Spyware, Keylogger?
 

Im Feb 2017 hatte ich bereits einen keylogger auf meinem Rechner. Von Malwarebytes erkannt und gelöscht. Festplatte gelöscht und komplette Neuinstallation.
Meine Ex hat interne Informationen, die ich mir nicht erklären kann. Wurde mein REchner infiziert?
Ich bin totaler Laie. Deswegen bitte Geduld mit mir?

Malwarebytes Anti-Malware 1.2.6.730 system report - 2. Juni 2017 um 08:30:02 MESZ
Mac OS X version Version 10.12.6 (Build 16G12b)
System uptime: 0d 02:48:40
Helper tool version: 1.2.6.730
Signatures version: 206

Safari extensions
-----------------------
FS
FS
Name: Ghostery
Path: /Users/FS/Library/Safari/Extensions/Ghostery.safariextz
Modified: 2017-05-23 11:34:51 +0000

Name: JS Blocker 5
Path: /Users/FS/Library/Safari/Extensions/JS Blocker 5.safariextz
Modified: 2017-05-28 09:07:14 +0000

Name: TrafficLight
Path: /Users/FS/Library/Safari/Extensions/TrafficLight.safariextz
Modified: 2017-05-23 11:30:23 +0000


Chrome extensions
-----------------------

Firefox extensions
-----------------------

User Login Items
-----------------------
User: FS
Name: CleanMyMac 3 Menu
Path: /Applications/CleanMyMac 3.app/Contents/MacOS/CleanMyMac 3 Menu.app


System startup items
-----------------------

User launch agents
-----------------------
/Users/FS/Library/LaunchAgents/com.macpaw.CleanMyMac3.Scheduler.plist

System launch agents
-----------------------
/Library/LaunchAgents/com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist
/Library/LaunchAgents/com.bitdefender.antivirusformac.plist
/Library/LaunchAgents/com.intego.commonservices.integomenu.plist
/Library/LaunchAgents/com.intego.commonservices.taskmanager.plist
/Library/LaunchAgents/com.intego.commonservices.uninstaller.plist
/Library/LaunchAgents/com.intego.netbarrier.alert.plist
/Library/LaunchAgents/com.intego.netupdate.agent.plist

System launch daemons
-----------------------
/Library/LaunchDaemons/com.adobe.ARMDC.Communicator.plist
/Library/LaunchDaemons/com.adobe.ARMDC.SMJobBlessHelper.plist
/Library/LaunchDaemons/com.bitdefender.AuthHelperTool.plist
/Library/LaunchDaemons/com.bitdefender.upgrade.plist
/Library/LaunchDaemons/com.bombich.ccchelper.plist
/Library/LaunchDaemons/com.intego.commonservices.daemon.integod.plist
/Library/LaunchDaemons/com.intego.commonservices.daemon.taskmanager.plist
/Library/LaunchDaemons/com.intego.commonservices.icalserver.plist
/Library/LaunchDaemons/com.intego.commonservices.metrics.kschecker.plist
/Library/LaunchDaemons/com.intego.netbarrier.daemon.logger.plist
/Library/LaunchDaemons/com.intego.netbarrier.daemon.monitor.plist
/Library/LaunchDaemons/com.intego.netbarrier.daemon.plist
/Library/LaunchDaemons/com.intego.netupdate.daemon.plist
/Library/LaunchDaemons/com.macpaw.CleanMyMac3.Agent.plist
/Library/LaunchDaemons/com.malwarebytes.HelperTool.plist
/Library/LaunchDaemons/com.microsoft.autoupdate.helper.plist
/Library/LaunchDaemons/com.microsoft.office.licensingV2.helper.plist
/Library/LaunchDaemons/me.hide.osxhelper.plist

Kernel extensions
-----------------------
/Library/Extensions/ACS6x.kext
/Library/Extensions/ArcMSR.kext
/Library/Extensions/ATTOCelerityFC8.kext
/Library/Extensions/ATTOExpressSASHBA2.kext
/Library/Extensions/ATTOExpressSASRAID2.kext
/Library/Extensions/CalDigitHDProDrv.kext
/Library/Extensions/HighPointIOP.kext
/Library/Extensions/HighPointRR.kext
/Library/Extensions/PromiseSTEX.kext
/Library/Extensions/SelfProtect.kext
/Library/Extensions/SoftRAID.kext
/Library/Extensions/TMProtection.kext

launchd.conf contents
-----------------------


Hosts file
-----------------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting. Do not change this entry.
##
127.0.0.1 localhost
255.255.255.255 broadcasthost
::1 localhost
fe80::1%lo0 localhost


Scan log
-----------------------
2017-05-27 10:40:17 :
2017-05-27 10:40:17 : ----- Scan Started -----
2017-05-27 10:40:17 : Scanning with signatures version 205 (2017-5-26)
2017-05-27 10:40:26 : *** Scan time: 0d 00:00:08 ***
2017-05-27 10:40:26 : ------ Scan Ended ------
2017-05-27 19:15:13 :
2017-05-27 19:15:14 : ----- Scan Started -----
2017-05-27 19:15:14 : Scanning with signatures version 206 (2017-5-27)
2017-05-27 19:15:29 : *** Scan time: 0d 00:00:15 ***
2017-05-27 19:15:29 : ------ Scan Ended ------
2017-05-28 12:58:16 :
2017-05-28 12:58:16 : ----- Scan Started -----
2017-05-28 12:58:16 : Scanning with signatures version 206 (2017-5-27)
2017-05-28 12:58:29 : *** Scan time: 0d 00:00:13 ***
2017-05-28 12:58:29 : ------ Scan Ended ------
2017-05-30 06:24:55 :
2017-05-30 06:24:56 : ----- Scan Started -----
2017-05-30 06:24:56 : Scanning with signatures version 206 (2017-5-27)
2017-05-30 06:25:07 : *** Scan time: 0d 00:00:11 ***
2017-05-30 06:25:07 : ------ Scan Ended ------
2017-05-30 07:58:08 :
2017-05-30 07:58:09 : ----- Scan Started -----
2017-05-30 07:58:09 : Scanning with signatures version 206 (2017-5-27)
2017-05-30 07:58:20 : *** Scan time: 0d 00:00:11 ***
2017-05-30 07:58:20 : ------ Scan Ended ------
2017-05-30 08:14:54 :
2017-05-30 08:14:54 : ----- Scan Started -----
2017-05-30 08:14:54 : Scanning with signatures version 206 (2017-5-27)
2017-05-30 08:15:05 : *** Scan time: 0d 00:00:10 ***
2017-05-30 08:15:05 : ------ Scan Ended ------
2017-05-30 08:35:05 :
2017-05-30 08:35:05 : ----- Scan Started -----
2017-05-30 08:35:05 : Scanning with signatures version 206 (2017-5-27)
2017-05-30 08:35:23 : *** Scan time: 0d 00:00:18 ***
2017-05-30 08:35:23 : ------ Scan Ended ------
2017-05-30 09:31:52 :
2017-05-30 09:31:53 : ----- Scan Started -----
2017-05-30 09:31:53 : Scanning with signatures version 206 (2017-5-27)
2017-05-30 09:32:07 : *** Scan time: 0d 00:00:14 ***
2017-05-30 09:32:07 : ------ Scan Ended ------
2017-05-30 15:42:09 :
2017-05-30 15:42:09 : ----- Scan Started -----
2017-05-30 15:42:09 : Scanning with signatures version 206 (2017-5-27)
2017-05-30 15:42:31 : *** Scan time: 0d 00:00:21 ***
2017-05-30 15:42:31 : ------ Scan Ended ------
2017-05-31 06:00:31 :
2017-05-31 06:00:31 : ----- Scan Started -----
2017-05-31 06:00:31 : Scanning with signatures version 206 (2017-5-27)
2017-05-31 06:00:43 : *** Scan time: 0d 00:00:11 ***
2017-05-31 06:00:43 : ------ Scan Ended ------
2017-05-31 07:28:56 :
2017-05-31 07:28:57 : ----- Scan Started -----
2017-05-31 07:28:57 : Scanning with signatures version 206 (2017-5-27)
2017-05-31 07:29:11 : *** Scan time: 0d 00:00:14 ***
2017-05-31 07:29:11 : ------ Scan Ended ------
2017-06-02 06:25:07 :
2017-06-02 06:25:07 : ----- Scan Started -----
2017-06-02 06:25:07 : Scanning with signatures version 206 (2017-5-27)
2017-06-02 06:25:19 : *** Scan time: 0d 00:00:11 ***
2017-06-02 06:25:19 : ------ Scan Ended ------
2017-06-02 08:29:32 :
2017-06-02 08:29:32 : ----- Scan Started -----
2017-06-02 08:29:33 : Scanning with signatures version 206 (2017-5-27)
2017-06-02 08:29:43 : *** Scan time: 0d 00:00:10 ***
2017-06-02 08:29:43 : ------ Scan Ended ------

:hallo:

Mein Name ist Dante12 und ich versuche dir bei deinem Problem zu helfen so gut ich kann. Bitte arbeite so lange mit, bis ich dir mein Ok gebe. Beachte folgende Punkte damit die Arbeit nicht unnötig erschwert wird.

• Ruhe bewahren!
• Bitte führe keine Installation / Deinstallation durch so lange wir hier an dem Problem arbeiten
• Nutze nur die Software die ich dir bei der Bereinigung anbiete - keine zusätzlichen Tools die die Arbeit erschweren würden.
• Stelle Fragen bitte sofort damit kurzfristig darauf reagiert werden kann.
• Lösche keine Daten selbständig von denen du nicht sicher bist ob diese mit einer Malware zu tun haben.
• Geduld! Für gewöhnlich antworte ich kurzfristig auf Anfragen. Jedoch kommt es schon mal vor, dass es etwas länger dauert. Solltest du aber binnen 24 Stunden keine Antwort erhalten, schicke mir bitte eine Nachricht.

Du hast zwei Virenscanner auf deinen Rechner (Intego und Bitdefender), hinzu kommt noch ein Tool das nachweislich eher schadet als es nützt -> CleanMyMac.

Bitte zunächst alles deinstallieren und ein neues EtreCheck log erstellen.

Wie kann ich Bitdefender auf den Mac deinstallieren

How to Uninstall Intego Products

Um CleanMyMac 3 zu entfernen befolge folgende Anleitung: How to uninstall CleanMyMac 3 danach führe folgende Schritte noch aus:

Entferne die Datei ~/Library/LaunchAgents/com.macpaw.CleanMyMac3.Scheduler.plist

• Um diese Datei anzeigen zu lassen, kopiere und füge die nachfgolde Zeile in das kleine Finder-Fenster ein und drücke Enter.
• Im Finder-Menü -> Gehe Zu... -> Gehe zum Ordner... auswählen und die kopierte Zeile einfügen:
  
• Code:

  ---

  ~/Library/LaunchAgents/

  ---

• Nachfolgende Datei suchen und löschen:
• Code:

  ---

  com.macpaw.CleanMyMac3.Scheduler.plist

  ---

• Danach öffne deine Systemeinstellungen -> Benutzer & Gruppen -> Anmeldeobjekte.
• Wähle alle Einträge mit CleanMyMac und klicke auf das Minus(-) Zeichen.
• Neustart

Frage

- Was meinst du mit interne Informationen

Hallo Dante12,
danke für Deine Antwort. Auf Deine Frage: sie hat Informationen, die nur von meinem MacBook stammen können. Ihr neuer Freund ist IT-Spezialist. Deswegen die Sorge...

EtreCheck kommt gleicht :)

Sorry, hatte BitDefender vergessen. Brauche ich kein AV-Programm?

Dir ist klar das du macOS Beta drauf hast?

Ich nicht ungewöhnliches gefunden...

Schritt 1

Prüfen mit DetectX

1. Lade dir bitte DetectX herunter. Entpacken und auf deinen Desktop verschieben.
2. Starte die App und aktiviere die Checkbox See hidden Files. Oben im Fenster von DetectX klicke auf den Pull-Down Button und wähle All Searches und klicke anschließend auf Search.
3. Wenn etwas gefunden wurde, navigiere zu den entsprechenden Ordnern und lösche es manuell. Bei den Systemordnern musst du das Löschen mit deinem Passwort bestätigen.
4. Wenn du dir beim löschen nicht sicher bist, dann Frage lieber einmal mehr hier im Forum.
   
   http://dante.trojaner-board.de/bilder/detectX.png
   
5. Wenn du damit fertig bist, klicke anschließend auf den Slider von DetectX so das der Pfeil auf die Mitte zeigt und anschliessend auf Ausführen (Dreieckssymbol mit Datum). Siehe Bild.
   
   http://dante.trojaner-board.de/bilde...X-contents.png
   
6. Klicke anschließend auf den Button Copy um das Log in die Zwischenablage zu kopieren.
   
   http://dante.trojaner-board.de/bilder/detectX-copy.png
   
7. Füge das Log hier in das Forum in Code-Tags ein.
8. Du kannst jetzt DetectX beenden. Wenn du die versteckten Datein (Hidden Files) weiter anzeigen lassen willst, klicke auf NO sonst auf YES.

Schritt 2

SysDiag

1. Lade dir bitte das script SysDiag.sh von unseren Server herunter
2. Entpacken und auf dein Desktop verschieben
3. Öffne dein Terminal und gebe folgendes ein (kopieren und einfügen) - du benötigst dein Admin-Passwort:
   
   Code:

   ---

   cd ~/Desktop;sh sysDiag.sh

   ---

4. Kopiere das Log und füge es hier ein - wie immer bitte in Code-Tags

Hallo Dante12,

schon mal Danke bis jetzt. SysDiag folgt.
Ja, ich weiss, dass ich die Beta drauf hab. Läuft einwandfrei.

Hier nun der Rest:

Schritt 1

Entferne bitte TrafficLight aus deinen Safari-Erweiterungen. Das gehört zu Bitdefender.

Schritt 2

Öffne bitte TextEdit und wähle Neues Dokument. Aus dem Menü Format -> In reinen Text umwandeln.
Füge den Inhalt aus der Code-Box dort ein und speichere es auf deinem Desktop unter RMscript.sh.
Terminal öffnen und folgenden Befehl einfügen. Enter drücken.
Kopiere das Log und füge es hier ein.

Neustart und erstelle bitte ein neues SysDiag-Log.

Hallo Dante12,

ich habe die Datei wie gewünscht erstellt:

und hier der sys text:

Hallo Dante12,

ich möchte mich schon mal für die bisherige Hilfe bedanken.

Warum sollte ich eigtl. Bitdefender deinstallieren? Gibt es bessere Alternativen? Oder ist mit Malwarebytes schon genug Schutz gegeben?

Hallo Dante12,
Sorry, beim Kopieren ist irgend etwas falsch gelaufen. Hier update. Mea culpa

Du hast das Script oben als RTF gespeichert daher die Konflikte.

Versuche es mal so:

1. Starte dein Terminal und gebe folgendes ein:
2. Code:

   ---

   cd ~/Desktop; nano RMscript.sh

   ---

3. Jetzt hast du im Terminal ein leeres Fenster. Kopiere das Script von oben (RMscript.sh)
4. Füge es in das Terminal ein mit CMD + V.
5. Drücke Control (Strg) + O um es abzuspeichern.
6. Drücke Control (Strg) + X um nano zu verlassen
7. Jetzt probiere es wieder damit:
8. Code:

   ---

   sh RMscript.sh

   ---

Ich danke Dir für Deine Geduld :) Ist es das, was Du meintest?

und hier jetzt noch einmal sysdiag nach neustart:

:D

Leider nein, ein letzter Versuch wenn es dann nicht klappt machen wir es manuell:

Bitte befolge den Lesestoff!

Hi Dante12,

es kommt nur diese Meldung... 3x versucht. Wenn ich Rechner platt amchen soll, sag es ruhig ;) Hab kein Problem damit...

Oh man Sorry, da muss sich ein Fehler eingeschlichen haben den finde ich leider nicht.

Wir machen das manuell. Die Schritte sind immer gleich, Pfad kopieren und Datei löschen...

1. Bitte lies dir den Lesestoff durch
2. Kopiere den angegebenen Pfad aus der Code-Box einzeln und füge es in das Finder fenster. Drücke Enter um den Pfad zu öffnen.
3. Lösche die in ROT markierten Dateien und Ordner.

Im Terminal folgendes kopieren, einfügen und mit Passwort bestätigen:

Neustart und ein neues SysDiag - Log.

Frage & Antwort:

Kann es sein das deine Ex Zugang zu deinen iCloud - Daten hat? In dem Fall ändere alle Passwörter und Sicherheitsfragen.
Ein AV brauchst du nicht wirklich. Du hast schon mit Gatekeeper, XProtect und Sandbox ausreichend Schutz. Viel mehr wird ein AV auch nicht finden.

Guten Morgen Dante12,
Ich glaube, jetzt hat es endlich geklappt...
Nein, sie hat keinen Zugang. Ich habe die Zweifaktor-Authentifizierung. Ich habe dennoch PW vorsichtshalber geändert.

Wenn nichts zu finden ist, ist es zumindest beruhigend, dass ich nicht gehackt wurde. Solltest Du noch etwas von mir brauchen, gib bitte Info. Werde es dann am Abend hochladen. Ansonsten noch ein schönes Restpfingsten und DANKE für Deine Geduld und Hilfe :)

Habe noch eine Frage:

Die deinstallierten und nun komplett entfernten Programme erscheinen unter den "Systeminformationen" - "Software" - "Installationen". Wie kann ich diese Historie aktualisieren bzw. die gelöschten Programme dort entfernen?
Danke im Voraus.
Segafredo

:daumenhoc

Alles Ok .

Lies mal hier, allerdings ist bei macOS das Log-System verteilt so das es unmöglich ist die History komplett zu löschen. Tipp: Lies dir mal die man-pages von newsyslog durch.

Als letzter Schritt kannst du noch die Systemcaches leeren in dem du einen Neustart durchführst und die Shift-Taste gedrückt hältst. Einloggen brauchst du dich nicht, mache danach wieder einen Neustart.

Alternativ kannst du im Terminal folgendes eingeben:
Das war's

Hallo Dante12,

danke für Deine Unterstützung und für die Beantwortung meine "Laienfragen". Du bist super.

Segafredo