Macbook Pro (2010, OSX Sierra) fordert mich immer wieder auf, das Passwort für DHCP einzugeben

Plötzlich fordert mich mein Mac auf, mein Passwort mit dem Dialog einzugeben: "Die Netzwerkkonfiguration muss die DHCP-Einstellung aktualisieren. Geben Sie Ihr Passwort ein, um dies zuzulassen."

Geben Sie hier die Bildbeschreibung ein

Ich habe MakeMKV erst kürzlich auf meinem Laptop installiert ... könnte mein Mac etwas Böses eingefangen haben?

Als Randbemerkung: Kann ich irgendwie herausfinden, welcher Prozess das Popup-Fenster erstellt?

Wenn ich auf Abbrechen klicke, erscheint das Fenster sofort wieder ...

Antworten (1)

Sie haben einen Trojaner! Sehen Sie sich das Verzeichnis ~/Library/VideoFrameworks an. Dort hat der Trojaner Ihren Schlüsselbund und Ihre Browserdaten gesammelt.

Das Programm selbst befindet sich in ~/Library/RenderFiles

Sie können es mit launchctl stop fr.handbrake.activity_agent stoppen

Hast du auch Handbrake eingebaut oder nur makemkv?

Ich würde empfehlen, eine Neuinstallation von osx durchzuführen oder Ihr Time-Machine-Backup von vor der Installation des Programms zu installieren.

Update: Ich kann hier keinen Kommentar abgeben, daher versuche ich, meine Antwort mit zusätzlichen Informationen zu bearbeiten:

Der Trojaner sammelt mindestens die folgenden Daten:

  • Schlüsselbunddateien (gespeicherte Passwörter in OSX)
  • Persönliche Daten von jedem Browser auf Ihrem System, einschließlich gespeicherter Passwörter
  • Screenshots

Sie sollten also unbedingt prüfen, welche Passwörter Sie im Schlüsselbund und im Browser gespeichert haben und diese umgehend auf einem anderen Rechner ändern. Die gesammelten Daten finden Sie im oben beschriebenen Verzeichnis in mehreren ZIP-Dateien.

Erinnerst du dich, wo du Handbrake heruntergeladen hast? Hast du die Update-Funktion genutzt?

Mist! Ja, ich habe Handbrake auch installiert ... :( Danke Dave, ugh, ich hatte gehofft, eine Neuinstallation vermeiden zu können ...
Das gleiche, ich habe gerade Handbrake bekommen und es hat nach meinem Passwort gefragt, um zusätzliche Codecs zu installieren, jetzt verschwindet das DHCP-Einstellungsfeld nicht. Nüsse.
Ich habe keine der von Ihnen aufgelisteten Dateien/Verzeichnisse. Woher wussten Sie, dass dies diejenigen waren? Ich könnte dieselbe Methode verwenden, um diejenigen zu finden, die auf meinem System verwendet werden
Sie können "launchctl list" ausführen, um eine Liste der Dienste anzuzeigen. Der Dienst, der den Dialog darüber anzeigt, dass die DHCP-Einstellungen aktualisiert werden müssen, heißt fr.handbrake.activity_agent. Und werfen Sie einen Blick auf ~/Library/LaunchAgents. "launchctl list fr.handbrake.activity_agent" gibt Auskunft über den Dienst.
Nun gaben die Entwickler von Handbrake bekannt, dass ein Mirror-Server kompromittiert wurde. Möglicherweise haben Sie dasselbe erreicht, indem Sie eine ältere Version mit dem integrierten Updater forum.handbrake.fr/viewtopic.php?f=33&t=36364 aktualisiert haben
Danke David. Ich weiß, dass ich den infizierten Code erhalten habe, aber ich habe immer noch keine RenderFiles- oder VideoFrameworks-Ordner. Wenn ich wüsste, wie Sie sie gefunden haben, könnte ich die entsprechenden Ordner auf meinem Computer finden
Haben Sie die oben beschriebenen launchctl-Befehle auf der Konsole ausprobiert? So habe ich das RenderFiles-Verzeichnis gefunden. Führen Sie zusätzlich "cd ~/Library/LaunchAgents" und "ls -la" aus, um zu sehen, ob es eine plist-Datei gibt, die den Dienst startet. Hast du noch den DHCP-Dialog?
Ich habe den Computer neu gestartet, um den Dialog loszuwerden, und den Netzwerkzugriff deaktiviert, sobald ich bemerkte, dass er kompromittiert war. Seitdem habe ich Handbrake nicht mehr gestartet. Wenn ich den Befehl launchctl verwende, wird kein Verweis auf Handbrake angezeigt, und LaunchAgents ist leer. Es ist OS X 10.8.5, vielleicht ist es zu alt für den Trojaner
Ich kann nicht sagen, wie es sich auf anderen Systemen verhält, aber es besteht die Möglichkeit, dass es die Dateien gelöscht hat, nachdem es erfolgreich war. Sie können überprüfen, ob Sie die folgenden Dateien im /tmp-Verzeichnis haben: au, au.pub, public.pem. Aber das Verzeichnis wird nach einem Neustart gelöscht. Sie können auch im System-Log nach Spuren von "activity_agent" suchen (Konsolen-App starten). Zum Beispiel unter "Benutzerdiagnoseberichte". Dort habe ich ein Crash-Log gefunden.
Cool. Davon gibt es keine Anzeichen und auch nichts, was die Ankündigung im Handbrake-Forum behandelt hätte, also bin ich vielleicht entkommen. XProtect-Version bei 2087. Trotzdem, denke ich, Zeit für eine saubere Weste.
Macbook Pro (2010, OSX Sierra) fordert mich immer wieder auf, das Passwort für DHCP einzugeben
AntwortenHierDatenschutz-Bestimmungen1y, 0v