Hallo, Liebe Grüße an das Forum.
Ich hatte in letzter Zeit Probleme mit meinem Macbook air. Als ich mir letztens die Logs ansah ist mir aufgefallen , dass mein Rechner jede Std. über einen RTC Alarm aufgeweckt wurde, danach wurde auf eine Bluetooth-Schnittstelle zugegriffen und irgendwas in einer Datenbank-Datei gesichert, die aber nicht auf meinem Rechner liegt. Ich glaube da wurde ein Laufwerk gemountet. Ich hab alle Log-Dateien gesichert, falls ihr euch das ansehen wollt.
Was mir danach auffiel: über die Gui war kein Root-Nutzer gesetzt, wenn ich über die Konsole ein Passwort setzen wollte, war eins gesetzt, das ich eingeben sollte. Dann tauchten Ordner im Root Verzeichnis von OS X auf, auf die ich gar keinen Zugriff hatte.

Ich gab das System auf, erstellte einen bootbaren USB-Stick und installierte das System neu. Leider wurde das System wieder gehackt. Beim nächsten Versuch deaktivierte ich Bluetooth und W-Lan, so schien alles OK. Nach einiger Zeit im Internet tauchten wieder diese Dateien im Root-Verzeichnis auf. Ich hatte meine Firewall sehr restriktiv eingestellt. In den Logs sah ich dann, dass mehrfach versucht wurde über udp eine Verbindung aufzubauen, zunächst ohne Erfolg, irgendwann klappte es dann.

Als ich mir über bootdisk alle Laufwerke anzeigen lies, waren neben der disk für os x 13 weitere vorhanden, die konnte ich aber nicht löschen, weil dafür root-Rechte notwendig waren.
Meinen bootbaren Usb-Stick habe ich von meinem gehackten os x erstellt. Bei der Partition für die Treiber ist mir aufgefallen, dass sie bei mir efi efi heisst, apple benennt sie aber nur mit efi, das ist glaube ich konvention. Ich glaube eine Sicherheitslücke sind veränderte Treiber.
Ich versichere euch, dass ich keine Raubkopien auf meinem Rechner hatte.
Könnt Ihr mir helfen da wieder rauszukommen?

Viele Grüße

Lade Dir bitte etrecheck herunter und führe es aus:

hxxp://www.etresoft.com/etrecheck

Kopiere das Log in die Zwischenablage und füge es hier in "Code-Tags" ein. Achte darauf das persönliche Informationen unkenntliche gemacht werden.

Gruß,
-dante

Weil sich mein Rechner ständig neu startete hatte ich die Partition von meinem Betriebssystem formatiert. Heute morgen wieder neu installiert. Ich hoffe die Logs sind aussagekräftig.

Code: Alles auswählenAufklappen

ATTFilter

EtreCheck version: 2.0.11 (98)
Bericht vom 8. November 2014 02:18:00 GMT-8

Hardware-Informationen: ℹ️
    MacBook Air 11 pouces 
    MacBook Air - Modell: MacBookAir3,1
    1 1.6 GHz Intel Core 2 Duo CPU: 2-core
    4 GB RAM Nicht erweiterbar
        BANK 0/DIMM0
            2 GB DDR3 1067 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1067 MHz ok
    Bluetooth: Älter - Handoff/Airdrop2 nicht unterstützt
    Wireless:  en0: 802.11 a/b/g/n

Video Informationen: ℹ️
    NVIDIA GeForce 320M - VRAM: 256 MB
        Color LCD 1366 x 768

System-Software: ℹ️
    OS X 10.10 (14A389) - Laufzeit: 0:46:5

Festplatteninformationen: ℹ️
    APPLE SSD TS128C disk0 : (121,33 GB)
    S.M.A.R.T. Status: Verifiziert
        EFI (disk0s1) <nicht sichtbar>  : 210 MB 
        OS X (disk0s2) /  [Startup] : 120.47 GB (110.49 GB frei)
        Recovery HD (disk0s3) <nicht sichtbar>  [Erholung] : 650 MB 

USB-Informationen: ℹ️
    Apple Inc. FaceTime Camera (Built-in) 
    Apple Inc. BRCM2070 Hub 
        Apple Inc. Bluetooth USB Host Controller 
    Apple Inc. Apple Internal Keyboard / Trackpad 

Gatekeeper: ℹ️
    Mac App Store und verifizierte Entwickler

Anmeldeobjekte: ℹ️
    Keiner

Internet Plug-Ins: ℹ️
    Default Browser: Version: 600 - SDK 10.10
    QuickTime Plugin: Version: 7.7.3

Einstellungskarten von Drittanbietern: ℹ️
    Keiner

Time Machine: ℹ️
    Time Machine nicht konfiguriert!

Top Prozesse von der CPU: ℹ️
        13%    WindowServer
         2%    hidd
         0%    identityservicesd
         0%    fontd
         0%    AppleSpell

Top Prozesse vom Speicher: ℹ️
    142 MB    mds_stores
    90 MB    Finder
    73 MB    softwareupdated
    64 MB    sandboxd
    56 MB    WindowServer

Informationen zum virtuellen Speicher: ℹ️
    1.72 GB    Freier RAM
    1.41 GB    Aktive RAM
    356 MB    Inaktive RAM
    538 MB    Wired RAM
    2.38 GB    Seite-ins
    0 B    Seite-outs
         

Leider nicht, waren das wirklich alle Einträge?
Es fehlen sämtliche Startobjekte hast du die aus dem Log entfernt?

Wenn Du das System heute morgen neu aufgesetzt hast, bestehen die Probleme noch und wie genau wirkt sich das aus?

Bitte erstelle nochmal ein Log und lösche nichts ausser die persönlichen Einträge wie dein Name / Username usf.

Gruß,
-dante

Mein EtreCheck sieht genau so aus, ich hab keine persönlichen Infos rausgenommen, weil da keine waren, auch keine Startobjekte. Ich hab den Test wiederholt (Als Admin) und er hat sich nicht verändert.
Wenn ich mit bootdisk info meine Festplatte prüfe sind neben der Disk für os x 13 weitere vorhanden, die ich nicht erstellt habe und auch nicht löschen kann.
Im Root-Verzeichnis von Os x sind Ordner auf die ich als admin nicht zugreifen kann und die da nicht hingehören (s. screenshot)
Obwohl ich bluetooth ausgeschaltet hab, verbindet sich etwas über bluetooth (s. Screenshot). Kein Bluetooth Gerät ist gekoppelt.
Mein Finder sucht von selbst nach Image-Dateien (s. Screenshot)

Das mit den Screenshots hat gerade nicht geklappt, liefere ich aber nach

Viele Grüße

13 Partitionen sind eine Menge mal sehen was wir machen können.

Was sagt den

Code: Alles auswählenAufklappen

ATTFilter

diskutil list
         

Hast du mal versucht im Recovery-Modus alle zu löschen und das System zu installieren?

Ich habe den dikutil befehl ausgeführt. Da waren die 13 disks, s. Screenshot. Allerdings konnte ich nicht alle löschen, sieht man auch in den bildern. Dazu habe ich einen Link gefunden.

hxxp://apple.stackexchange.com/questions/59422/how-to-partition-an-ssd-that-fails-with-error-69888-couldnt-unmount-disk

Mir ist auch aufgefallen, dass die Dateien ,die mein Finder automatisch sucht der UUID dieser Disks entspricht

Ich hab noch ein Problem: nachdem Partitionen gelöscht wurden, tauchen sie wieder auf. Mittlerweile gibt es glaube ich eine zweite Partition mit os x, auf die ich nicht zugreifen kann.

Mir ist bei meinem alten System aufgefallen ,dass die Recovery HD ausgehängt wurde, das Logging deaktiviert und danach wieder einghängt wurde.

Ach ja und noch etwas: Die Partition mit den Treibern heißt bei mir nicht efi, sondern efi efi.

Hallo,

Offensichtlich verweisen die Partitionen auf deinen /tmp-Ordner. Diese Situation hatte ich auch noch nicht. Du kannst aber folgendes versuchen.

1. Ändere bitte das Passwort deiner Apple-ID (zur Sicherheit ich habe keinen Ansatz für einen Befall gefunden)

https://appleid.apple.com

Nach der Änderung teste ob dein neues Passwort akzeptiert wird - also auf der Apple-ID Seite Aus- und wieder Einloggen.

2. Lade dir aus dem App-Store dein Betriebssystem herunter.

Der Installer startet nach dem Ladevorgang automatisch. Bitte nicht fortfahren sonst wird das heruntergeladene OS wieder gelöscht. Statt dessen beende den Installer über das Menu.

3. Formatiere ein USB-Stick mit HFS+ über das Festplattendienstprogramm und vergebe einen Namen z.B. Yosemite.

4. Terminal öffnen und und folgendes eingeben:

Code: Alles auswählenAufklappen

ATTFilter

df
         

Dort müsste jetzt auch dein USB-Stick zu sehen sein mit dem Namen dem du vergeben hast.

5. Installations-USB erstellen

Code: Alles auswählenAufklappen

ATTFilter

 sudo /Applications/Install\ OS\ X\ Yosemite.app/Contents/Resources/createinstallmedia --volume /Volumes/Name-des-USB-Sticks/ --applicationpath /Applications/Install\ OS\ X\ Yosemite.app/ --nointeraction
         

Wobei "Name-des-USB-Sticks" durch deinen vergebenen Namen ersetzt wird.

6. Starte vom USB-Stick und versuche vor dort aus zunächst über das Festplattendienstprogramm die partitionen zu löschen. Wenn das nicht klappt mit vorangestelltem "sudo" mittels diskutil die Partitionen zu löschen.

Denk daran das du nicht versuchst die einzelnen Partitionen zu löschen sondern über das Festplattendienstprogramm die Disk zu löschen dann sollten auch alle anderen Partitionen weg sein. Rechtsklick auf dies entsprechende Disk und löschen auswählen.

Du hast auch über den Bootbaren USB-Stick Zugriff auf das Terminal so das du mit diskutil die Partitionen bearbeiten kannst.

Befehle:

df oder diskutil list -- kennst du ja schon listet alle Partitionen auf
diskutil eraseVolume HFS+ Blank /dev/disk0s4 -- löscht die entsprechende Partition
diskutil mergePartitions HFS+ /dev/disk0s3 /dev/disk0s4 -- vereint zwei Partitionen



Hoffe das funktioniert.

Gruß,
-dante

Danke, dein Bootstick funktioniert richtig gut, jetzt konnte ich endlich im Dienstprogramm den Debug-Modus aktivieren. Das Löschen der gesamten Festplatte hat nicht funktioniert. Als ich mich damit beschäftigt hab fiel mir auf, dass die fremden Disks im Geräteverzeichnis viel höher liegen (Screenshots). Kann man da was machen?
Könnte es sein, dass die Anderen Disks im Temp-Verzeichnis deswegen nicht verschwinden, weil sie nicht unter /dev/disk gemountet sind?
Wenn ich mit einem Fremden Dateisystem formatiere müsste doch alles weg sein oder?

Ich hab noch ein sehr großes Problem. Bisher hab ich alles mit meinem ipad gemacht. Heute hab ich mir die logs angeschaut und gesehen, dass es gestern 80 wakeups aufrund von rtc gab. Das kann man beim ipad aber gar nicht konfigurieren. Bei meinem gehackten os x gab es jede std. einen rtc wakeup, danach wurde über bluetooth zugegriffen ?! Ich habs nicht gejailbreakt.

Hi,

Ich glaube das mit dem wakeup scheint wohl von deinem Router (genauer: "DHCP lease Time" zu kommen. Versuch mal dein smc zu resetten vielleicht hilft das ja. Bei deinem anderen Problem habe ich dir eine PM geschickt. Warum glaubst du das du gehackt wurdest ich konnte da keine Ansatz finden.

Kann sein, dass ich mittlerweile Gespenster sehe. Ich sag dir mal was ich beobachtet habe und du sagst, ob das seine Richtigkeit hat:

Im Verzeichnis meiner ssd im finder gibt es zwei versteckte Ordner (home und net), die vorher nicht da waren, ein Verzeichnis tiefer genauso.
Bei einem neu installierten System wurde etwas erzeugt, das sich wormhole nennt. Es bekam eine id. Als ich danach gegoogelt hab, ging es um ein Programm für Remote-Zugriff.
Bei meinem ursprünglichen System zeigte die Gui, dass es keinen Root-Nutzer gibt. Als ich im terminal passwd root eingab sollte ich kein Passwort setzen, sondern ein vorhandenes eingeben. Deutet das nicht auf ein Rootkit hin?
Kuck dir bitte nochmal meinen letzten Screenshot an. Dürfen die zwei Disks 2 und 3 wirklich da sein?

Hi,

Also das Root-Passwort bzw. der Root, hier einige Informationen die du selbst prüfen kannst. In der Regel wenn Du im Recovery-Modus startest, dann bist du automatisch Root im Verzeichnis /private/var/root. im normalen Betrieb hast du da keinen Zugriff.
Prüfe selbst ob bei Dir root eingeschaltet ist:

hxxp://support.apple.com/de-de/HT1528
Weitere Infos dazu: hxxp://support.apple.com/de-de/HT2963

disk3 ist dein Base-System also das System mit dem auch der Recovery-Modus gestartet wird. Das ist im normalen Betrieb nicht sichtbar und im Recovery-Modus IMMER sichtbar.

disk2 ist ein angemeldetes *.dmg was du wahrscheinlich mal im normalen Betrieb geöffnet hast. Mit Rechtsklick darauf kannst du es auswerfen.

wormhole kenne ich nur als Applikation. Hast du das vielleicht auf dein Handy oder ITunes bezogen?

Schau mal in deinen Programm-Ordner ob dort der Server installiert ist

Code: Alles auswählenAufklappen

ATTFilter

Wormhole Remote Server.app
         

Wenn ja, in den Papierkorb damit.
Dann such auch in folgendes Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

/Library/Application Support/SIMBL/Plugins/Wormhole Remote SIMBL Component.bundle
         

Auch in den Papierkorb danach Aus- und wieder Einloggen.

Suche nach wormehole:
Gib bitte die nachfolgenden Befehle nacheinander ein und Poste diese hier. Wie immer persöliche Informationen wie Ordner und Namen unkenntlich machen:

Code: Alles auswählenAufklappen

ATTFilter

sudo find / -iname "*worm*" -print > ~/Desktop/wormsuche.txt
         

Code: Alles auswählenAufklappen

ATTFilter

ls -al /Library/Launch* ~/Library/LaunchAgents/ > ~/Desktop/Launcher.txt
         

Code: Alles auswählenAufklappen

ATTFilter

ls -al /Library/Internet\ Plug-Ins/ ~/Library/Internet\ Plug-Ins/  > ~/Desktop/plugins.txt
         

Auf deinem Desktop müssten jetzt drei *.txt Dateien sein. Mache alles persönliche unkenntlich und füge den kopierten Inhalt hier im Forum ein.

Bei wormhole bin ich mir nicht sicher, wenn du eine leere Textdatei hast, dann wurde nichts gefunden.

Gruß,
-dante

Hi Dante12.
Die disk2 sträubt sich. Über das FPDienstprogramm kann ich sie nicht auswerfen, auch nicht deaktivieren. Löschen und wiederherstellen geht auch nicht. Ich habs dann mit diskutil unmountDisk force probiert, ging nicht ( disk is busy o. ä.). hdiutil unmount force gab den Fehler 49168.
Momentan ist aber zwar gar kein os x installiert, ich hab aber mal mit lsof und grep geschaut, ob prozesse auf /dev/disk2 zugreifen. War nichts. Was kann ich denn noch tun?

Was passiert denn wenn du in der Konsole den Befehl "mount" eingibst?

Edit: Das ist auch das Image was Du wahrscheinlich aus dem Paketinhalt vom Installer heraus gebrannt hast richtig?