Unbekanntes Anmeldeobjekt MacBook

Adrachin:

Auf meinem MacBook befindet sich ein Ameldeopjekt unbekannter Herkunft. Um was handelt es ich? Hier der Code ist angehängt.

LiquidGPT:

Lade die Datei hier hoch, dann kann ich sie analysieren und dir sagen, worum es sich handelt.

LiquidGPT:

Ich werde die Datei analysieren, um herauszufinden, um was es sich handelt. Moment bitte.

LiquidGPT:

Die Datei scheint eine Binärdatei zu sein, da sie nicht als reiner Text lesbar ist. Ich werde weitere Analysen durchführen, um herauszufinden, um was für eine Datei es sich handelt.

LiquidGPT:

Die Datei ist eine Mach-O Universal Binary, das heißt, sie enthält ausführbaren Code für mehrere Architekturen (x86_64 und arm64e). Das bedeutet, es handelt sich um eine MacOS-Anwendung oder ein ausführbares Programm.

Falls du nicht weißt, woher die Datei stammt, könnte sie möglicherweise schädlich sein. Ich empfehle dir:

1. Prüfen, ob die Datei von einem bekannten Programm stammt
   Falls du ein neues Programm installiert hast, könnte es zu diesem gehören.

2. Die Datei auf Virustotal hochladen (www.virustotal.com)
   Dort kannst du sie auf bekannte Malware-Hashes scannen lassen.

3. Mit codesign -dvv /Pfad/zur/Datei im Terminal prüfen
   Dieser Befehl zeigt Informationen zur Signatur der Datei. Falls sie nicht von Apple oder einer bekannten Quelle signiert ist, sei vorsichtig.

4. Mit ls -l@ /Pfad/zur/Datei die Herkunft überprüfen
   Manchmal zeigen erweiterte Dateiattribute, woher die Datei stammt.

Falls du weitere Analysen brauchst, kann ich die Datei auch weiter untersuchen.

Adrachin:

tsc@macbook-pro-1 ~ % codesign -dvv /usr/bin/open
Executable=/usr/bin/open
Identifier=com.apple.open
Format=Mach-O universal (x86_64 arm64e)
CodeDirectory v=20400 size=1287 flags=0x0(none) hashes=35+2 location=embedded
Platform identifier=16
Signature size=4442
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Signed Time=14 Dec 2024 at 10:00:23
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=64
tsc@macbook-pro-1 ~ %

LiquidGPT:

Die Datei /usr/bin/open ist ein legitimes macOS-Systemprogramm, das von Apple signiert wurde. Es handelt sich um das Kommandozeilen-Tool open, das verwendet wird, um Dateien, Verzeichnisse oder URLs mit den Standardanwendungen zu öffnen.

Hier sind einige typische Befehle, die du mit open ausführen kannst:

1. Eine Datei oder einen Ordner öffnen

   open ~/Documents

   Dies öffnet den „Dokumente“-Ordner im Finder.

2. Ein Programm starten

   open -a "Safari"

   Das startet Safari.

3. Eine URL im Standardbrowser öffnen

   open https://www.apple.com

4. Eine Datei mit einer bestimmten App öffnen

   open -a "TextEdit" ~/Desktop/test.txt

   Das öffnet test.txt mit TextEdit.

Da die Signatur von Apple stammt und das Programm für macOS essentiell ist, gibt es keinen Grund zur Sorge. Falls du die Datei versehentlich woandershin kopiert hast oder unsicher bist, ob sie manipuliert wurde, kannst du sie mit dem Befehl csrutil status im Terminal überprüfen (falls System Integrity Protection aktiviert ist, ist die Datei geschützt).

Falls du dachtest, die Datei sei verdächtig, lag das wohl nur an ihrem generischen Namen open. Sie gehört aber tatsächlich zu macOS.

Adrachin:

Verdächtig ist nur dass sich das in den Systemeinstellungen Anmeldeobjekte & Erweiterungen befindet.

LiquidGPT:

Wenn /usr/bin/open als Anmeldeobjekt in den Systemeinstellungen erscheint, ist das ungewöhnlich, da open selbst nur ein Kommandozeilenprogramm ist und nicht direkt als Login-Item laufen sollte. Es gibt ein paar mögliche Erklärungen:

1. Eine App nutzt open zum Starten

• Manche Anwendungen fügen sich als Anmeldeobjekt hinzu, indem sie open verwenden, um sich selbst oder ein zugehöriges Skript zu starten.
• Überprüfung:
  • Schau in den Systemeinstellungen > Anmeldeobjekte & Erweiterungen, ob eine App mit open verbunden ist.
  • Falls open dort als eigenständiger Eintrag auftaucht, könnte es sein, dass eine App diesen Eintrag hinzugefügt hat.

2. Ein Hintergrundprozess oder Skript nutzt open

• Wenn ein Shell-Skript oder Automator-Workflow open verwendet, könnte es beim Start des Macs automatisch ausgeführt werden.
• Überprüfung:
  • Öffne das Terminal und führe aus:

    launchctl list | grep open

    Falls ein Prozess mit open verbunden ist, könnte das auf einen Autostart-Job hinweisen.

3. Malware oder unerwünschte Software?

• Falls open unerwartet in den Anmeldeobjekten erscheint, könnte ein unbekanntes Skript oder eine App dahinterstecken.
• Überprüfung:
  • Schau nach verdächtigen LaunchAgents oder LaunchDaemons:

    ls -l ~/Library/LaunchAgents
    ls -l /Library/LaunchAgents
    ls -l /Library/LaunchDaemons

    Falls dort unbekannte .plist-Dateien auftauchen, poste den Namen hier, dann kann ich dir sagen, ob sie problematisch sind.

Lösung: Entfernen aus den Anmeldeobjekten

Falls open als Anmeldeobjekt eingetragen ist:

1. Systemeinstellungen > Anmeldeobjekte & Erweiterungen öffnen.
2. Falls open dort als Eintrag steht, entferne es.
3. Mac neustarten und prüfen, ob es sich wieder hinzufügt.

Falls es nach dem Neustart wieder auftaucht, könnte eine App oder ein Hintergrundprozess es erneut hinzufügen. In dem Fall sollten wir den Ursprung genauer analysieren.

Lass mich wissen, was du in den Logs oder den launchctl-Listen findest!

Adrachin:

Last login: Fri Mar 14 08:58:00 on ttys000
tsc@macbook-pro-1 ~ % launchctl list | grep open
539 0 application.com.openai.chat.13893833.13893838

• 0 com.openssh.ssh-agent
  tsc@macbook-pro-1 ~ %

ls -l /Library/LaunchAgents
ls -l /Library/LaunchDaemons
total 64
-rw-r—r— 1 tsc staff 580 17 Dez 17:19 app.cradle.CradleLicenseUpdater.plist
-rw-r—r—@ 1 tsc staff 733 10 Feb 16:53 com.bjango.istatmenus.agent.plist
-rw-r—r—@ 1 tsc staff 737 10 Feb 16:53 com.bjango.istatmenus.status.plist
-rw-r—r—@ 1 tsc staff 767 17 Dez 17:23 com.google.GoogleUpdater.wake.plist
-rw-r—r—@ 1 tsc staff 181 17 Dez 17:22 com.google.keystone.agent.plist
-rw-r—r—@ 1 tsc staff 181 17 Dez 17:22 com.google.keystone.xpcservice.plist
-rw-r—r—@ 1 tsc staff 891 19 Dez 21:10 com.solidstatelogic.analytics.plist
-rw-r—r— 1 tsc staff 579 14 Mär 08:48 com.sonarworks.soundid.reference.systemwide.plist
total 80
-rw-r—r— 1 root wheel 529 6 Mai 2022 com.antares.antares-central-service.plist
-rw-r—r— 1 root wheel 522 6 Mai 2022 com.antares.antares-central-tray.plist
-rw-r—r— 1 root wheel 1068 6 Mär 17:15 com.paceap.eden.licensed.agent.plist
-rw-r—r— 1 root wheel 537 10 Mär 16:42 com.philandro.anydesk.Frontend.plist
-rw-r—r—@ 1 root wheel 814 8 Okt 14:28 com.rogueamoeba.arkaudiod.plist
-rwxr-xr-x 1 root wheel 692 6 Feb 17:27 com.sonnox.listenhub.agent.plist
-rw-r—r— 1 root wheel 654 16 Nov 04:02 com.uaudio.ua_mixer_engine.plist
-rw-r—r— 1 root wheel 618 16 Nov 04:02 com.uaudio.uad-meter.plist
-rw-r—r—@ 1 root wheel 515 17 Dez 15:31 com.waves.wls.agent.plist
-rw-r—r—@ 1 root wheel 520 17 Dez 15:31 com.waves.wps.V15.2.agent.plist
total 224
-rw-r—r— 1 root wheel 520 18 Dez 10:31 SAC-Helper-Tool.plist
-rw-r—r— 1 root wheel 547 17 Dez 17:19 app.cradle.CradleHubHelper.plist
-rw-r—r— 1 root wheel 616 20 Dez 15:30 com.apple.musicapps.InstallerHelperTool.plist
-rwxr-xr-x 1 root wheel 624 26 Dez 13:37 com.audinate.dante.ConMon.plist
-rw-r—r— 1 root wheel 591 17 Dez 11:02 com.avid.bsd.shoetoolv120.plist
-rw-r—r—@ 1 root wheel 619 10 Feb 16:52 com.bjango.istatmenus.daemon.plist
-rw-r—r— 1 root wheel 584 31 Dez 15:57 com.bjango.istatmenus.installer.plist
-rw-r—r—@ 1 root wheel 584 8 Mär 16:26 com.docker.socket.plist
-rw-r—r—@ 1 root wheel 667 8 Mär 16:26 com.docker.vmnetd.plist
-rw-r—r— 1 root wheel 1403 2 Dez 15:05 com.image-line.flc-install-helper-socket.plist
-rw-r—r— 1 root wheel 632 18 Dez 15:38 com.native-instruments.NativeAccess.Helper2.plist
-rw-r—r— 1 root wheel 1290 6 Mär 17:15 com.paceap.eden.licensed.plist
-rw-r—r— 1 root wheel 622 10 Mär 16:42 com.philandro.anydesk.Helper.plist
-rw-r—r— 1 root wheel 529 10 Mär 16:42 com.philandro.anydesk.service.plist
-rw-r—r— 1 root wheel 624 17 Dez 16:27 com.plugin-alliance.pa-installationhelper.plist
-rw-r—r— 1 root wheel 835 14 Jan 11:31 com.softube.installerdaemon.helper.plist
-rw-r—r— 1 root wheel 717 17 Dez 20:47 com.sonarworks.soundid.reference.systemwide.ipc_proxy.plist
-rw-r—r— 1 root wheel 690 18 Dez 19:25 com.spitfireaudio.LibraryManagerHelper.plist
-rw-r—r— 1 root wheel 839 2 Mär 10:17 com.steinberg.HALionLibraryInstallerHelper.plist
-rw-r—r— 1 root wheel 785 2 Mär 10:16 com.steinberg.SilentInstallHelper.plist
-rw-r—r— 1 root wheel 580 1 Feb 18:22 com.toontrack.installer.helper.plist
-rw-r—r— 1 root wheel 572 16 Nov 04:02 com.uaudio.UAD2KextLoader.plist
-rw-r—r— 1 root wheel 544 26 Dez 13:35 com.uaudio.bsd.helper.plist
-rw-r—r— 1 root wheel 1271 17 Dez 15:22 com.waves.central.InstlHelper.plist
-rw-r—r— 1 root wheel 886 9 Aug 2023 com.wibu.CodeMeter.Server.plist
-rw-r—r— 1 root wheel 851 9 Aug 2023 com.wibu.CodeMeter.WebAdmin.plist
-rw-r—r— 1 root wheel 612 23 Dez 21:58 com.xlnaudio.onlineinstallerhelpertool.plist
-rw-r—r— 1 root wheel 580 20 Dez 18:06 net.telestream.LicensingHelper.plist
tsc@macbook-pro-1 ~ %

LiquidGPT:

Analyse der verdächtigen Einträge

1. launchctl list | grep open zeigt zwei relevante Prozesse:

• application.com.openai.chat.13893833.13893838 → Das gehört zur OpenAI ChatGPT-App, also unproblematisch.
• com.openssh.ssh-agent → Das ist ein normaler SSH-Agent, der Schlüssel speichert und verwaltet, wenn du SSH-Verbindungen nutzt.

💡 Ergebnis: Keine direkte Bedrohung sichtbar.

2. LaunchAgents & LaunchDaemons – Verdächtige Einträge?

Hier sind einige Dienste, die vielleicht den open-Prozess starten:

🟡 Mögliche Kandidaten für den Eintrag “open” in den Anmeldeobjekten

1. com.google.GoogleUpdater.wake.plist → Google-Updater, könnte Chrome oder eine andere Google-Software sein.
2. com.google.keystone.agent.plist → Google Software Updater, läuft oft im Hintergrund.
3. com.sonarworks.soundid.reference.systemwide.plist → Sonarworks SoundID Reference (Audio-Korrektur-Software).
4. com.waves.wls.agent.plist & com.waves.wps.V15.2.agent.plist → Waves Audio Plugins, laden oft Hintergrundprozesse.
5. com.plugin-alliance.pa-installationhelper.plist → Plugin Alliance, könnte automatische Updates starten.

Was kannst du tun?

🔹 1. Prüfen, was in den Anmeldeobjekten steht

• Öffne Systemeinstellungen → Anmeldeobjekte & Erweiterungen.
• Falls dort open als Eintrag steht, entferne es und starte den Mac neu.
• Schau, ob es nach einem Neustart wieder erscheint.

🔹 2. Testweise verdächtige Dienste deaktivieren
Falls open wieder auftaucht, versuche, verdächtige Agenten zu deaktivieren:

launchctl unload -w /Library/LaunchAgents/com.google.keystone.agent.plist
launchctl unload -w /Library/LaunchAgents/com.waves.wls.agent.plist
launchctl unload -w /Library/LaunchAgents/com.sonarworks.soundid.reference.systemwide.plist

(Das entfernt sie nicht, sondern verhindert nur das Laden beim Booten.)

🔹 3. Logs prüfen, was open startet

• Öffne das Terminal und gib ein:

  log stream --predicate 'eventMessage contains "open"' --info

  Das zeigt in Echtzeit an, wenn etwas open ausführt.

Fazit

open selbst ist harmlos, aber eine App oder ein Daemon nutzt es vermutlich zum Starten von etwas anderem. Wahrscheinlich ist es Google Updater, Waves oder Sonarworks. Falls du den Schuldigen herausfinden willst, entferne den Eintrag in den Anmeldeobjekten, deaktiviere verdächtige Prozesse und überprüfe die Logs.

Lass mich wissen, was du herausfindest! 🚀

Adrachin:

Das reicht vorerst. Ich kann mich erinner das Anmeldeobjekt schon früher gesehen zu haben. Gegebenenfalls werde ich weiter Nachforschungen anstellen.

LiquidGPT:

Klingt nach einem guten Plan. Falls das Anmeldeobjekt keine Probleme verursacht, ist es wahrscheinlich harmlos – aber gut, dass du ein Auge drauf hast. Falls es wieder auftaucht oder du tiefer graben willst, kannst du mich jederzeit darauf ansprechen. Viel Erfolg mit deinen weiteren Nachforschungen! 🚀🔍