Trojan OSX/DNSChanger op Mac en nu?

Ik heb helaas het virus OSX.Plug.A op mijn Mac... eigen schuld!

Ik heb al Gegoogle'ed en daar wat aanwijzingen gevolgd: het deleten van een bestand in de internetplugins (plugin.settings). En het draaien van een Removal Tool (DNS Changer)

Nu heb ik Norton AntiVirus 11 laten draaien en die vind 11 dezelfde bestanden op de backup schijf (TimeMachine), deze zijn in quarantaine geplaatst en heb ik daarna handmatig verwijderd.

Kan ik er van uit gaan dat de bestanden nu allemaal weg zijn?

Ik heb geen zin om alles opnieuw te moeten herinstalleren.

Daedalus schreef op maandag 28 april 2008 @ 20:03:
OSX/DNSChanger is een trojan en geen virus. Ik heb de titel daarom aangepast

Om er zeker van te zijn dat de DNS instellingen goed staan, kun je in de Terminal het volgende intikken en de lijst hier posten:

scutil --dns

Het script wat je DNS instellingen controleert, wordt door cron uitgevoerd. De huidige crontab kun je bekijken met:

crontab -l

DNS configuration

resolver #1
domain : lokaal
search domain[0] : lokaal
nameserver[0] : 192.168.1.254
nameserver[1] : 195.241.77.55
nameserver[2] : 195.241.77.58
order : 200000

resolver #2
domain : macthedutchie.members.mac.com.
options : pdns
timeout : 5
order : 150000

resolver #3
domain : local
options : mdns
timeout : 2
order : 300000

resolver #4
domain : 254.169.in-addr.arpa
options : mdns
timeout : 2
order : 300001

resolver #5
domain : 8.e.f.ip6.arpa
options : mdns
timeout : 2
order : 300002

resolver #6
domain : 9.e.f.ip6.arpa
options : mdns
timeout : 2
order : 300003

resolver #7
domain : a.e.f.ip6.arpa
options : mdns
timeout : 2
order : 300004

resolver #8
domain : b.e.f.ip6.arpa
options : mdns
timeout : 2
order : 300005

Bij crontab -l zegt hij: no crontab for user...

Daedalus schreef op maandag 28 april 2008 @ 20:47:
Dat ziet er allemaal goed uit. Ik denk dat je nu wel verlost bent van deze trojan. OSX/DNSChanger doet opzich niet zulke spannende dingen als rootkits installeren of verborgen bestanden, alhoewel er natuurlijk altijd een variant uit kan komen die dat wel doet. Als je de originele .pkg nog hebt zou je die nog uit elkaar kunnen trekken en de installatiescripts kunnen bestuderen.

Hmmz, die heb ik niet meer.

Norton heeft dus alles wel in quarantaine gezet, waarna ik die bestanden heb verwijderd. ScanMac heeft geen spy- of adware gevonden en vannacht zal ik nogmaals Norton draaien. Duurde erg lang!

Bedankt voor de hulp.

PS: Ik heb net mijn modem gereset en in het DNS-veld in de netwerkinstellingen staat nu nog maar 1 IP-adres (dat van mijn modem), voor het resetten stonden er nog 2 bij.. ook eng!

[ Voor 10% gewijzigd door Verwijderd op 28-04-2008 21:05 ]

Ik bezocht een website, die deed lijken of ik een plugin moest installeren. Ik deed dat dus netjes. Het is dan ook geen virus, maar een trojan horse.

Na het installeren ging ik me zorgen maken, Google'en en jahoor... pech! Toen DNSchanger.com bezocht, tool gedraaid en dan zegt hij: gevonden, verwijderen? Natuurlijk! En nogmaals gedraaid, was er niet meer.

Toen maar Norton geïnstalleerd, ook handig omdat ik Parallels met Windows Vista draai, wat meer risico's op virussen geeft. Norton af en toe draaien kan geen kwaad. En er is nog geen serialkey voor nodig.