Bin auf soeben auf eine Seite von rackcdn weitergeleitet worden. Da wurde behauptet, ich hätte mir 3 Viren eingefangen. Ich habe zwar nichts angeklickt, aber es hat sich dann doch nach dem Verlassen etwas heruntergeladen, das nicht in den Downloads auftaucht, aber auch keine Authentifizierung angefordert hat. Was sich an Safari geändert hat ist, dass sich die Seite von rackcdn auf meiner Leseliste eingenistet hat. Ob ich Startpage in Safari als Homepage eingerichtet hatte, weiß ich nicht mehr genau. Malwarebites und Bitdefender zeigen nichts an. Könnte es sein, dass nicht Großes passiert ist?

Wie sich die Bilder gleichen: Solche Meldungen kommen immer wieder mal.

Bei rackcdn handelt es sich offenbar um Adware. Google kennt zahlreiche Fundstellen mit Tips zum Entfernen.

Natürlich nicht auf die angezeigten Links klicken!

Lass mal den kostenlosen Scan von Malwarebytes über deinen Rechner laufen. Das Tool zeigt an, ob Malware vorhanden ist und kann sie meist auch entfernen.

Das ist nichts weiter als unseriöse Werbung welche in Safari hin und wieder erscheint.
Damit soll der unbedarfte User nur verunsichert werden.
Im schlechtesten Fall holst Du Dir damit erst einen Schädling ins Boot.

Auf jeden Fall ignorieren und nichts anklicken.

Meines Wissens nach können solche Anbieter über Safari garnicht erkennen ob Du einen Virus hast.
Die gehen einfach auf Dummenfang.

Hat jetzt ein wenig gedauert, nachdem ich bis zum Morgengrauen an dem Problem geknabbert habe. Nachdem ich Bitdefender die ganze Festplatte habe scannen lassen hat er tatsächlich etwas gefunden, und zwar den MAC.Slayer. F im Downloadordner. Muss ich mir wohl eingefangen haben, nachdem ich nach dem auf dem o.a. Screenshot genannten Wurm gegoogelt habe. So eine unglaubliche Hinterhältigkeit! War jedenfalls im Downloadordner nicht sichtbar, dann MAC.Slayer über Bitdefender gelöscht, Papierkorb geleert und neu gestartet. Wenn ich das richtig verstehe kann dieser MAC.Slayer.F einiges Unheil anrichten. Aber er war ja wohl noch noch nicht installiert. Danke an 'coffee' auch für den Verweis auf den anderen Thread. Ganz so schlimm sieht's bei mir wohl nicht aus. Gehe eigentlich auf keine obskuren Seiten und klicke auf keine Links in Emails. Zudem habe ich auch drei Benutzer, einen ausschließlich als Admin, einen für die Banküberweisungen und einen für den Rest, die letzten beiden als Standardaccounts. Was meint ihr, was ich jetzt tun soll? Rechner neu aufsetzen? Komplett neue Passwörter? Da ich mir die nächsten beiden Tage aus dem Kalender streichen. Aber wenn's sein muß, mach ich's natürlich. Wie kann ich mich am besten in Zukunft schützen? Habe in Safari Ublock installiert, aber so wie im vorliegenden Fall erhält man dann die Meldung, dass man die Seite nicht lesen könne, und deaktiviert das dann eben. Wie kann man denn dauerhaft verhindern, dass man von einer Webseite ohne weiteres Zutun nur durch deren Besuch infiziert wird?

Nur durch den Besuch auch noch so fragwürdiger Seiten (was ich dir nicht unterstelle, nur zur Klarheit) kannst du dir deinen Mac nicht infizieren. Das schlimmste, was passieren kann, ist das im Download-Ordner irgendwelcher Müll rumlungert. Damit sich Schadsoftware auf dem Mac breit machen kann ist es notwendig, das Komponenten von ihr an bestimmten Stellen im System abgelegt wird. Und dort wiederum ist nur nach Eingabe eines Admin-Kennwortes eine Änderung möglich. Solange nicht im falschen Moment stumpfsinnig das Kennwort eingetippt wird, nur weil wer auch immer danach verlangt kann nichts passieren. Immer dran denken, die größte Schwachstelle im System ist der Mensch, der am Computer sitzt
Bei irgendwelchem Dreck, der die Standard-Suchmaschine ändert oder die Startseite im Browser mag das anders sein, da bin ich mir gerade nicht sicher. Aber sowas ist nur lästig, kann darüber hinaus aber keinen echten Schaden anrichten.

Leider doch. Siehe:

Wikipedia (de): Drive-by-Download

Der Cache-Ordner des Browsers ist dann oft ein erster Ort, wo eine dadurch evtl. unfreiwillig und unbemerkt eingefangene maliziös präparierte Webseite ggf. nebst maliziösem Beifang auf der Festplatte abgelegt wird.

sierkb

wer lesen kann ist klar imVorteil

Ich hab extra was von Mac geschrieben. Für windows ist das was anderes. Da wir hier aber in einem Mac-Forum sind interessieren andere Systeme nur am Rand.

maculi:

Das hat mit Mac oder Windows oder irgendeinem anderen Betriebssystem nichts zu tun und gilt plattformübergreifend grundsätzlich, also selbstverständlich auch beim Mac, Smartphone etc. und jedem x-beliebigen Web-Browser, den Du drauf benutzt und jeder x-beliebigen Webseite, die Du damit betrachtest. Betrachtest Du eine x-beliebige Webseite (z.B. MTN) via Web-Browser, steuerst sie an, landet sie automatisch im Browser-Cache-Ordner (sofern der nicht komplett ausgeschaltet ist). Und somit auch jede ggf. maliziöse Webseite bzw. ihr maliziöser Beifang, den sie ggf. im Schlepptau hat, solltest Du unwissentlich draufgetappt sein. Hat der betreffende Web-Browser auch noch eine Sicherheitslücke, wo sich das entspr. präparierte Zeugs ggf. einklinken kann, geht's damit ggf. weiter, Anschauen/Ansteuern so einer Webseite reicht, ist aus Sicht des Schädlings die Ausführung (automatisch vorgenommen durch den Browser).

Wie auf Wikipedia angegeben, so ist es mir passiert, einfach durch das Aufrufen der Seite hat sich Malware geladen. Vielen Dank für den hilfreichen Hinweis. Habe nun in Safari den JS Blocker 5.2.2 installiert. Blockiert erst mal alles, bis man etwas freigibt. In Anbetracht der vielen maliziösen Webseiten sollte so etwas eigentlich ein Standardfeature von Safari sein.

Es passierte am Beginn von Freitag dem 13.

Wie schaltet man den denn aus? Schreibberechtigung entziehen?
Ich frag mich schon lange, wieso Safari Unmengen an Dateien in mehreren Caches speichert. Wenn ich eine Webseite speichern will, speichere ich sie - und aus dem Cache, offline, kann ich sie sowieso nicht aufrufen. Und schnellere Laden bei mehrfachem Ausrufen? Wenn ich eine Webseite aufrufe, will ich die aktuelleste Version, nicht irgendetwas aus früheren Zeiten. Also wozu überhaupt ein Browser-Cache?

Wozu den Cache, zum Beispiel dieser Thread mit deinem Post hast du dann alles, was bisher gepostet wurde zuzüglich der feststehenden Elemente, wie Logo oben, Kommentarfelder, eventuell gepostete Bilder und die unteren links wie Bereiche, interaktiv etc im Cache gespeichert, rufst du jetzt diesen Thread wieder auf, werden diese Elemente nicht mehr geladen, sondern nur noch das was sich verändert hat, zum Beispiel mein jetziger Post.
Ähnlich ist es bei allen anderen Webseiten, neben den neuen und veränderten Informationen gibt es vieles, was unverändert ist und das erspart einiges an Ladezeit und ggf. auch an Download Volumen, gerade bei mobilen Geräten.

Also, wenn ich das richtig verstehe, der Cache unterscheidet intelligent zwischen geänderten und unveränderten Teilen der Seite? Muß ich mal versuchen, auszutesten. Subjektiv habe ich da bisher keinen Unterschied gesehen beim Laden - und ich habe eine Zeitlang vor dem Backup häufig diese (scheinbar?) unnötig großen Cacheordner gelöscht. Und ich habe eigentlich eine eher lahme Internetanbindung.
Aber das wäre eine clevere Lösung.

Dasselbe Ding ist einem Bekannten von mir vor ein paar Tagen auch begegnet, ist wohl gerade im Umlauf.

Dieses Zeugs nennt man Social Engineering: Nachdem Computer immer sicherer werden, konzentrieren sich Fieslinge zunehmend auf die unausrottbare Schwachstelle Nr. 1: den Nutzer, den man zwar nicht bei Bits und Bytes, wohl aber bei seiner Psyche packen kann.

Wenn die recht aufgeregten und diffus formulierten Beiträge von Lieven seinen inneren Zustand spiegeln, dann haben die Fieslinge die Hälfte ihres Zieles schon erreicht: Den Nutzer in einen so fahrigen Zustand zu versetzen, dass die Wahrscheinlichkeit steigt, dass er etwas Unüberlegtes tut (z.B. auf den Jetzt scannen-Button klickt).

Die erste Regel, wenn einem so etwas begegnet, lautet daher: Kühlen und klaren Kopf bewahren und in Ruhe und nüchtern überlegen, was plausibel ist. In diesem Fall sähe das etwa so aus:

• Was soll denn eine „Seite von rackcdn“ sein? Ist damit rackcdn.com gemeint, also die Domain? Falls ja, sollte man das auch so formulieren.
• Die Webseite zeigt das Apple-Logo. Wieso kommt sie dann nicht von apple.com, sondern von rackcdn.com?
• Wieso wird die Warnung nicht von macOS erzeugt, sondern ausgerechnet von einer Webseite in Safari?
• Wie sollte Safari bzw. eine dort geladene Webseite überhaupt in der Lage sein, zu erkennen, ob auf dem macOS des Rechners Viren sind? Safari ist gegenüber dem restlichen macOS komplett abgeschirmt.
• Und noch extremer: Wie sollte eine Webseite sogar dazu in der Lage sein, den Mac zu „reparieren“, also tief ins Dateisystem einzugreifen?
• Wie wahrscheinlich ist es, dass, nachdem bislang keinerlei Probleme bekannt waren, urplötzlich gleich drei Schädlinge gefunden werden?
• Was soll die absurde, pseudowissenschaftliche Angabe bedeuten, es bestehe ein Systemschaden von 28,1%? 28,1% von was?
• Was hat es mit dem angeblichen Virus e.tre456_worm_osx auf sich? (Einmal e.tre456_worm_osx in Google eingegeben würde sofort zeigen, dass das Fake ist.)
• Wieso sagt das Dialogfenster, man solle OK drücken, wenn der Button doch Jetzt scannen heißt?
• Wieso heißt der Button Jetzt scannen, wenn doch angeblich bereits eine Sicherheitsprüfung (= ein Scan) stattgefunden hat, die 3 Schädlinge gefunden hat, und es jetzt angeblich um das Entfernen dieser Schädlinge geht?
• Was soll der absurde Hinweis, es verblieben 4 Minuten und soundsoviel Sekunden, bis das „System vollständig zerstört wird“? Ein bösartiger Virus, der die gesamte Platte löscht, könnte zwar prinzipiell einen Timer enthalten und einen solch genauen Wert festlegen; aber wie soll eine Sicherheitsroutine, die den Virus findet, von außen erkennen können, wann genau er zuschlägt? Und wie plausibel ist es, dass das ausgerechnet wenige Minuten, nachdem der Virus gefunden wurde, passieren sollte („Rettung in letzter Sekunde“)? – Der Grund dieses Satzes ist natürlich klar: Er soll den Nutzer in Zeitpanik zu versetzen, um zu verhindern, dass er in Ruhe nachdenkt oder um Rat fragt.

Das ist eine derartig lange Liste von teils grotesken Inkonsistenzen und Hinweisen darauf, dass das Fake ist, dass man sich fragt, wie sich irgendjemand dadurch verunsichern lassen kann. Aber offenbar funktioniert das ziemlich gut. Also nochmal. Bitte ruhig und klar überlegen! Dann kann man über dieses Ding lachen, statt verängstig zu sein.

Es geht für Lieven in seiner Aufgeregtheit ja aber sogar noch weiter:
Wie kommst Du darauf, dass sich „etwas“ (selbst??) „heruntergeladen hat“, wenn es dafür doch gar keine Anzeichen (Datei in Downloads, Authentifizierungs-Dialog) gab? Was soll das sein?
Diese blöde, lächerliche Fake-Webseite hat Dich derart verunsichert, dass Du dir die ganze Nacht um die Ohren geschlagen hast?
Wie immer Du dir den geholt hast, ganz sicher nicht dadurch, dass Du in Google nach dem Virus gesucht hast.

Woher weißt Du überhaupt, dass „MAC.Slayer.F“ zu der fraglichen Zeit in den Downloadordner geladen wurde und nicht zu einem ganz anderen Zeitpunkt? Hast Du im Finder in der Listenansicht nachgesehen, wann die fragliche Datei(en) zu dem Downloads-Ordner hinzugefügt wurde(n)?
Nein, das ist eher Deine unglaubliche Aufgeregtheit. Calm down!
Tipp: Um in Fällen wie diesem in Finder auch versteckte Dateien sehen zu können, helfen Tools wie das (kostenlose) TinkerTool .
Um Himmels willen, nein! Deine Aufregung steht wirklich in überhaupt gar keinem Verhältnis dazu, dass Du auf diese blöde Fake-Seite geraten bist. Tu lieber irgendwas Schönes, um Dich zu beruhigen.
Nochmal ganz deutlich: Das geht nur dann, wenn der Browser eine Sicherheitslücke aufweist, die ausgenutzt wird. Immer das neueste Safari, nie Flash benutzen, und alles sollte OK sein.

Ich weiß zwar nicht, wie dieser eine Virus (wenn es denn tatsächlich einer war), den Bitdefender angezeigt hat, auf Dein System geraten ist, aber die Wahrscheinlichkeit, dass das über einen Drive-By-Download passiert ist, ist wirklich winzig. Meiner Erfahrung nach ist die Wahrscheinlichkeit um eine Größenordnung höher, dass Bitdefender so tut, als habe er was (Unsichtbares, so ein Zufall …) gefunden, um seine Existenz zu rechtfertigen. macOS hat von Haus aus einen Virenschutz gegen die bekannten Mac-Viren, solche Programme sind eigentlich komplett überflüssig.
Woher weißt Du das?

Ach, und noch vergessen in der Liste:

• Was ist denn nun das Problem? Dass die privaten Daten inklusive Bankdaten geleakt werden oder das System zerstört wird? Wenn jemand die Daten abgreifen will, so wird er das möglichst unauffällig tun, damit der Betroffene nicht seine Passwörter ändert und seine Bankkonten sperrt (wodurch die Daten wertlos würden), und ganz sicher nicht das „System zerstören“, was die maximale Auffälligkeit schlechthin wäre. Wenn umgekehrt jemand das System zerstören will – warum? Was hat er ohne vorherige erpresserische Forderung davon?

Ich würde halt mal einen kostenlose Version von einen Virenscanner darüber laufen lassen. gibt ja genug. Die entfernen die ja auch. Kann dir da jetzt nicht sagen was du nehmen sollst, bin schon eine Weile weg vom Mac.


Zu glauben der Mac sei vor Viren sicher und da könnte nix passieren ist ein schwerer Irrtum. Klar es mag weniger Viren geben am Mac, ist ja auch nicht so verbreitet. Dennoch sind die Mac ein lohnendes Ziel. Den kaum ein Macuser hat einen Virenscanner laufen und geht davon aus da kann eh nix sein. Den Schadsoftware installiert man am besten dort wo sie keiner sucht. Z.B. bei Fanboys die glauben sie haben einen Safe statt einen PC.

Wie der Zufall so spielt das würde mir gerade als Werbung auf Mactechnews angezeigt.

https://www.die10bestenantivirus.com/kostenlos-antivirenprog ramm

Bei mir ist im Internet die erste Regel: Weigert sich eine Seite, mit Adblocker Inhalte anzuzeigen, weigere ich mich, diese Seite mit deaktivierten Adblocker aufzurufen. Dann gehe ich halt weiter. Über Werbung wird gern mal irgendwelches Ungeziefer auf den Rechner (egal ob Windows oder Mac) losgelassen.

Zweite Regel: Im Mailprogramm das Laden externer Inhalte abschalten.

Dritte Regel: Es wird niemals per Mail nach Paßwörtern gefragt oder aufgefordert, sich wegen einer "Verifizierung" neu anzumelden (außer man hat es selbst eben gerade angestoßen, z. B. Paßwort vergessen). Entsprechende Mails löschen.

Dann solltest Du dich mit solchen Ratschlägen vielleicht zurückhalten.
Der Satz ist in seiner Absolutheit falsch, aber ein schwerer Irrtum ist es nicht.

Ich nutze Mac OS X/macOS seit 2001 täglich intensivst, und ich habe einen großen Bekanntenkreis von Mac-Nutzern mit unterschiedlichen Nutzungsprofilen, und noch nie hat sich irgenjemand irgendeinen Virus eingefangen außer dadurch, dass er aufgrund einer Webseite wie oben in Panik gerät und etwas Unüberlegtes macht. Die Wahrscheinlichkeit, aufgrund hektischen Aktionismus’ wegen einer Webseite wie oben Schaden anzurichten, ist um Größenordnungen höher als dadurch, sich klar zu machen, dass das Unsinn ist und dann schlicht nichts zu tun.

Hast Du dir in Deiner Mac-Zeit jemals einen Virus eingefangen?

Woher Dein Vertrauen in kostenlose Virenscanner kommt, die Du von irgendwo runterlädst, wissen die Götter. Damit die Dinger arbeiten können, musst Du ihnen maximale Zugriffsrechte einräumen. Sie könnten dann in aller Ruhe genau jenen Schaden anrichten, von dem sie behaupten, ihn zu beseitigen.

Der oben verwendete Scanner hat also behauptet, er habe etwas in Downloads gefunden. Na und? Da kann liegen, was will, Schaden kann es keinen anrichten, solange es nicht durch einen launchagent-Eintrag etc. (oder social engineering) gestartet wird. Dazu hat sich der Scanner aber offenbar nicht geäußert.
Jeder Macuser hat einen Virenscanner laufen: den in macOS integrierten.
Wie der Zufall so spielt, wurde mir vor ein paar Tagen eine Werbung für MacKeeper angezeigt.

Keine Webseite kann Deine Platte lesen und erst recht nicht auf Viren prüfen. Das ist immer ein Trick, um User in die Irre zu führen.

Zum Glück sind Gatekeeper und XProtect keine AV-Software

Du hast Recht, ich hätte besser Virenschutz schreiben sollen.

Ich bin jeden Monat aufs neue fassungslos ob der Tatsache, dass PayPal genau das tut: "Hier geht's zu Ihrer monatlichen Kontoübersicht: <Link zum Log-In>"

Und dann noch ausgerechnet eine BANK!!!

spheric

Weshalb ich eben auch diese PayPal-Mail ungelesen in den virtuellen Eimer verfrachte. PayPal ist auch für mich eine Bank, selbst sehen die sich nicht so. Dennoch ist diese Mail komplett daneben.

Öhm, das tun auch viele ganz normale deutsche Banken und so gut wie alle Kreditkartenunternehmen.

Links zu den Webseiten wirst Du in Emails aus Bequemlichkeitsgründen nie aus der Welt bekommen; das finde ich aber in diesem Falle auch kein allzu großes Problem; die monatlichen Kontoübersichten kommen schließlich zu genau bekannten Zeiten, und wenn man sich dann noch angewöhnt, falls man überhaupt den Email-Link benutzt, den Mauszeiger kurz über dem Link ruhen zu lassen, um zu sehen, ob die URL wirklich meinebank.com ist, dann ist das schon OK.

Mein Uni-Mailserver überprüft den Klartext-Link immer auf Übereinstimmung der Top-Level-Domain mit dem dahinterliegenden tatsächlichen Link und markiert in der Email Nicht-Übereinstimmungen mit einem Schrei-roten Warntext; das könnte sich Apple vielleicht auch für die Mail-App selbst überlegen.

Der wirkliche Hammer bei PayPal ist meines Erachtens, dass mein Uni-Mailserver bei deren Links in der Tat Alarm schlagen würde, denn ohne jede Not führt der sichtbar als paypal.de benannte Email-Link nicht auf paypal.de, sondern auf paypal-communication.com – also exakt so wie der Trick, den Betrüger anwenden. Was PayPal sich dabei gedacht hat, wissen vermutlich nicht mal die Götter …

… und Deine Kontoauszüge nicht abrufst und auf Korrektheit überprüfst, bevor die Widerspruchsfrist vorbei ist?

Ist ja nicht so, dass Du in Deinem biblischen Zorn PayPal schaden würdest, sondern höchstens Dir selbst …

Geschieht meiner Mutter gescheit recht, dass es mich an den Fingern friert, was kauft sie mir auch keine Handschuhe!

Ich bin kein Computerexperte aber auch nicht ganz so blöde, wie hier einige tun und ihre Textbausteine vom Stapel lassen. Schließlich habe ich auf der aufgepoppten rackcdn-Seite auch nichts angeklickt. Aber es hat sich danach beim Googeln nach den Inhalten des Popups auf einer anderen Seite ohne mein Zutun eine Datei namens "Player.dmg" heruntergeladen. Sorry, aber das bin ich nicht gewohnt und finde das doch recht übergriffig. Über so etwas wird man sich wohl noch Sorgen machen dürfen. Und da ist es schon eine Hilfe, wenn man hier die Information erhält, dass das wahrscheinlich nicht schlimm ist. Und ja, ich werde den Scriptblocker in Zukunft nie wieder ausschalten, egal wie wichtig mir die Seite erscheint.

quark.

Eine Mail, die von der Struktur und der Aufmachung her kaum von Phishing zu unterscheiden ist, zu ignorieren, hat ja wohl so richtig gar nix damit zu tun, ob man seine Buchhaltung pflegt!

Lieven:
Du bist nicht allein: https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd =1&cad=rja&uact=8&ved=0ahUKEwiEs5nQ5p7cAhVDElAKHWRpBqoQFggoM AA&url=https%3A%2F%2Fdiscussions.apple.com%2Fthread%2F770192 2&usg=AOvVaw0oS7Zw_DyCDnL1HNmpyCQZ

(WiesojetztderLinkausgeschriebenerscheintweissichnicht. ENTSCHULDIGUNG!
Das war die Google-Suche nach Player.dmg und Suchergebnis auf Apple Discussions...)

ja, vielen Dank

Lecker!
Weil?

Diese Mail ist als Erinnerung daran gedacht, dass schon wieder ein Monat vorüber und der neue Kontoauszug da ist.

Entweder Du müllst Dein Gedächtnis mit solch banalen Daten zu und weißt das stets auswendig, oder Du brauchst irgendeine Form von Gedächtnisstütze. Natürlich kannst Du dir auch eine wiederkehrende Erinnerung in den Kalender legen, aber erstens ist das umständlicher, als einfach die Email von PayPal zur Kenntnis zu nehmen, und wird zweitens nicht immer auf den Tag genau stimmen, was bei Zeitkritischem vielleicht mal wichtig sein kann.

Aber das ist gar nicht der Hauptpunkt. Ja, die Emails von PayPal sind Panne. Wenn man das aber erst einmal weiß, wenn man weiß, dass das entgegen dem Anschein offizielle Emails sind, sie dennoch aus Prinzipienreiterei trotzig zu ignorieren und sich dabei offenkundig auch noch toll vorzukommen ist ein bisschen … kindisch.

Hier der korrekte Link:

Möglicherweise geht es demjenigen gar nicht um Prinzipienreiterei und "toll vorkommen", sondern darum, dass die Dinger Müll sind, man grundsätzlich nicht auf solche Links klickt, egal woher sie kommen (irgendwann geht mir bestimmt mal eine Phishing-Mail durch die Lappen), und sie somit nichts tut, als den Posteingang aufzufüllen.

Dann doch besser gleich in den Spam-Ordner und gut?

Ich krieg diverse Wochenzeitungen mit Fernsehprogramm drin. Die gehen gleich unbesehen ins Altpapier. Trotzdem guck ich gelegentlich fern und finde es nicht kindisch, die Wochenzeitungen zu ignorieren…

Aber ich denke, wir sind uns ja einig; Du hast nur etwas allergisch auf eine Selbstdarstellung reagiert. Kann ich nachvollziehen.

Niemand sagt, Du seist blöde. Du hast Dich nur ganz unnötig aufgeregt und wir versuchen Dir zu helfen, indem wir sagen:
a) nix Schlimmes passiert, beruhige Dich
b) versuche, nüchterner/präziser zu formulieren, was geschah
c) anhand genannter Merkmale kannst Du in Zukunft selbst besser einschätzen, ob es Grund zur Sorge gibt – Hilfe zur Selbsthilfe.

Ich weiß nicht, worauf Du dich mit „Textbausteinen“ beziehst. Falls Du meine lange Liste meinen solltest: die habe ich mit erheblichem Zeitaufwand extra für Dich geschrieben, um Dir (und anderen in Deiner Situation) zu helfen, nix Textbausteine.
Das mag ja sein, aber das hat absolut nichts miteinander zu tun; es sind zwei völlig getrennte Vorgänge/Probleme.

Was ich aber immer noch nicht verstehe, weil es an den notwendigen Informationen mangelt (siehe Punkt b)):

Du schriebst, die Datei tauche nicht in Downloads auf – meinst Du damit die Einblendliste, die man mit dem Download-Pfeil in der Symbolleiste von Safari-Fenstern öffnen kann, oder den Ordner Downloads in Deinem Nutzerordner?

Woher weißt Du dann überhaupt, wann und von wo diese DMG-Datei heruntergeladen wurde und wo befindet sie sich jetzt? Tipp: Wenn Du die Datei im Finder auswählst in der Listenansicht und in Darstellung → Darstellungsoptionen einblenden die Spaltenanzeige Hinzugefügt am: aktivierst, dann sieht Du genau, wann diese Datei in diesen Ordner gelangte – also, ob das überhaupt zur fraglichen Zeit war.

Und wenn Du Ablage → Info-Fenster einblenden auswählst, wird Dir neben vielen anderen Daten in Weitere Informationen → Quelle auch die URL angezeigt, von der die Datei von Safari heruntergeladen wurde (falls sie das wurde).

Wurde die Datei „von selbst“ heruntergeladen, als Du auf einer Google-Webseite warst, die Suchergebnisse angezeigt hat (das wäre ein ziemlicher Hammer) oder, als Du eine der in den Suchergebnissen verlinkten Websites aufgerufen hast? Letzteres wäre plausibler, dann ist ausschließlich diese Website schuld (und kein „hinterhältiges“ Google), und natürlich sollte man, wenn man nach Schädlingen sucht, sich genau anschauen, welches der Suchergebnisse man aufruft – ob da eher ein Bericht über den Schädling oder aber ein Schädling enthalten ist …

Das sind Infos, die uns hier weiterhelfen. Einen Screenshot der Datei brauchen wir nicht, wir wissen alle selbst, wie das Icon aussieht.
Das darfst Du, wenn Dir das Freude macht, es ist nur völlig unnötig.

Eine heruntergeladene Datei als solche ist niemals schädlich. Das ist technisch unmöglich. Schaden kann nur entstehen, wenn ein Programm gestartet wird; nur das kann aktiv etwas „tun“.

Dazu gibt es grundsätzlich nur zwei Möglichkeiten:

Der Nutzer wird via Social Engineering dazu gebracht, das Programm manuell zu starten (Doppelklick im Finder etc.) – das hält aber nur, bis sich der Nutzer das nächste Mal abmeldet

oder

Die Datei wird automatisch bei Rechnerstart oder Anmeldung des Nutzers in seinem Nutzerkonto gestartet – dann läuft der Schädling dauerhaft.

Für diesen automatischen Start gibt es ausschließlich folgende Möglichkeiten:

1. Ein Eintrag in Systemeinstellungen → Benutzer & Gruppen → Anmeldeobjekte: Schau, ob da was Verdächtiges/Dir Unbekanntes steht und schmeiß es durch Klick auf den Minus-Button raus (Häkchen entfernen reicht nicht!)

2. Dateien in bestimmten, fest vorgegebenen Systemordnern (sorge mit TinkerTool o.ä. dafür, dass der Finder auch versteckte Dateien anzeigt, und sortiere den Inhalt dieser Ordner nach Hinzugefügt am:, so dass Du sofort sehen kannst, was in der fraglichen Zeit hinzukam, und alternativ Geändert am:, falls die Datei schon existierte, aber ihr Inhalt böswillig verändert wurde):

/System/Library/Extensions/
/System/Library/LaunchDaemons
/System/Library/LaunchAgents
/Library/Extensions/
/Library/LaunchDaemons
/Library/LaunchAgents
Heimordner/Library/LaunchAgents/

Rote Ordner lassen sich bei den aktuellen macOS-Versionen bei eingeschalteter System Integrity Protection (der Standard-Zustand) überhaupt nicht mehr durch Programme verändern, sind also sehr sicher, blaue Ordner nur nach expliziter Eingabe eines Admin-Passwortes (es sei denn, eine Sicherheitslücke kann das umgehen).

(Theoretisch könnte eine bösartige Installationsroutine die Metadaten ändern, die angeben, wann die Datei geändert und hinzugefügt wurde, davon habe ich aber noch nie gehört.)

Wenn Du in einem dieser Ordner eine Datei findest, die in der fraglichen Zeitspanne hinzugefügt oder verändert wurde, nur dann könnte für Deinen Mac Gefahr bestehen. Sonst ganz prinzipiell nicht.

Wenn Du ein Time-Machine-Backup hast, dann kannst Du ja auch so recht leicht sehen, ob jüngst eine Datei hinzugefügt wurde oder nun eine andere Größe hat (= sie wurde verändert)

Ich suche meine Kontoübersicht regelmäßig über den "normalen" Weg auf, also per Browser und Lesezeichen. Und niemals direkt über eine Mail.

Um es möglichst genau zu sagen: Wenn man über Safari etwas herunterlädt, dann fluppt ein Kreis vom oberen Bildschirmrand in einem Bogen herunter zu dem Downloadordner. Das war ohne mein Zutun der Fall, als ich auf der Webseite war, die laut Google Informationen zu dem Popup angegebenen Wurm e.tre456_worm_osx bereitstellen sollte. Nachdem der Kreis nach unten gefluppt war konnte man auf der oberen Liste des Safarifensters auf den nach unten gerichteten Pfeil klicken und dort sehen, dass sich eine Datei namens Player.dmg geladen hatte. Die war aber in dem unten im Dock befindlichen Ordner Downloads nicht zu sehen. Ein kompletter Scan der Festplatte mit Bitdefender hat gezeigt, dass sich auf meinem Rechner eine Malware namens MAC.Slayer.F befindet. Die habe ich dann über Bitdefender gelöscht.

Danke ansonsten für die Tipps, denen ich im Einzelnen nachgegehen werde.

Anmeldeobjekte sind ok.

In der Nutzer Library gibt es nur den Ordner /Library/LaunchAgents, der ist aber leer. Extensions und Launch Daemons gibt es dort keine.

Systemweit gibt es in der Library:
unter Extensions eine ganze Menge, teilweise recht altes Zeug z. B. (erstellt und geändert immer gleich) von 2013 jedoch nichts aus der hier in Frage kommenden Zeit. Sagt mir bis auf Little Snitch überhaqupt nichts.

Lauch Agents sagen mir alle etwas, dürften kein problem sein

Ebenso die Launch Daemons


Recht viel dagegen gibt es unter System/Library
Extensions, die um/nach dem Vorfall geladen oder geändert wurden sind:
AppleBacklight.kext
AudioAUUC.kext
IOGraphicsFamily.Kext
IONDRVSupport.kext
IOPCIFamily.kext
System.kext

Launch Agents:
nichts, was nach dem Vorfall hinzugekommen oder geändert worden wäre.
Launch Daemons:
auch nichts, was nach dem Vorfall hinzugekommen oder geändert worden wäre.

Ich zwar auch, aber eben dann, wenn ich durch PayPals Mail darauf hingewiesen wurde, dass es Neues gibt, weswegen ich sie nicht als Spam empfinde.

Lieven
noch dazu: https://www.pcrisk.de/ratgeber-zum-entfernen/8734-we-have-de tected-a-trojan-virus-scam-mac

(Klappt wieder nicht... Entschuldigung)

Und auf der Seite gibt es auch noch einen Download-Button zum Entfernen... DON'T USE IT! Reklame!

minifan13

Dieser Link funktioniert.

Ah, OK.
Seltsam. Wurde sie vielleicht in einen anderen Ordner geladen (warum auch immer)? Was passiert denn, wenn Du die Lupe neben dem Eintrag Player.dmg in Safaris Downloadliste anklickst (ist ungefährlich)? Zeigt der Finder die Datei dann an? In welchem Ordner? Oder zeigt er nur einen Ordner an, aber nicht die Datei? Dann ist die Datei in diesem Ordner „versteckt“ abgespeichert; allerdings frage ich mich, wie das passieren kann.
Ob Bitdefender da nun korrekt ein Problem angezeigt und beseitigt hat oder nicht – mit Player.dmg hat das meines Erachtens überhaupt nichts zu tun. Wie gesagt, als „tote Datei“ ist das Ding ungefährlich, trotzdem sollte es natürlich auffindbar sein und gelöscht werden.
Das ist eigentlich das Wichtigste. Denn das wäre der einzige Ordner, in den ohne Admin-Rechte geschrieben werden kann. Wenn der leer ist (und die Anmeldobjekte OK sind), ist Dir zu 99,9% nix passiert.
Ja, die gibt es in der Library des Nutzers prinzipiell nicht, denn die sind ausschließlich für systemweite Vorgänge zuständig.

Launch Agents hingegen werden pro Nutzer mit dessen Rechten gestartet. Von Heimordner/Library/ aus nur für den Nutzer dieses Heimordners, von /Library und /System/Library aus für alle angemeldeten Nutzer des Macs.
Das sollte dann alles aus einer macOS-Installation des Jahres 2013 stammen.
Kernel Extensions (das sind die Dinger, die in diesem Ordner sind) sind Erweiterungen des Betriebssystem-Kerns, also keine zusätzlich ablaufenden Prozess, sondern Dinge, um die sich aufgrund dieser Erweiterungen der macOS-Kernprozess selbst kümmert. Entsprechend sicherheitskritisch sind sie, den sie stellen den tiefstmöglichen Eingriff ins System dar. Typischer Fall sind Hardware-Treiber.

In /Library liegen dabei Kernel Extensions von Drittanbietern (wie Little Snitch) und solche von Apple, die für macOS nicht zwingend erforderlich sind.

Die Extensions in Deiner Liste stammen alle von Apple bis auf die für Little Snitch und MB_MBAM_Protection.kext – die ist von Malwarebytes. Hast Du von dieser Firma aktuell Software installiert? Falls nein, lösche die Kernel Extension.
Das ist normal, denn in /System ist schließlich alles, was unbedingt zu macOS dazugehört. In /System sollte seit jeher ausschließlich Apple schreiben, früher haben das dennoch manche Drittanbieter gemacht. Aber seit ich glaube macOS 10.12 ist es durch die System Integrity Protection verunmöglicht, dass irgend jemand außer Apple selbst in /System/ schreibt.

Welche macOS-Version benutzt Du denn?
Das sind alles ganz zentrale Bestandteile von macOS, die offensichtlich upgedatet wurden.

Unter dem Strich würde ich sagen, sieht alle bestens bei Dir aus.

coffee
Danke, ich krieg's einfach nicht gebacken...

Lieven
Dumme Frage eines Ignoranten: Was sagt denn Spotlight zu "Player.dmg"?

Weia
Zunächst einmal vielen herzlichen Dank für die sachkundige Durchsicht und die entsprechernden Erklärungen, aus denen ich nebenbei viel gelernt habe.Das hier:
Ich selber habe aber nichts verschoben. Das ist das Merkwürdige, das mich paranoisch macht! Dass es sich hier auf meinem schönen Rechner irgendwo versteckt hat und eines Tages hervorkommt.
minifan13
Anstatt Spotlight nutze ich Alfred: Findet nichts dergleichen

Weia
Das hatte ich noch vergessen

OK, also High Sierra. Wenn Du (wovon ich ausgehe) nicht gezielt die System Integrity Protection in einem recht aufwändigen Verfahren deaktiviert hast, bist Du damit völlig auf der sicheren Seite, was alles innerhalb von /System betrifft, denn dieser Ordner ist damit für alle Prozesse außer Apples Systemupdate wasserdicht gesperrt. Das stimmt ja auch mit der bisherigen Durchsicht Deiner Fundstücke in /System überein.
Bitte. Freut mich, so war es gedacht.
Also zunächst mal kannst Du da ganz beruhigt sein, weil eine Datei von selbst (sprich ohne eine Startdatei in LaunchAgents etc.) eben einfach nicht aktiv werden und irgendwo „hervorkommen“ kann.

Trotzdem verstehe ich natürlich, dass Du wissen willst, wieso das Ding unauffindbar ist. Im Prinzip gibt es ja nur zwei Möglichkeiten:

1. Die Datei wurde gelöscht, vermutlich von Bitdefender.

2. Die Datei ist woanders – unwahrscheinlich, weil unklar ist, wie sie an diese andere Stelle verschoben werden konnte. Aber wenn Dir Dein Seelenfrieden das wert ist, empfehle ich Dir, im App Store Find Any File für 9€ zu kaufen (ich stehe in keinerlei Beziehung zum Programmautor). Das ist auch sonst ein nützliches Werkzeug, und Du weißt damit in kürzester Zeit, ob es noch irgendwo auf Deinem Mac eine Datei Player.dmg gibt oder nicht.

Alternativ kann man sich auch mit dem Terminal auf die Suche begeben, aber dazu muss einem die Kommandozeile halt geheuer sein.

Falls sie das für Dich ist: Öffne in Deinem Admin-Nutzerkonto ein Terminal-Fenster und gib dort ein:
Du wirst dann nochmals nach Deinem Admin-Passwort gefragt, das Du eingeben und mit Return bestätigen musst; danach beginnt die Suche. Sie ist dann beendet, wenn in einer neuen Zeile wieder dieselbe Zeichenfolge im Terminal-Fenster erscheint wie zu Beginn.

Dauert vermutlich eine ganze Weile, findet aber ebenfalls garantiert jede Datei dieses Namens auf Deiner Festplatte (Allerdings nicht auf weiteren Festplatten, falls Du in Deinem Mac mehr als ein Volume benutzt.)

Unabhängig von dem konkreten Problem von Lieven möchte ich zur Sicherheit – falls später jemand anders mit ähnlichen Problemen diesen Thread liest – noch eine Ergänzung machen:

Es gibt eine fiese denkbare Veränderung am Mac, die kein gestartetes Programm benötigt, um Schaden anzurichten. Allerdings wären auch hierzu Admin-Rechte vonnöten, für die es wieder des Social Engineerings (also des versehentlichen Eingeben des Admin-Passworts durch den Nutzer) oder einer Sicherheitslücke bedarf.

Diese Veränderung wäre die Umstellung des DNS-Servers in den Systemeinstellungen → Netzwerk → DNS-Server.

Normalerweise wird der DNS-Server beim Anschluss des Macs ans Netzwerk automatisch auf die IP-Adresse des Routers gesetzt (sowas wie 192.168.1.nnn) und damit auf den DNS-Server des Routers, der seinerseits ein Proxy für den DNS-Server des Internetproviders ist. Man kann aber stattdessen auch gezielt die IP-Adressen von gewünschten bestimmten DNS-Servern (z.B. 208.67.220.220 für OpenDNS.com) angeben.

Wird diese Einstellung nun verändert, kann ein anderer DNS-Server eingetragen werden, der dann für alle Internetanfragen zuständig ist. (DNS-Server setzen ja bekanntlich die für uns zu merkenden „sinnhaften“ IP-Adressen wie mactechnews.de in die für den Computer erforderlichen Nummern (72.52.4.119) um.)

Wenn nun ein bösartiger DNS-Server eingestellt wird, der z.B. meinebank.de auf eine ganze andere, bösartige numerische IP-Adresse umleitet, ansonsten aber wie jeder andere DNS-Server auch agiert, dann könnte unter der bösartigen numerischen IP-Adresse ein perfekter, bösartiger Klon der echten Banken-Website liegen und auf die Eingabe von Nutzernamen und Passwort warten.

Das unbemerkte Verändern des DNS-Servers ist also die eine Attacke, die kein gestartetes Programm benötigt, um böse Folgen zu haben. Mann kann allerdings davon ausgehen, dass eine solche Gefahr nie lange Bestand hat, da bösartige Klone von Bankenwebsites etc. natürlich schnell von irgendjemandem entdeckt und dann gleich vom Netz genommen werden.

Nun habe ich auch noch mit FAF gesucht und keine Player.dmg Datei gefunden. Der DNS-Eintrag ist auch ok. Abschließend denke ich, in dem Disk Image Player.dmg hat sich die Malware MAC.Slayer.F befunden, beides unsichtbar. Beides wurde dann von Bitdefender gelöscht. Dank an alle Beteiligten.

Im Nachhinein noch zwei Fragen:
1) Wie kommen Systembestandteile von 2013 auf meinen Rechner, wo ich doch jedes Jahr beim Erscheinen einer neuen Betriebssystemversion einen Clean Install mache.
2) Wenn ich bei Tinker Tool anklicke, es soll mir die versteckten Dateien anzeigen, und ich starte den Finder neu, dann werden keine versteckten Dateien angezeigt. Heisst das dann, es gibt dort keine versteckten Dateien? Und was ist mit versteckten Dateien sonstwo auf dem Rechner, wie bekomme ich die angezeigt?

zu 1) Ganz einfach; Apple selbst aktualisiert ja nicht alles an einen neuen OS und somit kommen eben auch Bestandteile drauf, die Apple nicht aktualisiert hat, auf den Rechner und die können auch älter als 2013 sein...

zu 2) Um zu testen ob du versteckte Daten siehst, nimm einen Ordner der mit Spotlight zum Beispiel durchsucht wurde.
Die häufigste versteckte Datei ist... .DS_Store (der virtuelle Gedächtnisspeicher von OSX)

Ein gut gemeinter Rat von mir... Wenn du denn Screen von "über diesen Mac" veröffentlichst, dann mache bitte die Seriennummer
unkenntlich. Diese ist für fremde Augen nicht bestimmt und kann missbraucht werden. Deswegen niemals die Seriennummer des Geräts im Internet veröffentlichen...

Na großartig. Da habe ich nun 1133 versteckte Dateien auf meinem Rechner, die meisten TextEdit.app-Dokumente, aber auch etliche 'ausführbare Unix-Dateien', meist im Zusammenhang mit Ordnern, in denen sich Fotos befinden, aqber aquch andere Ordner.