Rechner sofort befallen nach clean install

Schlendrian

Hallo, Liebe Grüße an das Forum.
Ich hatte in letzter Zeit Probleme mit meinem Macbook air. Als ich mir letztens die Logs ansah ist mir aufgefallen , dass mein Rechner jede Std. über einen RTC Alarm aufgeweckt wurde, danach wurde auf eine Bluetooth-Schnittstelle zugegriffen und irgendwas in einer Datenbank-Datei gesichert, die aber nicht auf meinem Rechner liegt. Ich glaube da wurde ein Laufwerk gemountet. Ich hab alle Log-Dateien gesichert, falls ihr euch das ansehen wollt.
Was mir danach auffiel: über die Gui war kein Root-Nutzer gesetzt, wenn ich über die Konsole ein Passwort setzen wollte, war eins gesetzt, das ich eingeben sollte. Dann tauchten Ordner im Root Verzeichnis von OS X auf, auf die ich gar keinen Zugriff hatte.

Ich gab das System auf, erstellte einen bootbaren USB-Stick und installierte das System neu. Leider wurde das System wieder gehackt. Beim nächsten Versuch deaktivierte ich Bluetooth und W-Lan, so schien alles OK. Nach einiger Zeit im Internet tauchten wieder diese Dateien im Root-Verzeichnis auf. Ich hatte meine Firewall sehr restriktiv eingestellt. In den Logs sah ich dann, dass mehrfach versucht wurde über udp eine Verbindung aufzubauen, zunächst ohne Erfolg, irgendwann klappte es dann.

Als ich mir über bootdisk alle Laufwerke anzeigen lies, waren neben der disk für os x 13 weitere vorhanden, die konnte ich aber nicht löschen, weil dafür root-Rechte notwendig waren.
Meinen bootbaren Usb-Stick habe ich von meinem gehackten os x erstellt. Bei der Partition für die Treiber ist mir aufgefallen, dass sie bei mir efi efi heisst, apple benennt sie aber nur mit efi, das ist glaube ich konvention. Ich glaube eine Sicherheitslücke sind veränderte Treiber.
Ich versichere euch, dass ich keine Raubkopien auf meinem Rechner hatte.
Könnt Ihr mir helfen da wieder rauszukommen?

Viele Grüße