SOCKS-Proxy, SearchUpgrader, Malware, Mail-Probleme

[reisemaus]

Hallo,

Ich habe gerade ziemliche Netzwerkprobleme mit Mail und Safari. Stark hat keinerlei Probleme
Mail sagt immer "Accountfehler". Obwohl ich den "SOCKS-Proxy" manuell immer ausmachen, richtet der sich immer wieder selbst ein. Ist der SOCKS-Proxy schlimm?
Daraufhin habe ich schon einiges ausprobiert, aber nichts halt wirklich. Vielleicht könnt ihr mir helfen?
Als nächstes der EtreCheck:


EtreCheck version: 5.0.4 (5A015)

Report generated: 2019-04-27 12:55:31

Download EtreCheck from https://etrecheck.com

Runtime: 1:56

Performance: Excellent


Problem: Other problem


Major Issues:

Anything that appears on this list needs immediate attention.


Adware - Adware detected.

Unsigned files - There are unsigned software files installed that could be adware and should be reviewed.


Minor Issues:

These issues do not need immediate attention but they may indicate future problems.


Apps with heavy CPU usage - There have been numerous cases of apps with heavy CPU usage.


Hardware Information:

MacBook Pro (15-inch, 2017)

MacBook Pro Model: MacBookPro14,3

1 2,8 GHz Intel Core i7 (i7-7700HQ) CPU: 4-core

16 GB RAM - Not upgradeable

BANK 0/DIMM0 - 8 GB LPDDR3 2133 ok

BANK 1/DIMM0 - 8 GB LPDDR3 2133 ok

Battery: Health = Normal - Cycle count = 258


Video Information:

Radeon Pro 555 - VRAM: 2 GB

Intel HD Graphics 630 - VRAM: 1536 MB

Color LCD 3360 x 2100


Drives:

disk0 - APPLE SSD SM0512L 500.28 GB (Solid State - TRIM: Yes)

Internal PCI-Express 8.0 GT/s x4 NVM Express

disk0s1 - EFI [EFI] 315 MB

disk0s2 [APFS Container] 499.96 GB

disk1 [APFS Virtual drive] 499.96 GB (Shared by 4 volumes)

disk1s1 - Macintosh HD (APFS) (Shared - 415.11 GB used)

disk1s2 - Preboot (APFS) [APFS Preboot] (Shared - 48 MB used)

disk1s3 - Recovery (APFS) [Recovery] (Shared - 523 MB used)

disk1s4 - VM (APFS) [APFS VM] (Shared - 1.07 GB used)


Mounted Volumes:

disk1s1 - Macintosh HD 499.96 GB (83.05 GB free)

APFS

Mount point: /

Encrypted


disk1s4 - VM [APFS VM] (Shared - 1.07 GB used)

APFS

Mount point: /private/var/vm


Network:

Interface lpss-serial1: LPSS Serial Adapter (1)

Proxies: SOCKS

Interface lpss-serial2: LPSS Serial Adapter (2)

Proxies: SOCKS

Interface en8: iPad

Proxies: SOCKS

Interface en7: iPhone

Proxies: SOCKS

Interface en0: Wi-Fi

802.11 a/b/g/n/ac

Interface en6: Bluetooth PAN

Proxies: SOCKS

Interface bridge0: Thunderbolt Bridge

Proxies: SOCKS

iCloud Quota: 1.73 GB available


System Software:

macOS Mojave 10.14.4 (18E226)

Time since boot: Less than an hour


Security:

System Status
Gatekeeper Enabled
System Integrity Protection Enabled

Adware:

Launchd: /Library/LaunchDaemons/com.SearchUpgradeDaemon.plist

Reason: Adware pattern match

Executable: /Library/Application Support/com.SearchUpgradeDaemon/SearchUpgrade r

Launchd: ~/Library/LaunchAgents/com.SearchUpgrade.plist

Reason: Adware pattern match

Executable: ~/Library/Application Support/com.SearchUpgrade/SearchUpgrade r


Unsigned Files:

Launchd: /Library/LaunchDaemons/com.SearchUpgradeP.plist

Executable: /var/root/.SearchUpgrade/SearchUpgradeDaemon

Details: Domain name invalid - possibly adware


Kernel Extensions:

/Library/Extensions

[Not Loaded] SMARTBoard.kext (SMART Technologies ULC, 1.0.0.0 - SDK 10.11)


System Launch Agents:

[Not Loaded] 9 Apple tasks
[Loaded] 174 Apple tasks
[Running] 118 Apple tasks

System Launch Daemons:

[Not Loaded] 35 Apple tasks
[Loaded] 173 Apple tasks
[Running] 127 Apple tasks

Launch Agents:

[Running] com.smarttech.smartnotification.plist ((null) - installed 2018-11-01)
[Not Loaded] com.smarttech.boardservice.login.plist ((null) - installed 2018-11-01)
[Loaded] com.microsoft.update.agent.plist (Microsoft Corporation - installed 2019-04-26)
[Running] com.smarttech.SBWDKService.plist ((null) - installed 2018-10-15)
[Not Loaded] com.smarttech.systemtrayicon.plist ((null) - installed 2018-07-13)
[Running] com.smarttech.ink.plist ((null) - installed 2018-11-28)
[Running] com.smarttech.boardservice.plist ((null) - installed 2018-11-01)

Launch Daemons:

[Loaded] com.SearchUpgradeDaemon.plist (Adware - installed 2019-03-07)
[Loaded] com.boxcryptor.BCFS.Mounter.Helper.plist (Benjamin Fleischer - installed 2018-09-14)
[Loaded] com.microsoft.autoupdate.helper.plist (Microsoft Corporation - installed 2019-04-26)
[Loaded] com.apple.installer.osmessagetracing.plist (Apple - installed 2019-03-21)
[Loaded] com.microsoft.office.licensingV2.helper.plist (Microsoft Corporation - installed 2019-04-15)
[Running] com.boxcryptor.osx.PrivilegedHelper.plist (Secomba GmbH - installed 2017-10-07)
[Running] com.SearchUpgradeP.plist (? 2c4e9db1 - installed 2019-04-26)

User Launch Agents:

[Loaded] com.dropbox.DropboxMacUpdate.agent.plist (Dropbox, Inc. - installed 2019-02-14)
[Running] com.SearchUpgrade.plist (Adware - installed 2018-12-27)

User Login Items:

Boxcryptor.app (Secomba GmbH - installed 2018-09-14)

(/Applications/Boxcryptor.app)

Caffeine.app ((null) - installed 2010-03-13)

(/Applications/Caffeine.app)

Alfred 3.app (Running with Crayons Ltd - installed 2019-03-16)

(/Applications/Alfred 3.app)

Dropbox.app (Dropbox, Inc. - installed 2019-04-26)

(/Applications/Dropbox.app)

Magnet.app (App Store - installed 2019-01-29)

(/Applications/Magnet.app)

AppCleaner SmartDelete (Julien Ramseier - installed 2019-02-06)

(/Applications/AppCleaner.app/Contents/Library/LoginItems/AppCleaner SmartDelete.app)

Boom Helper (Global Delight Technologies Pvt. Ltd - installed 2019-04-22)

(/Applications/Boom 3D.app/Contents/Library/LoginItems/BoomHelper.app)

WunderlistHelper (App Store - installed 2018-12-17)

(/Applications/Wunderlist.app/Contents/Library/LoginItems/WunderlistHelper.app)

1Password Extension Helper (App Store - installed 2019-04-23)

(/Applications/1Password 7.app/Contents/Library/LoginItems/1Password Extension Helper.app)

OneDrive Launcher (App Store - installed 2019-04-26)

(/Applications/OneDrive.app/Contents/Library/LoginItems/OneDrive Launcher.app)

ShazamHelper (App Store - installed 2019-03-24)

(/Applications/Shazam.app/Contents/Library/LoginItems/ShazamHelper.app)

1Password Launcher (App Store - installed 2019-04-23)

(/Applications/1Password 7.app/Contents/Library/LoginItems/1Password Launcher.app)

Alfred 3 (Running with Crayons Ltd - installed 2019-03-16)

(/Applications/Alfred 3.app/Contents/MacOS/Alfred 3)

Caffeine (? - installed 2010-03-13)

(/Applications/Caffeine.app/Contents/MacOS/Caffeine)

Dropbox (Dropbox, Inc. - installed 2019-04-26)

(/Applications/Dropbox.app/Contents/MacOS/Dropbox)

Boxcryptor (Secomba GmbH - installed 2018-09-14)

(/Applications/Boxcryptor.app/Contents/MacOS/Boxcryptor)

Magnet (App Store - installed 2019-01-29)

(/Applications/Magnet.app/Contents/MacOS/Magnet)


Internet Plug-ins:

QuickTime Plugin: 7.7.3 (installed 2019-04-04)


Safari Extensions:

1Password - App Store (installed 2019-02-28)

3rd Party Preference Panes:

SMART Board (installed 2018-11-01)


Time Machine:

Time Machine information not available without Full Drive Access.


Performance:

System Load: 1.44 (1 min ago) 1.45 (5 min ago) 1.40 (15 min ago)

Nominal I/O speed: 3.55 MB/s

File system: 17.74 seconds

Write speed: 1656 MB/s

Read speed: 2396 MB/s


CPU Usage:

Type Overall Individual cores
System 2 % 9 % 0 % 5 % 0 % 3 % 0 % 2 % 0 %
User 4 % 11 % 0 % 8 % 0 % 6 % 0 % 3 % 0 %
Idle 94 % 80 % 99 % 87 % 100 % 91 % 99 % 95 % 99 %

Top Processes by CPU:

Process (count) Source CPU Location
iconservicesagent (2) Apple 18.60 %
EtreCheckPro Etresoft, Inc. 4.90 %
WindowServer Apple 4.20 %
curl Apple 2.20 %
kernel_task Apple 2.00 %

Top Processes by Memory:

Process (count) Source RAM usage Location
com.apple.WebKit.WebContent (6) Apple 968 MB
EtreCheckPro Etresoft, Inc. 676 MB
Mail Apple 525 MB
kernel_task Apple 261 MB
Dropbox (3) Dropbox, Inc. 238 MB

Top Processes by Network Use:

Process Source Input Output Location
biometrickitd Apple 215 KB 119 KB
Dropbox Dropbox, Inc. 99 KB 198 KB
mDNSResponder Apple 206 KB 67 KB
Mail Apple 144 KB 10 KB
SearchUpgrade.py ? 32 KB 16 KB /var/root/.SearchUpgrade/SearchUpgrade --mode socks5 --showhost -q -s /var/root/.SearchUpgrade

Virtual Memory Information:

Available RAM 8.38 GB
Free RAM 4.39 GB
Used RAM 7.62 GB
Cached files 3.98 GB
Swap Used 0 B

Software Installs (past 30 days):

Name Version Install Date
Numbers 6.0 2019-03-29
Pages 8.0 2019-03-29
Photos Duplicate Cleaner 2.0 2019-03-29
Keynote 9.0 2019-04-03
de 7.0.29.0 2019-04-03
gallery 2.0.2.0 2019-04-03
lat 2.0.5.0 2019-04-03
SMART Learning Suite 1.1.8.0 2019-04-03
Image2icon 2.9.2 2019-04-08
Polarr Photo Editor 5.4.9 2019-04-11
Microsoft AutoUpdate 4.10.19041401 2019-04-18
XProtectPlistConfigData 2102 2019-04-19
Gatekeeper Configuration Data 165 2019-04-19
Microsoft Excel 16.24.19041401 2019-04-19
Microsoft Word 16.24.19041401 2019-04-19
Microsoft PowerPoint 16.24.19041401 2019-04-19
SimpleMind Lite 1.23.1 2019-04-19
Evernote 7.9.1 2019-04-22
1Password 7 7.2.5 2019-04-23
Microsoft Office 16.24.19041401 2019-04-26
Microsoft OneDrive 2019-04-26
OneDrive 19.033.0218 2019-04-26
Spark 2.3.2 2019-04-27

Diagnostics Information (past 7 days):

2019-04-27 12:39:56 backupd CPU (3 times)

/System/Library/CoreServices/backupd.bundle/Contents/Resources/backupd


2019-04-26 23:23:57 OneDrive.app Crash

/Applications/OneDrive.app


2019-04-23 13:13:47 com.apple.WebKit.WebContent CPU (4 times)

/System/Library/Frameworks/WebKit.framework/Versions/A/XPCServices/com.apple.WebKit.WebContent.xpc/Contents/MacOS/com.apple.WebKit.WebContent


2019-04-23 10:03:51 1Password 7.app Crash

/Applications/1Password 7.app



End of report

Vielen Dank und viele Grüße,
Yvonne

 

[Macbeatnik]

Die Malware, die unter anderem auch den SOCKs Proxy einrichtet, solltest du tunlichst sofort entfernen.

 

[echo.park]

Mac aus Backup wiederherstellen oder neu aufsetzen. Danach alle relevanten Passwörter ändern (Online-Banking, etc.).

Nur zur Sicherheit, falls das hier über die übliche Adware hinausgeht.

 

[reisemaus]

Woher weiß ich denn welches Programm die Malware ist bzw. wo ich die finde? EtreCheck sagt ja nur die beiden .plist?! Danke

 

[Macbeatnik]

Lade dir Malwarebytes, vielleicht findet das bereits alles:
https://de.malwarebytes.com


Ansonsten als Tipp, vermutlich lädst du Programme auch von Downloadportalen, wie Chip.de, softonic, Macupdate.com oder was es sonst noch gibt, diese sind mit Malware verseucht, bzw. haben sich von Herstellern von Adware kaufen lassen und packen das bei, zum Beispiel auch den MacKeeper, der sich als Tool für jede Gelegenheit ausgibt und dem Nutzer vorgaukelt eine hilfreiche Software zu sein, aber das Gegenteil ist.

 

[reisemaus]

Vielen Dank für die Antworten Ich habe mir das Programm mal geladen. Der findet tatsächlich zwei Sachen. Eins habe ich manuell entfernen können. Das andere ist immer noch da und versteckt sich. Auch den Proxy "SOCKS" kann ich nicht löschen. Siehe Bilder. Wenn Malwarebytes etwas gefunden hat, sagt er "in Quarantäne verschieben". Das bestätige ich. Wenn ich "Quarantäne öffnen" drücke, bleibt der Quarantäne Ordner jedoch leer. Wenn ich auf "Quarantäne löschen" gehe, löscht er die Dateien wohl, findet diese aber direkt beim nächsten Scan wieder. Hab das MacBook auch schon neu gestartet. Weiß jemand woran das liegen kann bzw. was ich machen kann, um das Ding los zu werden?

 

[Macbeatnik]

Die Malware ist so aufgebaut, das bestimmte Prozesse im Hintergrund laufen und nachladen, gelöschte Teile können also, sofern noch andere Teile der Malware existieren durchaus wieder auftauchen.
Ich würde zum Einen, Malwarebytes mehrmals laufen lassen und eventuell auch den Rechner jeweils gleich Neustarten. Zum Anderen würde ich schauen, ob es Prozesse in der Aktivitätsanzeige gibt(Alle Prozesse anzeigen lassen), die zur Malware gehören und diese beenden. (Weitere Teile könnten zum Beispiel auch noch in der BenutzerLibrary(Die BenutzerLibrary ist unter Lion und neuer versteckt, du erreichst sie zum Beispiel indem du in Finder/Gehe zu/ die AltTaste gedrückt hältst. ) dort im Ordner Applicationsupport oder auch den LaunchDaemons/Agents liegen oder natürlich auch noch an anderen Orten.
Du hast zum Beispiel auch dieses Teil installiert ([Loaded] com.dropbox.DropboxMacUpdate.agent.plist (Dropbox, Inc. - installed 2019-02-14)) das ist in meinen Augen ebenfalls verdächtig, zumindest was das Nachladen angeht, da es von einer mit Malware verseuchten Webseite kommt.

 

[reisemaus]

Du hast zum Beispiel auch dieses Teil installiert ([Loaded] com.dropbox.DropboxMacUpdate.agent.plist (Dropbox, Inc. - installed 2019-02-14)) das ist in meinen Augen ebenfalls verdächtig, zumindest was das Nachladen angeht, da es von einer mit Malware verseuchten Webseite kommt.

Wieso von einer Malware verseuchten Website? Woran erkennst du das? Gehört dass nicht zu den normalen Dropbox-Geschichten? Oder kann ich einzelnen Sachen davon löschen? Beispielsweise diese com.dropbox.DropboxMacUpdate.agent.plist?

Habe es jetzt geschafft alles zu entfernen. Laut EtreCheck ist auch alle tutti. Danke!!! Deine Hilfe hat mir sehr geholfen

 

[echo.park]

Dropbox sollte man auch direkt von Dropbox beziehen. Bei dir findet sich der Zusatz "MacUpdate", was bedeutet, dass du es bei MacUpdate bezogen hast. Die sind zwielichtig und denen ist nicht zu trauen.

 

[u0679]

Auch wenn Du mit Malwarebytes etwas finden und entfernen konntest. Ein einmal kompromittierter Rechner ist nicht mehr vertrauenswürdig, da man nicht weiß ob wirklich die Malware komplett entfernt ist.
Platt machen und aus dem Backup vor der Infektion wiederherstellen. Das einzige was hilft.