Hallo,
auf dem Computer meiner Eltern Imac21 2013 taucht die Fehlermeldung auf:
"Skilledobjectd beschädigt Deinen Computer".
Scheinbar ist das kein Riesenproblem, sondern Adware. Doch auf den Seiten, die das kommentieren wird am Ende immer auf Antiviren-Apps verwiesen, aber kein vernünftiger Hinweis, welche Dateien zu löschen sind, gegeben. Hat jemand Erfahrung damit?

Die Datei: com.SkilledObjectd.service.plist und com.SkilledObjectd.system.plist habe ich gelöscht, aber sie installiert sich immer wieder...
Danke für Hinweise...

Wenn sie sich – auch nach einem Neustart – wieder installiert, dann muss der Schädling persistent sein, also nach einem Neustart erneut automatisch gestartet werden.

Also schau in den entsprechenden Ordnern (/Library/LaunchDaemons/, /Library/LaunchAgents/, /Benutzer/nutzername/Library/LaunchAgents/) nach, ob Du eine jüngst hinzugekommene (im Finder/Listenansicht Spalte Hinzugefügt am einschalten) seltsame plist entdeckst oder in Systemeinstellungen → Benutzer & Gruppen → Anmeldeojekte einen seltsamen Eintrag.

Auch mal in den Systemeinstellungen schauen, dort installieren einige Ad-/Malwareprogramme ein Profil, sofern das vorhanden ist, auch dieses entfernen.
Malwarebytes könnte ggf. die Ad-/Malware finden und löschen, dafür reicht die kostenlose Version, man muss das Programm also nicht kaufen.

Malwarebytes ist die Waffe der Wahl in diesem Fall.

Oder von Objective-See: KnockKnock:
Das läuft nicht dauernd im Hintergrund, sondern Du scannst nach Bedarf nach dem, was persistent auf Deinem Mac installiert ist.

Danke Euch! Jetzt habe ich malwarebytes drüber laufen lassen und das hat folgende Entdeckungen gemacht:


Hoffe soweit gelöst!

Danke für den Tipp: Jetzt habe ich die LauchAgents auch mal angeschaut, war noch einiges altes Zeug drin, dass auch weg konnte!

bis helga wieder alles anklickt

Aber all diese Dateien sind passiv und stellen absolut kein Problem dar, solange sie nicht von irgendeinem Prozess gestartet werden. Und diesen Prozess hat Malwarebytes ganz offenkundig nicht gefunden.
Das Kernproblem offenkundig noch nicht. Irgendetwas startet bei Dir ungewollt Prozesse.

Ich verstehe nicht, warum alle Malwarebytes so toll finden. Die von udrabo genannte Software ist da weit hilfreicher.

Das ist doch eigentlich wirklich ganz simpel: Ein Computervirus ist nichts als eine Software und die kann nur aktiv werden, wenn sie gestartet wird. Also muss man den Startmechanismus finden. Das ist entweder eine Plist in den oben von mir genannten Ordern oder in den Startobjekten in Systemeinstellungen, oder es ist ein Trojaner in einem Programm, das der Nutzer selbst startet oder ein Plugin für ein Programm, das der Nutzer selbst startet. Mehr Möglichkeiten gibt es nicht. Nichts davon trifft auf die von Malwarebytes gefundenen Dateien zu; die sind also nicht der Kern des Problems.

Wo waren diese Dateien eigentlich, in einem Library/Preferences-Ordner? Und bleiben sie jetzt gelöscht?

Nicht vergessen:
Systemeinstellungen Benutzer Startobjekte

Von dort könnten die Prozesse, die von launchd gestartet werden, wieder nachinstalliert werden (also die Plist-Dateien die dann auch gleich gestartet werden können).
So was kann sich auch in den Bedienungshilfen verstecken.

Wie das? Was kann sich da verstecken?

Doch, denn der .mitmproxy ist ein ausführbarer Prozess, der automatisch wieder die bösartigen Dateien installiert, wenn man sie gelöscht haben sollte.

Die Dinger in /Application Support sind vermutlich cron jobs, die in regelmäßigen Abständen Webinhalte aufrufen, um dort Werbeskripte abzuspulen, die Geld generieren, und gegebenenfalls auch zu prüfen, ob noch alles installiert ist.

Wie das? .mitmproxy mag ausführbar sein, aber das ist doch nur ein Potential. Damit der Code tatsächlich ausgeführt wird, muss er von irgendwoher gestartet werden. Das wird er ja nicht schon, bloß weil er im root-Verzeichnis liegt.

Können sich nicht auch in Programmdateien im Programmeordner solche „Startobjekte“ verstecken? Wenn da wer eine „eigene“ Library unterbringt, dann wird die doch auch vom System „ausgewertet“ auch wenn das Programm selber garnicht läuft. Ich meine zumindest, das mir sowas schon begegnet ist...

Ich glaube auch, daß z.B. Vox so ein Helferlein mitbringt, das ich nur durch Löschen aus dem Programm-Package abschalten konnte. Ist aber lange her, mag mich irren.
Außerdem habe ich mal gelesen, daß manche Programme auch hier einen Autostart eintragen können:
/private/var/db/com.apple.xpc.launchd
Service Management Framework
Aber halt nur mal gelesen, also ohne weitere eigene Kenntnisse davon.

Ich weiß nicht wirklich, worauf Du dich beziehst. Das System wertet im Programmeordner überhaupt nichts Spezielles aus; dieser Ordner hat ja keine besondere Funktion, da du Programme schließlich starten kannst von welchem Ort aus immer Du willst.

Sobald du irgendwo ein Programm speicherst, durchsucht das System das sofort nach angebotenen Diensten, zum Öffnen welcher Dateitypen es sich anbietet, nach evtl. QuickLook-Plugins und nach der AppleScript-API (hab’ ich was vergessen?).

Aber der einzige Programmcode, der da zwar nicht automatisch beim Anmelden des Nutzers, wohl aber automatisch bei Betrachten einer entsprechenden Datei im Finder ausgeführt wird, ist der Code im QuickLook-Plugin. Doch wenn der irgendetwas anderes als Leserechte hätte, wäre das eine riesige Sicherheitslücke in macOS.

Ich denke, das Gefährlichste für die Persistenz sind Trojaner, also Programme, die etwas gänzlich anderes (ggf. zusätzlich) tun, als sie dem Nutzer vorgaukeln. Wenn die dem Nutzer suggerieren, es sei nützlich, sie kontinuierlich laufen zu lassen, und in macOS eingestellt ist, dass nach einem Neustart wieder alle Programme geöffnet werden, die zuvor liefen, dann wird natürlich auch das Trojanerprogramm erneut gestartet. Aber das ist wieder Human Engineering, das einzige wirklich taugliche Gegenmittel ist da Brain 2.0.

Wie gesagt, die "Application Support" Geschichten sind möglicherweise cronjobs, die diesen Prozess regelmäßig erneut starten.

Zumindest scheinen einige andere Malware-Programme so zu funktionieren.

Was ist denn „Vox“ und was tat diese Helferlein, dass Du es abschalten wolltest?
Ja, das stimmt, wobei Deine beiden Zeilen dasselbe bezeichnen: Programme können für sich selbst einen Autostart einschalten mit Hilfe des so genannten Service Management Framework (einer macOS-Programmierschnittstelle), und das wird dann in /private/var/db/com.apple.xpc.launchd/loginitems.nnn.plist eingetragen. Der Unterschied zu den anderen Methoden ist, dass das nur eine von einem von Apple zertifizierten Entwickler erstellte App für sich selbst eintragen kann (möglicherweise muss die App mittlerweile auch notarisiert sein, das weiß ich jetzt nicht aus dem Stegreif); ein Virus kann das also nicht. Eine Trojaner-App von einem von Apple zertifizierten Entwickler (soll’s ja geben), ggf. auch noch notarisiert, könnte das aber.

Womit wir wieder beim Trojaner, Human Engineering und Brain 2.0 wären. Gegen eine App, die Nutzer und Apple über ihre wahren Aktivitäten hinwegtäuschen kann, ist prinzipbedingt kein Kraut gewachsen.

Aber ich hätte diesen Ordner mit erwähnen sollen, das stimmt. Und weil wir gerade bei Versäumnissen sind:Ja, hab ich. Obigen Ordner eben, und dann noch /Library/StartupItems, Spotlight Importers, Browser Extensions, macOS Extensions, cron jobs. Ich werde alt …

Wem es auch so geht, der sei nochmals erinnert anDieses kleine Programm listet alles auf, was zu persistenten Einträgen führen kann.

Ich versteh’s immer noch nicht. Was hat eine Datei, die in Library/Application Support liegt, mit cron jobs zu tun?

Eine Datei, die du in Library/Application Support ablegst, bleibt völlig passiv und aktiviert doch nicht cron!?!

Es wurde weiter oben schon mal kurz erwähnt, aber bisher scheinbar übersehen:

Das gefährlichste sind aktuell Configuration Profiles!

Nicht wenige Malware nutzt mittlerweile diese überaus mächtige Möglichkeit – d.h. konkret, man sollte auf alle Fälle sicherstellen, dass keine MDM Profiles auf der Maschine installiert sind, die man da nicht haben will.

Im Normalfall sieht man Profile in den Systemeinstellungen als extra (neuen) Menüpunkt.

PS: Es gibt aber natürlich auch "gute" Profile, entweder von einer Firma installierte (um die Geräteflotte zentralisiert verwalten zu können), oder auch selbst erstellte für alle möglichen Anwendungsfälle.

Verwechslung:
Systemeinstellungen Sicherheit Datenschutz Bedienungshilfen (und auch weitere - man glaubt gar nicht, was sich da tummelt)
Eventuell könnte ein Tool, dass irgendwo auf die Platte, also außerhalb seiner Sandbox, Dateien schreibt dort auftauchen.