Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Skilledobjectd beschädigt Deinen Computer
Skilledobjectd beschädigt Deinen Computer
macymesser
02.03.21
16:10
Hallo,
auf dem Computer meiner Eltern Imac21 2013 taucht die Fehlermeldung auf:
"Skilledobjectd beschädigt Deinen Computer".
Scheinbar ist das kein Riesenproblem, sondern Adware. Doch auf den Seiten, die das kommentieren wird am Ende immer auf Antiviren-Apps verwiesen, aber kein vernünftiger Hinweis, welche Dateien zu löschen sind, gegeben. Hat jemand Erfahrung damit?
Die Datei: com.SkilledObjectd.service.plist und com.SkilledObjectd.system.plist habe ich gelöscht, aber sie installiert sich immer wieder...
Danke für Hinweise...
Hilfreich?
0
Kommentare
Weia
02.03.21
16:26
macymesser
Die Datei: com.SkilledObjectd.service.plist und com.SkilledObjectd.system.plist habe ich gelöscht, aber sie installiert sich immer wieder...
Wenn sie sich – auch nach einem Neustart – wieder installiert, dann muss der Schädling persistent sein, also nach einem Neustart erneut automatisch gestartet werden.
Also schau in den entsprechenden Ordnern (
/Library/LaunchDaemons/
,
/Library/LaunchAgents/
,
/Benutzer/
nutzername
/Library/LaunchAgents/
) nach, ob Du eine jüngst hinzugekommene (im
Finder
/
Listenansicht
Spalte
Hinzugefügt am
einschalten) seltsame plist entdeckst oder in
Systemeinstellungen
→
Benutzer & Gruppen
→
Anmeldeojekte
einen seltsamen Eintrag.
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
+3
bestbernie
02.03.21
16:32
Auch mal in den Systemeinstellungen schauen, dort installieren einige Ad-/Malwareprogramme ein Profil, sofern das vorhanden ist, auch dieses entfernen.
Malwarebytes könnte ggf. die Ad-/Malware finden und löschen, dafür reicht die kostenlose Version, man muss das Programm also nicht kaufen.
Hilfreich?
+2
spheric
02.03.21
17:15
Malwarebytes ist die Waffe der Wahl in diesem Fall.
„Früher war auch schon früher alles besser!“
Hilfreich?
+1
udrabo
02.03.21
17:43
Oder von Objective-See: KnockKnock:
Das läuft nicht dauernd im Hintergrund, sondern Du scannst nach Bedarf nach dem, was persistent auf Deinem Mac installiert ist.
Hilfreich?
+3
macymesser
02.03.21
18:26
Danke Euch! Jetzt habe ich malwarebytes drüber laufen lassen und das hat folgende Entdeckungen gemacht:
Hoffe soweit gelöst!
Hilfreich?
+1
macymesser
02.03.21
18:33
Weia
Wenn sie sich – auch nach einem Neustart – wieder installiert, dann muss der Schädling persistent sein, also nach einem Neustart erneut automatisch gestartet werden.
Also schau in den entsprechenden Ordnern (
/Library/LaunchDaemons/
,
/Library/LaunchAgents/
,
/Benutzer/
nutzername
/Library/LaunchAgents/
) nach, ob Du eine jüngst hinzugekommene (im
Finder
/
Listenansicht
Spalte
Hinzugefügt am
einschalten) seltsame plist entdeckst oder in
Systemeinstellungen
→
Benutzer & Gruppen
→
Anmeldeojekte
einen seltsamen Eintrag.
Danke für den Tipp: Jetzt habe ich die LauchAgents auch mal angeschaut, war noch einiges altes Zeug drin, dass auch weg konnte!
Hilfreich?
0
john
02.03.21
18:34
Hoffe soweit gelöst!
bis helga wieder alles anklickt
„biete support. kostenlos, kompetent und freundlich. wähle zwei.“
Hilfreich?
+4
Weia
02.03.21
18:45
macymesser
Danke Euch! Jetzt habe ich malwarebytes drüber laufen lassen und das hat folgende Entdeckungen gemacht:
Aber all diese Dateien sind passiv und stellen absolut kein Problem dar, solange sie nicht von irgendeinem Prozess gestartet werden. Und diesen Prozess hat
Malwarebytes
ganz offenkundig nicht gefunden.
Hoffe soweit gelöst!
Das Kernproblem offenkundig noch nicht. Irgendetwas startet bei Dir ungewollt Prozesse.
Ich verstehe nicht, warum alle
Malwarebytes
so toll finden. Die von
udrabo
genannte Software ist da weit hilfreicher.
Das ist doch eigentlich wirklich ganz simpel: Ein Computervirus ist nichts als eine Software und die kann nur aktiv werden, wenn sie
gestartet
wird. Also muss man den
Startmechanismus
finden. Das ist entweder eine Plist in den oben von mir genannten Ordern oder in den Startobjekten in
Systemeinstellungen
, oder es ist ein Trojaner in einem Programm, das der Nutzer selbst startet oder ein Plugin für ein Programm, das der Nutzer selbst startet. Mehr Möglichkeiten gibt es nicht. Nichts davon trifft auf die von
Malwarebytes
gefundenen Dateien zu; die sind also nicht der Kern des Problems.
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
+4
Weia
02.03.21
19:14
macymesser
Die Datei: com.SkilledObjectd.service.plist und com.SkilledObjectd.system.plist habe ich gelöscht, aber sie installiert sich immer wieder...
Wo waren diese Dateien eigentlich, in einem
Library/Preferences
-Ordner? Und bleiben sie jetzt gelöscht?
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
0
ssb
02.03.21
20:06
Nicht vergessen:
Systemeinstellungen
Benutzer
Startobjekte
Von dort könnten die Prozesse, die von launchd gestartet werden, wieder nachinstalliert werden (also die Plist-Dateien die dann auch gleich gestartet werden können).
So was kann sich auch in den Bedienungshilfen verstecken.
Hilfreich?
0
Weia
02.03.21
20:08
ssb
So was kann sich auch in den Bedienungshilfen verstecken.
Wie das? Was kann sich da verstecken?
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
0
spheric
02.03.21
20:51
Weia
macymesser
Danke Euch! Jetzt habe ich malwarebytes drüber laufen lassen und das hat folgende Entdeckungen gemacht:
Aber all diese Dateien sind passiv und stellen absolut kein Problem dar, solange sie nicht von irgendeinem Prozess gestartet werden. Und diesen Prozess hat
Malwarebytes
ganz offenkundig nicht gefunden.
Doch, denn der .mitmproxy ist ein ausführbarer Prozess, der automatisch wieder die bösartigen Dateien installiert, wenn man sie gelöscht haben sollte.
Die Dinger in /Application Support sind vermutlich cron jobs, die in regelmäßigen Abständen Webinhalte aufrufen, um dort Werbeskripte abzuspulen, die Geld generieren, und gegebenenfalls auch zu prüfen, ob noch alles installiert ist.
„Früher war auch schon früher alles besser!“
Hilfreich?
0
Weia
02.03.21
20:58
spheric
Weia
Aber all diese Dateien sind passiv und stellen absolut kein Problem dar, solange sie nicht von irgendeinem Prozess gestartet werden. Und diesen Prozess hat
Malwarebytes
ganz offenkundig nicht gefunden.
Doch, denn der .mitmproxy ist ein ausführbarer Prozess, der automatisch wieder die bösartigen Dateien installiert, wenn man sie gelöscht haben sollte.
Wie das?
.mitmproxy
mag ausführ
bar
sein, aber das ist doch nur ein Potential. Damit der Code tatsächlich ausgeführt wird, muss er von irgendwoher gestartet werden. Das wird er ja nicht schon, bloß weil er im
root
-Verzeichnis liegt.
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
0
MikeMuc
02.03.21
22:04
Können sich nicht auch in Programmdateien im Programmeordner solche „Startobjekte“ verstecken? Wenn da wer eine „eigene“ Library unterbringt, dann wird die doch auch vom System „ausgewertet“ auch wenn das Programm selber garnicht läuft. Ich meine zumindest, das mir sowas schon begegnet ist...
Hilfreich?
0
almdudi
02.03.21
23:47
Ich glaube auch, daß z.B. Vox so ein Helferlein mitbringt, das ich nur durch Löschen aus dem Programm-Package abschalten konnte. Ist aber lange her, mag mich irren.
Außerdem habe ich mal gelesen, daß manche Programme auch hier einen Autostart eintragen können:
/private/var/db/com.apple.xpc.launchd
Service Management Framework
Aber halt nur mal gelesen, also ohne weitere eigene Kenntnisse davon.
Hilfreich?
0
Weia
03.03.21
00:31
MikeMuc
Können sich nicht auch in Programmdateien im Programmeordner solche „Startobjekte“ verstecken? Wenn da wer eine „eigene“ Library unterbringt, dann wird die doch auch vom System „ausgewertet“ auch wenn das Programm selber garnicht läuft.
Ich weiß nicht wirklich, worauf Du dich beziehst. Das System wertet im Programmeordner überhaupt nichts Spezielles aus; dieser Ordner hat ja keine besondere Funktion, da du Programme schließlich starten kannst von welchem Ort aus immer Du willst.
Sobald du
irgendwo
ein Programm speicherst, durchsucht das System das sofort nach angebotenen Diensten, zum Öffnen welcher Dateitypen es sich anbietet, nach evtl. QuickLook-Plugins und nach der AppleScript-API (hab’ ich was vergessen?).
Aber der einzige Programmcode, der da zwar nicht automatisch beim Anmelden des Nutzers, wohl aber automatisch bei Betrachten einer entsprechenden Datei im
Finder
ausgeführt wird, ist der Code im QuickLook-Plugin. Doch wenn der irgendetwas anderes als
Lese
rechte hätte, wäre das eine riesige Sicherheitslücke in macOS.
Ich denke, das Gefährlichste für die Persistenz sind Trojaner, also Programme, die etwas gänzlich anderes (ggf. zusätzlich) tun, als sie dem Nutzer vorgaukeln. Wenn die dem Nutzer suggerieren, es sei nützlich, sie kontinuierlich laufen zu lassen, und in macOS eingestellt ist, dass nach einem Neustart wieder alle Programme geöffnet werden, die zuvor liefen, dann wird natürlich auch das Trojanerprogramm erneut gestartet. Aber das ist wieder Human Engineering, das einzige wirklich taugliche Gegenmittel ist da Brain 2.0.
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
+1
spheric
03.03.21
00:37
Weia
spheric
Weia
Aber all diese Dateien sind passiv und stellen absolut kein Problem dar, solange sie nicht von irgendeinem Prozess gestartet werden. Und diesen Prozess hat
Malwarebytes
ganz offenkundig nicht gefunden.
Doch, denn der .mitmproxy ist ein ausführbarer Prozess, der automatisch wieder die bösartigen Dateien installiert, wenn man sie gelöscht haben sollte.
Wie das?
.mitmproxy
mag ausführ
bar
sein, aber das ist doch nur ein Potential. Damit der Code tatsächlich ausgeführt wird, muss er von irgendwoher gestartet werden. Das wird er ja nicht schon, bloß weil er im
root
-Verzeichnis liegt.
Wie gesagt, die "Application Support" Geschichten sind möglicherweise cronjobs, die diesen Prozess regelmäßig erneut starten.
Zumindest scheinen einige andere Malware-Programme so zu funktionieren.
„Früher war auch schon früher alles besser!“
Hilfreich?
0
Weia
03.03.21
02:46
almdudi
Ich glaube auch, daß z.B. Vox so ein Helferlein mitbringt, das ich nur durch Löschen aus dem Programm-Package abschalten konnte. Ist aber lange her, mag mich irren.
Was ist denn „Vox“ und was tat diese Helferlein, dass Du es abschalten wolltest?
Außerdem habe ich mal gelesen, daß manche Programme auch hier einen Autostart eintragen können:
/private/var/db/com.apple.xpc.launchd
Service Management Framework
Ja, das stimmt, wobei Deine beiden Zeilen dasselbe bezeichnen: Programme können für sich selbst einen Autostart einschalten mit Hilfe des so genannten
Service Management Framework
(einer macOS-Programmierschnittstelle), und das wird dann in
/private/var/db/com.apple.xpc.launchd/loginitems.nnn.plist
eingetragen. Der Unterschied zu den anderen Methoden ist, dass das nur eine von einem von Apple zertifizierten Entwickler erstellte App
für sich selbst
eintragen kann (möglicherweise muss die App mittlerweile auch notarisiert sein, das weiß ich jetzt nicht aus dem Stegreif); ein Virus kann das also nicht. Eine Trojaner-App von einem von Apple zertifizierten Entwickler (soll’s ja geben), ggf. auch noch notarisiert, könnte das aber.
Womit wir wieder beim Trojaner, Human Engineering und Brain 2.0 wären. Gegen eine App, die Nutzer und Apple über ihre wahren Aktivitäten hinwegtäuschen kann, ist prinzipbedingt kein Kraut gewachsen.
Aber ich hätte diesen Ordner mit erwähnen sollen, das stimmt. Und weil wir gerade bei Versäumnissen sind:
Weia
Sobald du
irgendwo
ein Programm speicherst, durchsucht das System das sofort nach angebotenen Diensten, zum Öffnen welcher Dateitypen es sich anbietet, nach evtl. QuickLook-Plugins und nach der AppleScript-API (hab’ ich was vergessen?).
Ja, hab ich. Obigen Ordner eben, und dann noch
/Library/StartupItems
, Spotlight Importers, Browser Extensions, macOS Extensions, cron jobs. Ich werde alt …
Wem es auch so geht, der sei nochmals erinnert an
udrabo
Oder von Objective-See: KnockKnock:
Das läuft nicht dauernd im Hintergrund, sondern Du scannst nach Bedarf nach dem, was persistent auf Deinem Mac installiert ist.
Dieses kleine Programm listet alles auf, was zu persistenten Einträgen führen kann.
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
+1
Weia
03.03.21
02:51
spheric
Wie gesagt, die "Application Support" Geschichten sind möglicherweise cronjobs, die diesen Prozess regelmäßig erneut starten.
Ich versteh’s immer noch nicht. Was hat eine Datei, die in
Library/Application Support
liegt, mit cron jobs zu tun?
Eine Datei, die du in
Library/Application Support
ablegst, bleibt völlig passiv und aktiviert doch nicht
cron
!?!
„🦖The dinosaurs invented Jesus to test our confidence in science“
Hilfreich?
+1
Marcel_75@work
03.03.21
09:08
Es wurde weiter oben schon mal kurz erwähnt, aber bisher scheinbar übersehen:
Das gefährlichste sind aktuell Configuration Profiles!
Nicht wenige Malware nutzt mittlerweile diese überaus mächtige Möglichkeit – d.h. konkret, man sollte auf alle Fälle sicherstellen, dass keine MDM Profiles auf der Maschine installiert sind, die man da nicht haben will.
Im Normalfall sieht man Profile in den Systemeinstellungen als extra (neuen) Menüpunkt.
PS: Es gibt aber natürlich auch "gute" Profile, entweder von einer Firma installierte (um die Geräteflotte zentralisiert verwalten zu können), oder auch selbst erstellte für alle möglichen Anwendungsfälle.
Hilfreich?
+1
ssb
03.03.21
11:27
Weia
ssb
So was kann sich auch in den Bedienungshilfen verstecken.
Wie das? Was kann sich da verstecken?
Verwechslung:
Systemeinstellungen
Sicherheit
Datenschutz
Bedienungshilfen (und auch weitere - man glaubt gar nicht, was sich da tummelt)
Eventuell könnte ein Tool, dass irgendwo auf die Platte, also außerhalb seiner Sandbox, Dateien schreibt dort auftauchen.
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.