FacebookTwitterLinkedIn

So entfernt man Proton Malware vom Betriebssystem

Auch bekannt als: Proton RAT
Typ: Mac Virus
Schadenshöhe: Stark

Tomas Meskauskas Verfasst von am (aktualisiert)

Was ist Proton Malware?

Proton ist der Name eines bösartigen Programms, das als RAT (Ferntzugrifftrojaner) klassifiziert wird. Diese Art von Malware wurde entwickelt, um den Fernzugriff auf und die Kontrolle über ein infiziertes Gerät zu ermöglichen.

RATs sind in der Lage, die Kontrolle über einen Computer auf Benutzerebene oder nahe daran zu ermöglichen. Diese Trojaner können über eine Vielzahl bösartiger Fähigkeiten verfügen, die auf ebenso vielfältige Weise genutzt werden können.

Es wurde beobachtet, dass Proton unter dem Deckmantel der Virenschutzanwendung "Symantec Malware Detector" verbreitet wird. Es ist jedoch nicht unwahrscheinlich, dass diese RAT als andere Produkte getarnt oder mit anderen Produkten gebündelt werden kann, selbst mit legitimen Produkten, die echte Apple-Code-Signaturen (d.h. Zertifikate) aufweisen.

Es muss betont werden, dass die Proton-Malware in keiner Weise mit der eigentlichen NortonLifeLock Inc. in Verbindung gebracht werden kann. (früher bekannt als Symantec) in Verbindung gebracht wird.

Proton malware detections on VirusTotal

Proton RAT ist in der Lage, bestimmte Befehle auszuführen und bis zu einem gewissen Grad System-/Personendateien zu verwalten. Es kann Geräteinformationen sammeln, z.B. Hardware-Seriennummer, MacOS (Mac Operating System)-Version, installierte Anwendungen und zuletzt ausgeführte Terminalbefehle.

Darüber hinaus fordert es während der Installation von Proton unter dem Deckmantel des gefälschten "Symantec Malware Detector" die Benutzer auf, den Benutzernamen und das Passwort des Administratorkontos anzugeben. Dieses bösartige Programm sammelt auch Informationen über die Surfaktivitäten, z.B. besuchte URLs, betrachtete Seiten, eingegebene Suchanfragen, Browser-Cookies, IP-Adressen und Geo-Standorte.

Zu den weiteren Fähigkeiten von Proton gehören das Anfertigen von Screenshots und die Videoaufzeichnung über die Webcam des Geräts. Die primäre Funktionalität dieses Trojaners ist jedoch die Datenextraktion, insbesondere Passwörter.

Er kann diese Anmeldedaten von Keychain Access- und 1Password-Passwortmanagern sowie von der kryptographischen Software-Suite GNU Privacy Guard (GPG) erhalten. Darüber hinaus kann Proton Tastenanschläge aufzeichnen (Keylogging); diese Funktion wird in ähnlicher Weise verwendet, um Zugangsdaten zu Konten (d.h. Benutzernamen/Passwörter) und andere sensible Daten (z.B. Finanzinformationen) zu erfassen.

Eine weitere Funktionalität dieses bösartigen Programms besteht darin, den Benutzern benutzerdefinierte native Dialogfenster zu präsentieren, die zur Eingabe bestimmter Informationen auffordern können (z.B. Bankkontoinformationen, Kreditkartendaten, Führerschein usw.). Zusammenfassend lässt sich sagen, dass die Präsenz von Proton auf Systemen zu finanziellen Verlusten, schwerwiegenden Datenschutzproblemen und Identitätsdiebstahl führen kann.

Wenn der Verdacht besteht oder bekannt ist, dass das Proton RAT oder andere Malware das System bereits infiziert hat - muss ein Anti-Virus eingesetzt werden, um es sofort zu eliminieren.

Zusammenfassung der Bedrohung:
Name Proton RAT
Art der Bedrohung Phishing, Betrug, Mac Malware, Mac Virus
Erkennungsnamen Avast (MacOS:Proton-F [Trj]), BitDefender (Trojan.MAC.Proton.I), ESET-NOD32 (eine Variante von OSX/Proton.F), Kaspersky (HEUR:Backdoor.OSX.Proton.d), vollständige Liste (VirusTotal)
Symptome Ihr Mac wird langsamer als normal, Sie sehen unerwünschte Pop-up-Anzeigen, Sie werden auf dubiose Webseiten weitergeleitet.
Verbreitungsmethoden Betrügerische Pop-up-Anzeigen, kostenlose Software-Installationsprogramme (Bündelung), gefälschte Flash Player-Installationsprogramme, Torrent-Datei-Downloads.
Schaden Verfolgung des Internet-Browsers (mögliche Datenschutzprobleme), Anzeige unerwünschter Werbung, Weiterleitungen auf dubiose Webseiten, Verlust privater Informationen.
Malware-Entfernung (Mac)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mac mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.
▼ Combo Cleaner für Mac herunterladen
Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.

XCSSET, Gmera, Tarmac, NUKESPED und AppleJeus sind einige Beispiele für andere Mac-spezifische Schadprogramme. Malware kann eine breite Palette von Funktionen haben, die von der Ermöglichung des Fernzugriffs/der Fernsteuerung bis hin zur Datenverschlüsselung für Lösegeldzwecke reichen.

Unabhängig davon, wie Schadsoftware funktioniert, ist das Endziel jedoch dasselbe - den Cyberkriminellen, die sie verwenden, Einnahmen zu verschaffen. Malware-Infektionen stellen eine ernsthafte Bedrohung für die Geräte- und Benutzersicherheit dar. Es wird daher dringend empfohlen, alle Systeminfektionen unverzüglich zu entfernen.

Wie hat Proton meinen Computer infiziert?

Wie in der Einleitung erwähnt, wird das Proton RAT als "Symantec Malware Detector"-Antivirus getarnt verbreitet. Abgesehen von der Verwendung des legitimen Firmennamens "Symantec" gehört der vollständige Name - "Symantec Malware Detector" - zu keinem echten Produkt.

Diese gefälschte Anwendung wurde über inzwischen offline geschaltete bösartige Websites verbreitet, die dem Symantec-Blog sehr ähnlich sind. Auf den ersten Blick schien das gefälschte Blog echt zu sein, doch bei genauerem Hinsehen - es war offensichtlich unrechtmäßig (z. B. ein legitimes SSL-Zertifikat, das nicht von Symantecs eigener Zertifizierungsstelle ausgestellt wurde).

Der Blog-Beitrag, in dem Proton als "Symantec Malware Detector" beworben wurde, betraf eine angeblich neue Variante des Schadprogramms CoinThief, und das gefälschte Antivirenprogramm war angeblich in der Lage, CoinThief zu erkennen und zu entfernen. Danach wurden Links zu dem illegitimen "Symantec"-Blog in Twitter stark getweetet (wahrscheinlich über Konten, die von Proton RAT gekapert wurden).

Möglicherweise wird Proton jedoch mit verschiedenen Tarnungen und Methoden beworben. Im Allgemeinen wird Malware über nicht vertrauenswürdige Downloadkanäle (z. B. inoffizielle und kostenlose File-Hosting-Sites, Peer-to-Peer-Freigabe-Netzwerke und andere Drittanbieter-Downloadprogramme), illegale Aktivierungswerkzeuge ("Cracking"), gefälschte Updates und Spam-Kampagnen verbreitet.

"Cracking"-Werkzeuge können bösartige Software herunterladen/installieren, anstatt lizenzierte Produkte zu aktivieren. Gefälschte Updateprogramme infizieren Systeme, indem sie Schwächen veralteter Produkte ausnutzen und/oder einfach Malware installieren, anstatt die Updates zu aktivieren. Spam-Kampagnen sind groß angelegte Operationen, bei denen Tausende von Betrugs-E-Mails verschickt werden.

Diese Briefe enthalten Download-Links zu infektiösen Dateien und/oder die Dateien sind den E-Mails angehängt. Bösartige Dateien können in verschiedenen Formaten vorliegen (z.B. PDF- und Microsoft Office-Dokumente, Archiv- und ausführbare Dateien, JavaScript usw.), und wenn sie ausgeführt, ausgeführt oder anderweitig geöffnet werden, wird die Infektionskette (d.h. Download/Installation von Malware) in Gang gesetzt.

Wie können Malware-Infektionen vermieden werden?

Es wird empfohlen, Software zu recherchieren und nur aus offiziellen und verifizierten Quellen herunterzuladen. Darüber hinaus müssen alle Produkte mit Hilfe von Werkzeugen/Funktionen aktiviert und aktualisiert werden, die von legitimen Entwicklern zur Verfügung gestellt werden.

Da zur Verbreitung von Malware häufig illegale Aktivierungswerkzeuge ("Cracks") und Updateprogramme von Drittanbietern eingesetzt werden. Verdächtige und/oder irrelevante E-Mails dürfen nicht geöffnet werden, insbesondere keine darin gefundenen Links oder Anhänge - da dies zu einer hochriskanten Infektion führen kann.

Um die Sicherheit von Gerät und Benutzer zu gewährleisten, ist es von größter Wichtigkeit, eine seriöse Antiviren-/Anti-Spyware-Suite installiert zu haben. Darüber hinaus muss diese Software auf dem neuesten Stand gehalten werden, um regelmäßige System-Scans durchzuführen und erkannte/potenzielle Bedrohungen zu entfernen.

Wenn Ihr Computer bereits mit PUAs infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um diese automatisch zu entfernen.

Proton-Malware, getarnt als die gefälschte "Symantec Malware Detector"-App:

Proton malware disguised as fake Symantec Malware Detector application

Umgehende automatische Entfernung von Mac-Malware: Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Mac-Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
 ▼ LADEN Sie Combo Cleaner herunter (Mac) Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.

Schnellmenü:

Das Video zeigt, wie man Adware und Browserentführer von einem Mac Computer entfernt:

Entfernung potenziell unerwünschter Anwendungen:

Potenziell unerwünschte Anwendungen von Ihrem "Programme" Ordner entfernen:

mac browser hijacker removal from applications folder

Klicken Sie auf das Finder Symbol. Im Finder Fenster, wählen Sie "Programme". Im Anwendungen Ordner, suchen Sie nach “MPlayerX”,“NicePlayer”, oder anderen verdächtigen Anwendungen und ziehen sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die online Werbung verursachen, scannen Sie Ihren Mac auf verbleibende, unerwünschte Komponenten.

Proton RAT bezogene Dateien und Ordner entfernen:

Finder go to folder command

Klicken Sie auf das Finder Symbol aus der Menüleiste, wählen Sie Gehen und klicken Sie auf Zum Ordner gehen...

step1Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchAgents Ordner:

removing adware from launch agents folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/LaunchAgents

removing adware from launch agents folder step 2
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step2Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/Application Support Ordner:

removing adware from application support folder step 1

Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/Application Support

removing adware from application support folder step 2
Im "Application Support" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Ordnern. Zum Beispiel "MplayerX" oder "NicePlayer" und bewegen Sie diese Ordner in den Papierkorb.

step3Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im ~/Library/LaunchAgents Ordner:

removing adware from ~launch agents folder step 1


Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchAgents

removing adware from ~launch agents folder step 2Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese Ordner in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.

step4Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchDaemons Ordner:

removing adware from launch daemons folder step 1
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchDaemons

removing adware from launch daemons folder step 2Im "LaunchDaemons" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien. Zum Beispiel "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist", etc., und bewegen Sie diese in den Papierkorb.

step 5 Scannen Sie Ihren Computer mit Combo Cleaner:

Wenn Sie alle Schritte in der richtigen Reihenfolge befolgt haben, sollte Ihr Mac frei von Infektionen sein. Um sicherzustellen, dass Ihr System nicht infiziert ist, scannen Sie es mit Combo Cleaner Antivirus. HIER herunterladen. Nach dem Herunterladen der Datei, klicken Sie auf das Installationsprogramm combocleaner.dmg. Ziehen Sie im geöffneten Fenster das Symbol Combo Cleaner auf das Symbol Anwendungen und legen Sie es dort ab. Öffnen Sie jetzt Ihr Launchpad und klicken Sie auf das Symbol Combo Cleaner. Warten Sie, bis Combo Cleaner seine Virendatenbank aktualisiert hat und klicken Sie auf die Schaltfläche „Combo Scan starten“.

scan-with-combo-cleaner-1

Combo Cleaner scannt Ihren Mac jetzt auf Infektionen mit Malware. Wenn der Antivirus-Scan „Keine Bedrohungen gefunden“ anzeigt, heißt das, dass Sie mit dem Entfernungsleitfaden fortfahren können. Andernfalls wird empfohlen, alle gefundenen Infektionen vorher zu entfernen.

scan-with-combo-cleaner-2

Nachdem Dateien und Ordner entfernt wurden, die von dieser werbefinanzierten Software erzeugt wurden, entfernen Sie weiter falsche Erweiterungen von Ihren Internetbrowsern.

Proton RAT Startseiten und Standard Internetsuchmaschinen von Internetbrowsern:

safari browser iconBösartige Erweiterungen von Safari entfernen:

Proton RAT bezogene Safari Erweiterungen entfernen:

safari browser preferences

Öffnen Sie den Safari Browser. Aus der Menüleiste wählen Sie "Safari" und klicken Sie auf "Benutzereinstellungen...".

safari extensions window

Im Benutzereinstellungen Fenster wählen Sie "Erweiterungen" und suchen Sie nach kürzlich installierten, verdächtigen Erweiterungen. Wenn Sie sie gefunden haben, klicken Sie auf "Deinstallieren" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von ihrem Safari Browser deinstallieren können. Keine davon sind unabdingbar für die normale Funktion des Browsers.

  • Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Safari zurücksetzen.

firefox browser iconBösartige Programmerweiterungen von Mozilla Firefox entfernen:

Proton RAT bezogene Mozilla Firefox Zusätze entfernen:

accessing mozilla firefox add-ons

Öffen Sie Ihren Mozilla Firefox Browser. In der oberen rechten Ecke des Bildschirms, klicken Sie auf das "Menü öffnen" (drei horizontale Linien) Symbol. Aus dem geöffneten Menü wählen Sie "Zusätze".

removing malicious add-ons from mozilla firefox

Wählen Sie den "Erweiterungen" Reiter und suchen Sie nach allen kürzlich installierten, verdächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Entfernen" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen deinstallieren von Ihrem Mozilla Firefox Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

chrome-browser-iconBösartige Erweiterungen von Google Chrome entfernen:

Proton RAT bezogene Google Chrome Zusätze entfernen:

removing malicious google chrome extensions step 1

Öffnen Sie Google Chrome und klicken Sie auf das "Chrome Menü" (drei horizontale Linien) Symbol, das sich in der rechten oberen Ecke des Browserfensters befindet. Vom Klappmenü wählen Sie "Mehr Hilfsmittel" und wählen Sie "Erweiterungen".

removing malicious Google Chrome extensions step 2

Im "Erweiterungen" Fenster, suchen Sie nach allen kürzlich installierten, versächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Papierkorb" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von Ihrem Google Chrome Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.

▼ Diskussion einblenden

Über den Autor:

Tomas Meskauskas

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben. Lesen Sie mehr über den Autor.

Das Sicherheitsportal PCrisk wurde von vereinten Sicherheitsforschern entwickelt, um Computeranwender über die neuesten Online-Sicherheitsbedrohungen aufzuklären. Weitere Informationen über die Autoren und Forscher, die bei PCrisk arbeiten, finden Sie auf unserer Kontaktseite.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Über uns

PCrisk ist ein Cybersicherheitsportal, das Internet-Benutzer über die neuesten digitalen Bedrohungen informiert. Unsere Inhalte werden von Sicherheitsexperten und professionellen Malware-Forschern bereitgestellt. Lesen Sie mehr über uns.

Entfernungsanweisungen in anderen Sprachen
Neue Ratgeber zum Entfernen von Viren
Hochwertige Ratgeber zum Entfernen von Viren
QR Code
Proton RAT QR code
Scannen Sie diesen QR Code, um einfachen Zugriff auf einen Entfernungsleitfaden für Proton RAT auf Ihrem mobilen Gerät zu haben.
Wir empfehlen:

Entfern Sie Mac-Malware Infektionen noch heute:

▼ JETZT ENTFERNEN
Combo Cleaner für Mac herunterladen

Plattform: macOS

Bewertung des Herausgebers für Combo Cleaner:
BewertungAusgezeichnet!

[Zum Seitenanfang]

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr.