall ist ja wohl mehrfach auf einem oder mehreren Macs Schadsoftware nicht übersehen, sondern gefunden und entfernt worden, schreibt der Thread-Starter an mehreren Stellen selber. Oder? Und genau das ist protokolliert und schriftlich festgehalten. Im betreffenden Logfile des findenden AV-Programms. Hier tauchte zwischenzeitliche die Frage auf, was denn genau gefunden und bereinigt worden sei – nun, genau dort in jenen genannten Logfiles steht's drin, ist es protokolliert worden. Darauf habe ich hingewiesen.

Und was das schlechte Erkennen angeht: Nun, macOS eingebautes AV-Erkennungs-Framework XProtect hat die betreffende Schadsoftware wohl erst recht nicht erkannt und übersehen und folglich nicht geblockt, sonst hätten Malwarebytes und AVG wohl nix mehr zu finden gehabt und die Telekom möglicherweise auch nix mehr zu meckern gehabt (wenn es denn für deren Räuspern ursächlich genau jene Schädlinge gewesen sein sollten, die Malwarebytes und AVG auf Cliff the DAUs Rechner seiner Aussage nach gefunden und entfernt haben).

Ja? Sagt es? Und was ist entfernt worden von Mawarebytes und AVG? Was hat sich noch alels auf dem Rechner getummelt?
Und wer hat allen voran als erster versagt in diesem Fall und sie alle offenbar nicht erkannt und ungehindert machen lassen? Nicht macOS' eingebautes XProtect? Das hätte nicht als allererstes anschlagen müssen? Sodass Malwarebytes und AVG gar nicht erst nötig gewesen wären und gar nichts zu finden gehabt hätten? Wie zuverlässig und verlässlich ist somit des Betriebssystems eigenes AV-System XProtect, wenn es sowas durchlässt, sich die Telekom trotzdem beschweren kann und Fremdsoftware in Gestalt von Malwarebytes und AVG offenbar trotzdem und tatsächlich noch was finden und entfernen kann? Reden wir über Versagen und NIcht-Erkennen, steht macOS' systemeigenes XProtect aber ganz vorne dran, möchte ich mal meinen. Noch vor allen anderen. Würde XProtect sauber und ordentlich arbeiten, wäre die Situation viel weniger wahrscheinlich überhaupt so entstanden, und Drittsoftware zum Erkennen und Entfernen, um ggf. das auszuputzen, das unter XProtects Erkennungs-Radar unerkannt durchgeflogenn ist, wäre erst recht nicht nötig. Oder? Oder möchtest Du etwa sagen, dass XProtect hier hervorragend erkannt und gebannt hat und seinen Job richtig gut gemacht hat?

@mikemuc
ja klar. ich redete ja auch von viren.

Nenne mir mal ein einziges AV-Programm, das ausschließlich nach Viren scannt, ein reiner VIrenscanner ist. Da dürfte es nix geben. Die heißen nur noch aus historischen Gründen Virenscanner bzw. Antivirusprogramm, einfach, weil sich dieser Begriff als Synonym für sämtliche Schadsoftware in den Köpfen der Menschen eingeprägt hat und da auch so leicht nicht wieder rauszubekommen ist aller Realität und begrifflicher Aufklärung zum Trotz, also lässt man es so, nimmt es als gegeben hin und arbeitet damit. Und scannen schon längst nach aller möglicher und denkbarer Art von Schadsoftware ab, vor allem Trojanern, PUAs (PUA = Potential Unwanted Application) etc. Viren und die den Viren ähnlichen Würmer (auch für die Mac-Plattform gibt es übrigens welche, auch wenn von dem einen oder anderen Zeitgenossen das Gegenteil behauptet oder die Existenz kleingeredet wird, weil eher ungefährlich, aber die Existenz ist nicht null) sind doch seit Jahren kaum mehr in Umlauf auf keiner einzigen Plattform, jetzt ist mal wieder einer aufgetaucht, der von sich Reden macht.

Die große Masse auf allen Plattformen sind doch seit Jahren Trojaner, PUAs, Adware denn Viren und die den Viren ähnlichen Würmer, oft sogar Schadprogramme, die aus mehreren Teilen bestehen und mehrere Charakteristika gleichzeitig haben, sogenannte Hybriden: eine Trojaner-Komponente, eine Wurm-Komponente, eine PUA-Komponente, und je nach Bauart und Einsatzzweck, Zielplattform und Fortschrittsgrad der Infizierung/Verbreitung kommt der eine oder andere Teil entweder exklusiv oder gleichzeitig zum Einsatz oder wird ggf. nachgeladen. Die AV-Scanner haben sich doch schon längst darauf eingestellt, selbst Apples eingebautes XProtect erkennt nicht nur ausschließlich Trojaner (und davon leider nur einen winzigen in Umlauf befindlichen Prozentsatz, sodass viel unerkannt durchrutscht), und auch Malwarebytes AV-Programm für den Mac erkennt eine breitere Palette an Schadprogrammen für den Mac als noch zu Anfang, als es noch von Thomas Reed unter the Safe Mac vertrieben worden war und nicht nur PUAs und Adware (damit ist es mal gestartet und hat sich mittlerweile zu etwas Größerem gemausert, einer klassischen AV-Software).

Auf meine Macs , deren OS grundsätzlich auf dem aktuellen Stand ist, kommt keine AV Software. Ab und zu, und regelmäßig nach Installation einer nicht aus dem Mac App Store stammenden Software, lasse ich Malwarebytes laufen. Und das war's dann auch.

Du hast doch schon längst welche drauf, ob Du willst oder nicht – als integralen Bestandteil des Betriebssystems – von Apple. Nennt sich XProtect (signaturbasierte Erkennung), MRT.app (MRT = Malware Removal Tool), Gatekeeper, Quarantine Framework. Die Frage ist, ob's ausreicht und gut funktioniert und ob evtl. zusätzliche Unterstützung ggf. hilfreich sein kann oder nicht, um ggf. das aufzudecken, das XProtect z.B. nicht erkannt und abgefedert hat.

Zusätzliche Unterstützung also. Weil XProtect leider durchaus vieles nicht erkennt und damit versagt, XProtect wäre besser und würde mehr erkennen, wenn Apple es besser pflegen würde, seine diesbzgl. Signaturlisten zügiger aktualisieren würde und vor allem wissender machen würde, indem mehr Schadsoftware davon erkannt würde als das bisher der Fall ist. Was wiederum die Signaturliste größer machen würde. Und das System damit mehr ausbremsen würde, weil es halt länger dauert, gegen eine große Liste zu prüfen als nur gegen eine winzig kleine und das erst recht bei jeglicher Dateioperation, die stattfindet und bei der das Quarantine-Framework des Systems zum Zuge kommt. Und eine große Liste kommt bzw. käme da inzwischen zusammen, auch die Mac-Plattform betreffend, Apple hält seine Liste künstlich klein, somit rutscht dann halt mehr Schadsoftware unerkannt durch, dieses Risiko bzw. diese Abwägung geht Apple offenbar bewusst ein.

Drittprogramme, die mit einer größeren Signaturliste arbeiten nur und allein Schädlinge die Mac-Plattform betreffend als XProtect, erkennen da teilweise durchaus mehr als XProtect mit seiner winzigen Signaturliste, die dazu auch noch schlecht gepflegt ist von Apple. Es kann also durchaus Sinn ergeben, XProtect hier jemanden an die Seite zu stellen, der aufgrund einer umfänglicheren Signaturliste mehr Mac-Schadsoftware erkennt als XProtect. Und genau das ist in diesem Fall wohl auch geschehen und hat ein Ergebnis gebracht, sonst hätte der Diskussionsstarter wohl kaum darüber berichten können, dass Malwarebytes und AVG da was gefunden und eliminiert hätten auf einem oder mehreren seiner Macs.

Auch hat Apple höchstselbst in seinen Sicherheitstipps (welche natürlich nicht groß der breiten Masse unter die Nase gerieben werden, denn das liefe den Werbeaussagen der Marketing-Abteilung zuwider) schon seit Jahren explizit darauf hingewiesen, dass zusätzlich installierte AV-Software auf dem Mac durchaus Sinn haben kann (nicht zwangsläufig muss sondern kann), als zusätzliche und ergänzende Maßnahme und über die systemeigenen Mechanismen hinaus. Und die Praxis bestätigt das auch immer mal wieder, dass die eingebauten systemeigenen Maßnahmen eben auch ihre Schwächen und Lücken haben und unterlaufen werden und eben leider nicht perfekt sind und eben nicht unbedingt stets verlässlich. Diese Unsicherheit existiert.

Es sollte, meine ich, dem Anwender überlassen bleiben, ob er XProtect und Co. vollends vertraut und ihm nichts an die Seite stellt oder ob er ihm nicht vollends vertraut und ihm ggf. zusätzlich noch was an die Seite stellt. Die Fakten zeigen jedenfalls leider, und mit dem Thema befasste seriöse Leute sagen es auch immer wieder: der Schutzfunktion des systemeigenen XProtects kann man leider nicht vollends vertrauen, zuviel Schadsoftware rutscht unerkannt durch, es macht seinen Job eher schlecht als zufriedenstellend. Es ginge besser, allein schon nur dadurch, dass die zugrundeliegende XProtect-Signaturliste besser und häufiger gepflegt würde durch Apple und dass darin rein anzahlmäßig mehr Schad-Programm-Signaturen drinstünden (allein für die Mac-Plattform nähert es sich mittlerweile der Million an oder ist sogar mittlerweile drüber, wenn man dieselbe Zählweise durchführt wie bei anderen Plattformen, und täglich mehren sie sich, je nach Schub, hunderte pro Tag, allein die Mac-Plattform betreffend, und die Flut ist nicht nur hier sondern überall inzwischen so krass, dass das Erarbeiten und Schreiben solcher Signaturen inzwischen automatisiert ist und die nur noch täglich gleich im ganzen Bündel rausgehauen wird, per Hand kommt man dem gar nicht mehr nach, kein einziger AV-Hersteller, und Apple und Microsoft auch nicht), um Schadprogramme für die Mac-Plattform überhaupt erkennen geschweigedenn blocken zu können.

Die Frage bleibt: WAS haben Malwarebytes und AVG auf dem/den hier in Rede stehenden Macs konkret gefunden und bereinigt? Das Logfile dieser Programme, das darüber Protokoll führt, gibt darüber genaue Auskunft. Was steht in jenem Protokoll drin zu der fraglichen Zeit? Vielleicht das mal posten auf PasteBin und den Link dazu dann hier mal posten, damit man das mal einsehen und bewerten kann.

- flash dringend updaten erledigt

- perfetnight DRINGEND entfernen erledigt

enfernt aus:
Safari Extensions: ⓘ
Perfetnight - Perfetnight - http://www.perfetnight.com/faq#perfetnight (cache only) (installed 2017-06-02) Adware! [Remove/Report]

Possible adware: ⓘ
Adware: ~/Library/Caches/com.apple.Safari/Extensions/Perfetnight.safariextension
One possible adware file found.

habe den Ordner Perfetnight.safariextension gelöscht
in der Library vom User

gatekeeper??
ist es das was du meinst?

Mach ich genau so.

Gab es eigentlich jemals eine externe Lösung, die weniger Probleme gemacht hat, als sie letztlich verursacht hat?

Malwarebytes hat aber "perfetnight" auf dem MacBook Pro nicht gefunden,
nur zur Info

Wenn ich das richtig lese und verstanden habe, hat die systemeigene interne Lösung versagt gehabt, es gab eine Beschwerde bzw. Veranlassung des BSI und der Telekom, sich bei Cliff der DAU zu melden und ihm mitzuteilen: "Du hast da was, von mindestens einem Deiner Rechner geht Gefahr aus, bitte kümmere Dich darum, mach' das weg" und zwei zusätzlich installierte externe Lösungen, die Cliff der Dau danach hat drüberschauen lassen, haben im Gegensatz zur bereits vorhandenen internen Lösung was gefunden und eliminiert. Darüberhinaus: hätte die systemeigene interne Lösung ordentlich gearbeitet und funktioniert, hätte weder das BSI noch die Telekom etwas gehabt, worüber sie sich bei Cliff the DAU hätten beschweren können, weil von seinem Rechner, dessen interne systemeigene Lösung ganz offensichtlich versagt hat, irgendeine Gefahr ausging. Sehe ich das richtig, oder wie war's? Hat das systemeigene XProtect nun sauber gearbeitet oder nicht? Wenn ja, wie konnte es dann zu dieser Situation kommen und Aktion seitens des BSI und der Telekom hervorrufen?

Zumal, wenn es schon so weit gekommen ist: zwei weitere Fragen sich stellen: wo, an welcher Stelle sitzt Cliff der DAU mit seinen Rechnern, dass das BSI darauf aufmerksam geworden ist und sich offenbar genötigt fühlte, die Telekom zu unterrichten und jene zu bitten, nachzuforschen, von welchem Rechner da grad' Gefahr ausgeht (zum Beispiel Teil eines Botnetzes geworden, ohen dass der Besitzer etwas mitbekommen oder geahnt hat bzw. unwissentlicher Verteiler von Schadprogrammen) an Cliff der DAU heranzutreten, er möge das bitte abstellen. Entweder sitzt Cliff der DAU mit seinen Rechnern an einer empfindlichen Netzwerkstelle, welche, wenn da irgendwas Ungewöhnliches passiert, die Aufmnerksamkeit des BSI auf sich zieht, oder/und von seinem Rechner/seinen Rechner ist über das normale Maß hinaus Gefahr ausgegangen.

Ungewöhnlich dürfte es jedenfalls sein, dass das BSI, eine Bundesbehörde, sich genötigt fühlt, an den Provider heranzuterten, um einen auffälligen Rechner näher zu lokalisieren und wieder zur Räson zu bringen. Mir als Privatanwender ist das jedenfalls noch nicht passiert, dass mein Provider an mich herangetreten ist wegen sowas und er das sogar macht auf Veranlassung des BSI. Wohl aber habe ich es mitbekommen, dass es mal so gelaufen ist in einer größeren Organisation hierzulande, dass die Telekom sich genötigt gefühlt hatte, an den betreffenden Netzwerk-Administrator heranzutreten und ihm mitzuteilen, dass aus dem von ihm adminsitrierten und verantworteten Netz Gefahr für andere ausgeht, weil da mutmaßlich mindestens ein Rechner grad' Amok gelaufen und ggf. gekapert worden war als Teil eines Botnetzes.

Und macOS' eingebautes und dem vorgeschaltetes XProtect offenbar aber leider erst recht nicht. Nur zur Info.

Hätte es aber eigentlich erkennen müssen, wenn es ordentlich arbeiten würde, dazu ist es nämlich eigentlich da! Nur zur Info.

Ansonsten ist es nämlich überflüssig und im Grunde ein Witz angesichts seiner hohen Nicht-Erkennungsrate statt hoher Erkennungsrate. Ganz ohne zusätzliche Software namens MalwareBytes und ganz ohne AVG und völlig unabhängig davon und vor allem: zu allererst und noch vor allen anderen evtl. zusätzlich installierten AV-Programmen.

Zumal MalwareBytes auch gar nicht angetreten ist, sowas alles zu erkennen, das ist eigentlich ein gewachsener PUA- und Adware-Erkenner- und Entferner, und erst in letzter Zeit mausert sich das Ding zu einer deutlich umfangreicheren AV-Suite. Und EtreCheck ist auch nicht angetreten, um sowas rechtzeitig zu erkennen, auch da bekommt das Programm erst in letzter Zeit vom betreffenden Entwickler beigebracht, die eine oder andere Schadsoftware oder PUA zu erkennen und jene wenigstens im Nachhinein kenntlich zu machen. Weil da ganz offenbar Bedarf ist nach solchen zusätzlichen Programmen, die genau das tun. Und auch ein Sicherheitsspezialist wie Patrick Wardle hat mit seinem BlockBlock & Co. den Bedarf ebenfalls erkannt und benennt ihn regelmäßig und streicht die Unzulänglichkeiten der internen systemeigenen Mechanismen regelmäßig heraus und bietet da inzwischen was Entsprechendes zur Erkennung und Früherkennung an. Weil die Mac-systemeigenen Mechanismen, allen voran XProtect, leider nur zu oft versagen und ihren Dienst nicht richtig tun bzw. da zuviel unter deren Radar durchschlüpft.

Das hat mich auch gewundert. Haben denn die Provider, angestachelt vom BSI auch allen Privatanwendern, die mit WannaCry und Co. verseucht wurden, Briefe geschrieben? Das wäre doch irgendwie durch die Medien gegangen.

... und es den - mit dem Problem womöglich überforderten - Privatanwendern überlassen, sich um Abhilfe zu bemühen?
Schon merkwürdig - in der Tat.

Erstens gilt auch hier das Verursacherprinzip. Also derjenige, der etwas verursacht, hat es auch zu beseitigen bzw. dafür ggf. geradezustehen. Wenn Du besoffen Auto fährst oder an Deinem Auto ein Rad locker ist oder eine LKW-Ladung nicht ordentlich festgezurrt ist, dann bist Du auch eine Gefahr für andere und hast es abzustellen, wenn Du angehalten und erwischt wirst, und keiner nimmt Dir diese Aufgabe ab, im Zweifel wird Dein Auto aus dem Verkehr gezogen bzw. Du für fahruntüchtig erklärt und es ist Dir untersagt, Dich weiter mit diesem Gefährt auf der Straße zu bewegen. Aber niemand nimmt Dir diese Aufgabe ab, da musst Du alleine durch, mit allen Konsequenzen.

Einen Internet-Führerschein, der evtl. entzogen werden könnte, gibt es nicht. Auch, wenn so mancher es für sinnvoll erachten würde. Aber was durchaus getan wird: Rechner/Endgeräte können ggf. vom Rest des Netzes abgeklemmt und blockiert werden, damit sie nicht weiter eine Gefahr für andere Rechner bilden.

<OT>
Bei email-Providern ist das schon seit Jahren gang und gäbe, da gibt es national und international Blacklists, RBLs, und wenn man da einmal als email-Provider draufgelangt ist, weil man sein Netz, seine Server nicht im Griff hatte und von denen eine Gefahr für andere ausgeht bzw. sie sich als offenes Relay und Spam- und Malware-Schleudern, meistens ohne Wissen des betreffenden Admins, einen unrühmlichen Namen gemacht haben, dann ist es für einen solchen Web- oder email-Provider wieder ganz schwer, von so einer Liste, die international geteilt und weitergereicht wird, runterzukommen und verlorengegangenes Vertrauen wiederzuerlangen.

So ein Server, der auf so einer Liste steht, wird schlicht und einfach nicht mehr von anderen email-Servern kontaktiert und beliefert, er wird geächtet. So lange, bis der Betreiber glaubhaft nachweisen kann, dass von seinem Rechner keine Gefahr mehr ausgeht. Und selbst das dauert dann zuweilen recht lange und ist für den betroffenden Provider teilweise und nicht selten ein sehr mühsamer und kräftezehrender Kampf. Einmal verlorenes Vertrauen an solcher Front ist nur schwer wiederherzustellen, das dauert unter Umständen teilweise Jahre, bis das wieder hergestellt ist und bis andere Provider/Server der Welt wieder mit einem reden und arbeiten wollen und einem vertrauensvoll Daten/emails weiterleiten und übereignen.

Auch die Browser-Hersteller führen übrigens solche Blacklist-Listen bzgl. nicht vertrauenswürdiger Webserver/Internetseiten, von denen Gefahr für andere ausgeht, und teilen sie untereinander, Googles Safebrowsing-Liste, von welcher u.a. neben Chrome, Firefox auch Apples Safari standardmäßig regen Gebrauch macht, ist hier als Beispiel zu nennen.
</OT>

Zumindest nicht alltäglich. Und nachdenkenswert. Auch bzgl. der Größenordnung der beanstandeten Gefahr für andere Rechner, die von dem/den betroffenen Rechnern ausgegangen ist oder evtl. immer noch ausgeht, wenn's nicht sauber behoben worden ist (deshalb nochmal die Frage: was genau haben Malwarebytes und AVG auf den Macs genau gefunden und eliminiert, die haben doch darüber Buch geführt und alles in ihre Logfiles reingeschrieben, das ist doch auch im Nachheinein einsehbar und nachvollziehbar, was die da gemacht haben), die kann dann wohl nicht klein und unbedeutend gewesen sein, wenn das schon solche Kreise gezogen hat. Und zu wenig Arbeit haben das BSI und die Telekom sicher nicht, als dass die sich um jeden einzelnen Internetnutzer persönlich kümmern wollen und dem wegen Petitessen nette Briefe nach Hause schicken, nur weil denen langweilig ist. Wenn die das machen, dann haben sie sicher auch einen triftigen Grund, und dann ist die Gefahr, um die es da geht oder ging, auch keine Petitesse sondern sicherlich durchaus von Belang aus deren Sicht, sonst würden die da sicher nicht rührig werden.

Der Telekommensch vom Abuseteam sagte, das BSI hätte in Deutschland verteilt sogenannte "Honigfallen" aufgestellt. Das sind Rechner ohne irgendeinen Schutz um Schädlinge einzufangen und zu lokalisieren. Dabei ist aufgefallen, dass von meinem Internetzugang der Schädling "CrossRider" im Mai 2017 zweimal verteilt wurde (hatte ich weiter oben schon mal geschrieben) und mich in einem Brief gebeten etwas zu unternehmen was ich auch getan habe. Dass es noch andere Schädlinge auf unseren Macs gibt (die davor sitzenden einmal ausgenommen) hat mich dann schon etwas gewundert weil es ja immer heißt Mac OSX is sicher.
Auf jeden Fall bin jetzt ich und natürlich meine Kids sensibilisiert!

Der iMac mit 10.6.8 und die daran hängenden Festplatten wird immer noch mittels Tiefenscan von Eset Cyber Security Pro (30 Tage Testversion) untersucht. Gefunden bisher >800!!! verdächtige Sachen. Die Zahl ist deshalb so hoch weil er auch das TimeMachine Backup scannt.

ja.mal abgesehen vom adware removal script (was heute eben malwarebytes ist): nein

ich denke hier wird es sich um ein stille-post-problem handeln.
entweder cliff the dau hat den telekom-mensch nicht richtig verstanden, oder der telekom-mensch hat ihm einen vom pferd erzählt, oder der telekom-mensch wusste es selber nicht besser, weil er vorher seine infos von dem anders bekommen hat und sie entweder nicht verstanden hat oder falsch interpretiert hat ..oder oder oder... was weiss ich.

was ich jedenfalls NICHT glaube:
dass das bsi - wie hier geschildert - nichts besseres zu tun hat als an provider heranzutreten, um diesen zu informieren, dass ein einzelner endverbraucher-anschluss sich ein dämliches 0815 adware-plugin in seinem browser installiert hat. son quatsch. als wär das ne globale bedrohungslage....
wenn das so wäre, würde ich mich fragen, ob die da langeweile haben.

ja aber nicht sicher vor dem mensch, der davor sitzt und alles mögliche unreflektiert aus dem netz runterläd und installiert.
sorry, aber den kram den du da so auf dem recher hattest, hast du auch selbst da drauf gepackt.

Wenn er mit seinem Rechner/seinen Rechnern Teil eines Behörden-Netzes ist oder/und mit denen zusammenarbeitet oder Teil eines Netzes ist, das einer größeren Organisation gehört, dann kann selbst das durchaus sein. Denn dann kommt eine Bedrohung aus so einem Netz von nicht unbedeutender Größe bzw. einer oder mehrere Rechner eines solchen Netzes stellen eine Gefahr für jenes Netz un darüber hinaus dar, erst recht wenn es sich um Schadsoftware handelt, welche Teil eines Botnetzes ist oder sein kann und auch genauso auch, wenn es sich um Ransomware handelt, die in nullkommanix Dir den Rechner verschlüsseln und Dir nur noch gegen Lösegeld Zutritt gewähren und die sich in einem solchen Netz rasant ausbreiten, wenn sie unentdeckt und ungehindert bleiben. Auch Macs sind von sowas mittlerweile betroffen, stehen da als Opfer und Zielplattform leider nicht mehr außen vor, entsprechende Fälle, die die Runge gemacht haben, gibt es. Wenn da dann jemand angesichts solcher Ereignisse noch wachsamer als sonst gewesen ist und reagiert hat und Schritte veranlasst, dem auf den Grund zu gehen, von woher da verdächtige Aktionen laufen, dann ist das nur gut und richtig und als verantwortungsvoll zu bezeichnen.

Das BSI ist in erster Linie dazu da, Behörden zu schützen. Aber auch für Unternehmen da zu sein, erst recht Unternehmen an empfindlichen Stellen, welche ggf. mit Behörden zusammenarbeiten bzw. die mit dem BSI zusammenarbeiten und von dieser Behörde sicherheitstechnisch betreut werden (Bundestag, Bahn oder ein anderes nicht unbedeutendes Unternehmen z.B.). Und im Zuge dessen kann es schon möglich sein, dass die Behörde sich da genötigt gefühlt hat, aktiv zu werden, um einen von ihnen betreuten Teilbereich ggf. zu schützen bzw. verdächtigen Aktionen da auf den Grund zu gehen und an den betreffenden Provider, hier die Telekom, heranzutreten und um Auskunft und Eingrenzung zu bitten.

Aber auch der einfache Bürger ist zumindest beratungstechnisch und informationstechnisch für das BSI mittlerweile Kunde, das BSI hat sich auch dem einfachen Bürger inzwischen geöffnet und steht mit Rat und Tat zur Seite, zumindest informationstechnisch über deren Webseiten, proaktiv und auf den einzelnen Bürger gezielt zugehend sicher eher nicht oder noch nicht so, dazu dürften die personellen Kapazitäten fehlen.

Genau meine Gedanken. Also irgendwas stimmt hier nicht.

@ Cliff the DAU: Magst du uns diesen Brief hier zeigen?

Immer aktiv und selbst und bewusst? Es kann nicht sein, dass ohne sein Wissen und Zutun da auf irgendeine Weise Schadprogramme auf seinen Rechner gelang sind und sei es auch z.B. durch eine Drive-by-Download-Aktion über eine entsprechend komprommitierte Webseite (sie im Browser anzeigen zu lassen und damit die Ausführung des Droppers zu initiieren, ohne dass man was merkt oder Feedback darüber bekommt, reicht ggf?)?
Quelle:


Und nochmal: was haben MalwareBytes und AVG denn auf dem/den Macs alles an Schadsoftware gefunden und eliminiert? Perfetnight war's offenbar nicht bzw. nicht alleine. Was denn noch und drüberhinaus? Cliff the DAU hat doch geschrieben, das beide da was im Nachhinein gefunden und eliminiert hätten und dass er das auch der Telekom so gemeldet hätte und dass sie sich damit erstmal zufrieden gegeben hätten. Bitte mal das betreffende Logfile posten, darin ist jener Finde- und Eliminier-Vorgang doch mit an Sicherheit grenzender Wahrscheinlichkeit sekundengenau und detailliert protokolliert. Das kann man doch benennen. Statt weiter im Trüben zu fischen und nur zu mutmaßen, was denn letztlich Ursache für die ganze Aktion gewesen ist und ob sie nun weiterhin besteht oder gebannt ist.

Sehe ich ähnlich, wie john

Und: Wenn angeblich zweimal die Malware verteilt wurde, denke ich eher an ein zu diesen Zeitpunkten eingeloggtes (verseuchtes) Gastgerät...

Und der Router als Seuchen-Quelle wurde bislang noch gar nicht in Betracht gezogen.

Hat Cliff der DAU nicht anfangs mitgeteilt gehabt, dass auf seinen Macs tatsächlich was an Schadsofttware gefunden und eliminiert worden ist? Wäre es nicht sinnvoller, erstmal und zuvorderst an dieser Stelle genau zu suchen und zu wissen und nachzuvollziehen, was da im Argen war/ist und die betreffende gefundene und eliminierte Schadsoftware mal beim Namen zu nennen? Denn offenbar war Perfetnight da nicht alleine auf den Macs sondern hat Gesellschaft gehabt. Welche, wenn ich Cliff der DAUs Ausführungen Glauben schenke, von MalwareBytes oder AVG oder beiden gefunden, benannt und entfernt worden ist. Auf den Macs. Erstmal da alles ins Reine bringen. Und für Klarheit sorgen, denn da hat es offenbar ganz konkrete Anhaltspunkte und Fakten für eine Verseuchung gegeben. Dann erst andere Geräte in Betracht ziehen als mögliche Quelle, wenn diese konkrete Plattform, bei der im Gegensatz zu anderen Geräten im Netzwerk offenbar ganz konkrete Anhaltpunkte vorgelegen haben, vollends aufgeklärt und gesäubert ist und als Herd weiterer Infektion ausgeschlossen werden kann. Eine Baustelle nach der anderen abarbeiten. Wäre das nicht eigentlich viel zielführender und sinnvoller? Erstmal die Mac-Plattform zu Ende zu untersuchen und zu reinigen und vor allem: zu verstehen, was da los war oder ist? Statt jetzt per ungezieltem Rundumschlag parallel noch weitere Baustellen aufzumachen und an mehreren Fronten gleichzeitig zu kämpfen und im Nebel herumzustochern?

Halt mal den Ball flach, du Dose und komm wieder runter.

sorry ich les deine romane einfach nicht.
oder kurz: tl;dr

Lol

Selber. Geht's auch freundlich? Ich habe Dir nix getan. Mal nicht nervös werden und sich im Ton vergreifen und immer schön nett und höflich bleiben, OK? Kriegen wir das hin, Du und ich?

<OT>
john:

Musst Du auch nicht, niemand zwingt Dich dazu. Danke für Deine überaus hilfreiche Wortspende, die uns jetzt wieder ein Stück weiter gebracht hat in der Sache, damit hast Du dem Fragesteller und allen anderen Interessierten in der zugrundeliegenden Sache jetzt sehr viel geholfen.

John, mach's doch einfach besser, teile dieselbe Information mit wie ich, nur kürzer, dann muss ich's nicht machen und kann mich entspannt zurücklehnen, weil Du ja schon ausreichend informierst und hilfst. Gelle? Machen, john. Einfach selber und besser machen als ich. Nicht den anderen anmosern, dass er macht statt Deiner und ihn dafür anpöbeln. Ich genieße es durchaus, wenn Du mal machst und hilfst.

Können wir diese persönlichen Animositäten und Pöbeleien nicht beiseite lassen? Muss das sein? Wem hilft das? Das kann man sich nicht einfach mal verkneifen? Ist das zielführend? Ist das hilfreich? Ist das sinnvoll im Sinne einer angenehmen und freundlichen Forumskultur, eines freundlichen und hilfsbereiten Miteinanders (statt Gegeneinanders)?
</OT>