Sony-BMG Rootkit auf MacOSX _entfernen_?

Ernst_42

schläft auf dem Boardsofa
Letztes jahr gab's ja schon die Diskussion zum Rootkit. Auch mit dem Hinweis auf die Heise-Meldung bezüglich MacOSX.

Gibt's eigentlich auch eine Anleitung, wie man sich das Zeugs auch wieder sauber vom Halse schaffen kann???

:columbo Das in obigem Thread genannte Tool von LavaSoft ist für die Windows-Welt...
Eine Google-Suche hat zwar einiges an Informationen, aber wenig bis nix zur Abhilfe ergeben. :(


Warum ich frage?

Letztens hab' ich einige CDs in meine iTunes-Bibliothek aufgenommen :) und bei der nächsten Anmeldung taucht plötzlich eine Fehlermeldung auf :eek: , dass (irgendein Prozess) keine Verbindung zu "secure.sony-bmg.com" (oder so ähnlich) aufbauen konnte (Computer Offline). :kinnlade (Ab hier schrillten dann doch die Alarmglocken! :kotz )

Über Sony-BMG gibt's nur ein leckeres Update der Software... (na vielen Dank auch. :wand (n) )

Noch'n interessanter Nachsatz:
Es handelte sich um Sampler, ich habe keinen special Content auf den CDs 'besucht', es kam keine "EULA" und ich wurde nicht nach einem Admin-Kennwort gefragt...
Dennoch kam es zu oben genannter Fehlermeldung(!!!)

Grüße
 

jabberj

assimiliert
seltsam

eigentlich sollte bei dieser Sony rootkit Geschichte ein Programm «manuell»
gestartet werden ( start.app). Durchsuch mal deinen Rechner nach:

- PhoenixNub1.kext
- PhoenixNub12.kext

wenn diese Extensions auf deinem Rechner sind, hast du das Teil installiert, wie auch immer???
Aber ohne Passwortvergabe :eek: :eek: :eek: sollte sich das Programm eigentlich nicht installieren lassen und itunes läd keine Programme
 

jabberj

assimiliert
Ok:

Wenn du nicht nach einem Passwort gefragt wurdest, kann dieses rootkit
nur in deinem Userverzeichnis liegen:
Also schau doch mal unter:
Library_

- Itunes Plugin
- Application Support

nach Sachen wie:

bundle/ drm/ sony/ mediamax/ SunnComm/ - PhoenixNub1.kext
- PhoenixNub12.kext

Und lösch das Teil .... zur Not als Admin/ Root anmelden und anschließend wieder als User... :)
 

Ernst_42

schläft auf dem Boardsofa
Nachtrag (auf den Rechner selbst kann ich erst später gucken, mit dem geh' ich zur Zeit keinen Schritt ins Internet) :

Die benannte Fehlermeldung kam, nachdem ich als anderer User (ebenfalls _keine_ Adminrechte) angemeldet war... kann also nicht ausschließlich im Userbereich liegen.

Danke aber schon mal für die Tipps, _wo_ ich suchen soll... (die Namen waren in den alten Heisemeldungen schon da, nur nicht der Ort, wo man suchen soll... - und das mir als unerfahrenem Mac-Naivling ;))

Grüße
 

Ernst_42

schläft auf dem Boardsofa
So, nach ausführlicher Suche (die etwas länger gedauert hat, weil ich das root-Kennwort erst mal suchen musste ;)) kann ich also folgendes berichten:

Kein Hinweis auf die genannten Dateien/Verzeichnisse...(!)
Es deutet also auf _keine_ Verseuchung hin.

Ich frage mich allerdings weiterhin, woher diese Verbindungsaufbau-Fehlermeldung kam (bisher nicht wieder aufgetaucht), die ja irgendein Prozess ausgelöst haben muss.

*absolut ratlos*
Grüße
 
Oben