Habe am 21.2. idiotischerweise auf eine gefakte Videomarkierung eines Facebookfreundes geklickt und somit einen trojaner aktiviiert, der meine FB-Freunde dann auhc belästigt hat. Nach Warnung der Freunde, Meldung des Missbrauchs bei FB habe ich meinen Account erst mal ganz gelöscht.
Was mich mehr beunruhigt? Ist mein Mac (MBA Mitte 2013) möglicherweise jetzt befallen?
Virus BArrier express sagt nein. Avira (heute installiert) findet allerlei Warnungen, ich kann aber die Logfiles beim besten Willen nicht rauskopieren. Habe das jetzt schon seit Stunden versucht.
Habe als Nutzer mich, und einen Systemadminstrator eingerichtet und einen mir bis dato nicht merh erinnerbaren Gastnutzer,. Komme ich deshalb nicht an dei Logfiles?
Ich wäre froh um Unterstützung. Vielleicht ist MAc ja auch gar nciht gefährdet?
Mein problem: Meine Dissertation im Endstadium ist auf dem Rechner und leider seit drei Wochen aus anderen Hardware Problemen auch nicht mehr aktualisiert gesichert... Oh weh.
BAnkgeschäfte tätige ich mit dem Laptop auch. So ein Mist! Ich ärgere mich, dass ich geklickt habe, es hat mich einfach schockiert und in einem müden Moment erwischt.
Caro17

Ich schiebe dich mal ins Mac-Forum. Aber da sollte nix passiert sein

oh danke, und sorry, ich hab wohl zweimal gepostet.

Ergänzung: Obwohl ich lieber Schrauber glauben würde, dass mein mac nicht infiziert ist, bin ich jetzt doch unsicher: INzwischen hat das avira Lab eine Bestätigung der dorthin verschickten Lniks geschickt, (das konnte mana nklicken und das hat funktioniert im Gegensatz zum Exportieren) dass es sich um Malware handelt. Ich verstehe aber leider nicht, was ich jetzt konkret damit anfangen kann/soll...
Zweitens habe ich mich Facebook noch mal auf dem alten Account angemeldet, das PAsswort geändert und zwei Minuten später bekam ich einen Warnhinweis per MAil, dass sich jemand von einem anderen browser aus, von einem anderen Ort aus auf mein Konto eingeloggt hat. Habe mein Konto erneut geslöscht. Spricht das jetzt doch für einen Trojaner? Schicke jetzt die Avira Lsite mit:
Danke
Caro17
Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC01830549.

We received the following archive files:

File ID Filename Size (Byte) Result
28432497 quarantine.gz 454.09 KB OK
A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
28432498 8eadd748.vir 45.66 KB MALWARE
28432499 df516093.vir 38.47 KB MALWARE
28432500 5edc1417.vir 36.95 KB MALWARE
28432501 e28f2fc5.vir 53.69 KB MALWARE
28432502 c4e4c4a7.vir 149.52 KB MALWARE
28432503 a85a3e28.vir 148.49 KB MALWARE
28432504 ce70d3e1.vir 45.66 KB MALWARE
28432505 18776be2.vir 38.46 KB MALWARE
27823711 151013 PRINT pdf.exe 70.62 KB MALWARE
28432506 4a0173b4.vir 95.48 KB MALWARE
28432507 7a2b84e7.vir 45.66 KB MALWARE
28432508 100597f1.vir 38.46 KB MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result
8eadd748.vir MALWARE

The file '8eadd748.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38.
Filename Result
df516093.vir MALWARE

The file 'df516093.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38.
Filename Result
5edc1417.vir MALWARE

The file '5edc1417.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.xacx. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.142.138.
Filename Result
e28f2fc5.vir MALWARE

The file 'e28f2fc5.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.xacx. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.142.138.
Filename Result
c4e4c4a7.vir MALWARE

The file 'c4e4c4a7.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.EB.133. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.70.80.
Filename Result
a85a3e28.vir MALWARE

The file 'a85a3e28.vir' has been determined to be 'MALWARE'. Our analysts named the threat TR/Matsnu.EB.133. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system. Detection is added to our virus definition file (VDF) starting with version 7.11.70.80.
Filename Result
ce70d3e1.vir MALWARE

The file 'ce70d3e1.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38.
Filename Result
18776be2.vir MALWARE

The file '18776be2.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38.
Filename Result
151013 PRINT pdf.exe MALWARE

The file '151013 PRINT pdf.exe' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Androm.vmba. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data. Detection is added to our virus definition file (VDF) starting with version 7.11.107.220.
Filename Result
4a0173b4.vir MALWARE

The file '4a0173b4.vir' has been determined to be 'MALWARE'. Our analysts named the threat BDS/Androm.vmba. The term "BDS/" denotes a Backdoor-Server program. Backdoor-Server programs are used to spy out, modify or delete data. Detection is added to our virus definition file (VDF) starting with version 7.11.107.220.
Filename Result
7a2b84e7.vir MALWARE

The file '7a2b84e7.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38.
Filename Result
100597f1.vir MALWARE

The file '100597f1.vir' has been determined to be 'MALWARE'. Our analysts named the threat JS/iFrame.brb. The term "JS/" denotes a Java scriptvirus. Detection is added to our virus definition file (VDF) starting with version 7.11.38.38.

Alternatively you can see the analysis result here:
https://analysis.avira.com/en/status?uniqueid=Kqkqrv95t0T63yUTdW5PTO0LZdUVZzIV&incidentid=1830549

Hi,

du musst dir darüber klar sein, dass im Prinzip jede Massen-Malware die per Mail oder Facebooknachricht kommt, auf Windows-Systeme zielt. Sieht man ja hier:

Zitat:

151013 PRINT pdf.exe MALWARE

EXE-Dateien - typisch für die Windows-Plattform. Das ist auf unixoiden Systemen nativ NICHT ausführbar und daher können diese Teile keinen Schaden anrichten auf deinem Mac.

okay. Vielen Dank dir. Bin als jahrelange Macuserin bisher ohne Virusprobleme an sich auch nicht so leicht ins Bockshorn zu jagen. Nur diese Facebookattacke hat mich jetzt doch aufgeschreckt. Das würde bedeuten: Bei Facebook hab ich mir den Mist eingefangen und da ist der Virus auch in meinem Account noch aktiv, aber auf meinem Macbook nicht?
Ohne Facebook kann ich leben. Ohne meinen Macbook derzeit nicht.
Caro17

Da wurde wie gesagt nur Windows-Malware gefunden. Aber es ist ja schon wichtig zu wissen, wie dein Facebook-Konto gekapert wurde. Du verwendest welchen Browser genau? Und das OS war aktuell mit allen Patches zum Zeitpunkt wo du geklickt hast?

danke, cosinus, ich bin natürlich erst mal froh. Das letzte Update Yosemite hat mir gefehlt, ist jetzt aktualisiert. Ich hatte chrome verwendet, danach aber deinstalliert. Gerade verwende ich safari. Ich finde es beunruhigend, dass der Facebook account trotz passwortänderungen danach immer noch weiter gehackt werden kann ... das habe ich jetzt mal getestet durch löschen, wieder aktivieren, missbrauchsmeldung, löschen mehrere Male. Das habe ich allerdings von firefox aus getan, den ich noch nicht deinstalliert habe firefox 36.0 Safari Version 8.0.3 (10600.3.18)
Gruß Caro17

1. Systemlog
Folge dieser Anleitung: http://www.trojaner-board.de/158652-...dware-mac.html

Wähle aus dem Menu Scanner den Punkt Take System Snapshot
Kopiere anschließend den Inhalt ins Clipboard
Füge mit Command-V den Inhalt in Code-Tags hier in deinem Post.

2. Passwörter ändern.
Wenn ein Verdacht besteht, Passwörter nicht von einem infiziertem System aus ändern. Benutze dafür einen anderen Rechner.
Nutze weitere Sicherheitsmaßnahmen wie z.B. die Zwei-Faktor-Authentifizierung von Google. ICloud und andere Dienste bieten das ebenfalls an.

Die meisten Antivirenprogramme sind leider noch nicht so weit eine ausreichende Erkennung für Linux-/Unix-System anzubieten. Die Datenbanken basieren überwiegend auf Funde aus Windows-Systemen. Eine Bereinigung auf Unix-Systemen kann zu Beschädigung des Systems führen.

Gute und spezielle auf Mac und Linux ausgelegte AV-Programme sind z.B. Eset Cybersecurity, Sophos Antivirus und ClamAV.

Danke dante12. Habe die Daten angefügt. Scan ergab keine Bedrohung. Zweistufige Sicherheitskennwörter habe ich eingerichtet.
Werde meine sämtlichen Passwörter aus morgen von einem anderen Rechner aus ändern. Danke für den Tipp. Soll ich dann Avira und Virus Barrier express deinstallieren?
Gruß Caro17


AdwareMedic 2.2.2 system report - Sonntag, 1. März 2015 @ 07:37:31
Mac OS X version 10.10.2
7:37 up 9 hrs, 1 user, load averages: 1.31 1.35 1.49

Safari extensions
---------------
/Users/vongries/Library/Safari/Extensions/OpenIE.safariextz
Name: Open in Internet Explorer
Modified: Sonntag, 21. Juli 2013 @ 15:10:58

Chrome extensions
---------------
/Users/vongries/Library/Application Support/Google/Chrome/Default/Extensions/cfhdojbkjhnklbpkdaibdccddilifddb
Name: Adblock Plus
Modified: Mittwoch, 25. Februar 2015 @ 19:14:48

Firefox extensions
---------------
/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/web2pdfextension@web2pdf.adobedotcom
Name: Adobe Acrobat - Create PDF
Modified: Dienstag, 28. Mai 2013 @ 10:12:06
/Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/zotero@chnm.gmu.edu.xpi
Name: Zotero
Modified: Donnerstag, 26. Februar 2015 @ 08:12:13
/Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/zoteroMacWordIntegration@zotero.org
Name: Zotero Word for Mac Integration
Modified: Donnerstag, 15. Mai 2014 @ 23:11:01
/Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/{21e48e29-f574-4619-b65d-0f00eea92e5b}
Name: GoogleEnhancer
Modified: Mittwoch, 31. August 2011 @ 14:41:26
/Users/vongries/Library/Application Support/Firefox/Profiles/l5gy80zv.default/extensions/{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
Name: WOT
Modified: Donnerstag, 15. Mai 2014 @ 21:45:28

Login items
---------------
TomTomHOMERunner, Microsoft AU Daemon, iTunesHelper, AdobeResourceSynchronizer, Microsoft Word

Startup items
---------------
total 0
drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWNetMgr
drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWPortDetect
drwxr-xr-x 5 root wheel 170 Jul 18 2013 ParallelsDesktopTransporter

System startup items
---------------
total 0
drwxr-xr-x 5 root wheel 170 Jul 18 2013 CiscoVPN

User launch agents
---------------
total 16
-rw-r--r-- 1 vongries 501 468 Aug 24 2014 com.amazon.music.plist
-rw-r--r--@ 1 vongries 501 805 Nov 26 22:04 com.google.keystone.agent.plist

System launch agents
---------------
total 72
-rw-r--r-- 1 root wheel 612 May 28 2013 com.adobe.AAM.Updater-1.0.plist
-rw-r--r-- 1 root wheel 1382 Oct 20 09:40 com.avira.antivirus.general.agent.plist
-rw-r--r-- 1 root wheel 1616 Oct 20 09:40 com.avira.antivirus.ipm.ui.plist
-rw-r--r-- 1 root wheel 1396 Oct 20 09:40 com.avira.antivirus.notifications.agent.plist
-rw-r--r-- 1 root wheel 855 Mar 1 02:08 com.avira.antivirus.odscan.default.plist
-rw-r--r-- 1 root wheel 1396 Oct 20 09:40 com.avira.antivirus.scheduler.agent.plist
-rw-r--r-- 1 root wheel 1120 Oct 20 09:40 com.avira.antivirus.systray.plist
-rw-r--r-- 1 root wheel 1381 Oct 20 09:40 com.avira.antivirus.telemetry.agent.plist
-rw-r--r-- 1 root wheel 596 Feb 28 22:00 com.avira.antivirus.update.default.plist

System launch daemons
---------------
total 40
-rw-r--r-- 1 root wheel 462 Feb 3 02:56 com.adobe.fpsaud.plist
-rw-r--r-- 1 root wheel 1390 Oct 20 09:40 com.avira.antivirus.dbcleaner.plist
-rw-r--r-- 1 root wheel 1297 Oct 20 09:40 com.avira.antivirus.ipm.loader.plist
-rw-r--r-- 1 root wheel 1473 Oct 20 09:40 com.avira.helper.watchdox.plist
-rw-r--r-- 1 root wheel 568 Mar 26 2014 com.microsoft.office.licensing.helper.plist

Third-party kernel extensions
---------------
com.avira.kext.FileAccessControl (1.0.0d1) <5 4 3 1>

User cron tasks
---------------
None

Root cron tasks
---------------
None

launchd.conf contents
---------------
None

DNS settings
---------------
None

Hosts file
---------------
##
# Host Database
#
# localhost is used to configure the loopback interface
# when the system is booting. Do not change this entry.
##
127.0.0.1 localhost
255.255.255.255 broadcasthost
::1 localhost

Scan log
---------------
Log file is empty

Also ich kann Avira guten Herzens nicht empfehlen. Selbst auf Windows-Rechnern gehen da die Meinungen weit auseinander. Mit Gateway und XProtect hast du auf den Mac einen guten Schutz vom Hause aus.

Wenn darüber hinaus noch was installieren willst dann probier die oben genannten AV-Lösungen.

Code: Alles auswählenAufklappen

ATTFilter

drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWNetMgr
drwxr-xr-x 5 root wheel 170 Jul 18 2013 HWPortDetect
         

Hast du ein Huwai Gerät? Diese Dateien gehören zu deinem mobilen Gerät. Wenn du Probleme mit Abstürzen hast oder zeitweilig das System einfriert kann es an den oben genannten Einträgen liegen.

Gruß,
-dante

ich deinstallieren also Avira. und installiere Sophos oder eins der anderen vorgeschlagenen Programme. Huwaigerät? Habe und hatte ich definitiv nie. Ist das über den Router eingewählt? Dann könnte es eine meiner Mitbewohnerinnen gewesen sein? Wie könnte ich die Daten denn löschen?
Grüße
Caro17

Sonst ist mit den Daten alles okay?

Also sophos AV hat einen threat gefunden (pishing in Bezug auf Paypal, habe ich vernichtet) und sonst keine Theras aber Probleme, unter denen macht mich nur der verschlüsselte falshplayer nachdenkiich, deshalb poste ich das noch mal. Kann das ein Problem darstellen? Wie werde ich den los? Soll ich neu installieren?
Da wäre ich noch mal froh über Rückmeldung. Vielen Dank auch für bisherigen Beistand. Finde die von dante12 empfohlenen Programme in der Handhabung sehr vertrauenserweckend und nach erstem Gebrauch sehr kompetent...
Grüße
Caro17
Hier der scan, nur Teilergebnis, weitere /ältere Dateien sind beschädigt, das ist kein Problem.
Scan-Bezeichnung: "Scan Local Drives"
Zu scannende Objekte:
Konfiguration:
In Archiven und komprimierten Dateien scannen: Ja
Bedrohungen automatisch bereinigen: Nein
Maßnahme bei infizierten Dateien: Nur melden
Live Protection enabled: Ja

Scan wurde um 2015-03-01 11:38:17 +0100 gestartet

New volume detected at /Volumes/AdwareMedic
New volume detected at /
2015-03-01 11:39:50 +0100 Verschlüsselte Datei:: /Applications/AdobeFlashPlayerInstaller_16_ltrosxd_aaa_aih.dmg
2015-03-01 11:49:38 +0100 Beschädigte Datei: /Applications/VirusBarrier Express.app/Contents/Frameworks/AntiviralLib.bundle/Contents/Resources/encyclopediai.vbdc
2015-03-01 12:01:31 +0100 Verschlüsselte Datei:: /Users/vongries/Desktop/Documents/AdobeFlashPlayerInstaller_14au_ltrosxd_aaa_aih.dmg
2015-03-01 12:03:08 +0100 Beschädigte Datei: /Users/vongries/Desktop/Projetke 2015/Projekte 2014/Stiftung/Ingrid der ganzheitliche Mensch/Ingrid Biografisches/1 Lebensläufe

Hast du noch einen Deinstaller für VirusBarrier? Wenn ja, entferne das bitte. Zwei AV Programme gleichzeitig sind nicht gut.

Zu deinem Huwai Gerät, ich frag mal anders hast du eine Routersoftware oder Software für Smartphones installiert?

Bitte alles genau durchlesen

1. Öffne dein Terminal
2. Kopiere den nachfolgenden Inhalt in das Terminal es wird automatisch ausgeführt. Klicke in der Code-Box unten auf Alles auswählen und kopiere es (Command-C). Einfügen im Terminal mit (Command-V).

Code: Alles auswählenAufklappen

ATTFilter

PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/libexec;clear;cd;p=({Soft,Hard}ware Memory Diagnostics Power FireWire Thunderbolt USB Bluetooth SerialATA Extensions Applications Frameworks PrefPane Fonts Displays 85 percent 20480 1 MB/s 25000 ports KiB/s DYLD_INSERT_LIBRARIES\ DYLD_LIBRARY_PATH 10 "` route -n get default|awk '/e:/{print $2}' `" 25 N\\/A down up 102400 25600 recvfrom sendto CFBundleIdentifier 25 25 25 1000 MB 'com.adobe.AAM.Updater-1.0 com.adobe.AAM.Updater-1.0 com.adobe.AdobeCreativeCloud com.adobe.CS4ServiceManager com.adobe.CS5ServiceManager com.adobe.fpsaud com.adobe.SwitchBoard com.adobe.SwitchBoard com.apple.aelwriter com.apple.AirPortBaseStationAgent com.apple.FolderActions.enabled com.apple.installer.osmessagetracing com.apple.mrt.uiagent com.apple.ReportCrash.Self com.apple.rpmuxd com.apple.SafariNotificationAgent com.apple.usbmuxd com.citrixonline.GoToMeeting.G2MUpdate com.google.keystone.agent com.google.keystone.daemon com.microsoft.office.licensing.helper com.oracle.java.Helper-Tool com.oracle.java.JavaUpdateHelper com.oracle.java.JavaUpdateHelper org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.privileged_startx org.macosforge.xquartz.startx' '879294308 4071182229 461455494 3627668074 1083382502 1274181950 1855907737 2758863019 1848501757 464843899 3694147963 1233118628 2456546649 2806998573 2778718105 2636415542 842973933 2051385900 3301885676 891055588 998894468 695903914 1443423563 4136085286 523110921 2883943871 3873345487' 51 5120 files 4 1000 25 5120 -\\t PlistBuddy{,' 2>&1'}' -c Print' OSBundleRequired 1174 20 ' function f() { n++;sub(/^/,"^");gsub(/\./,"\\.");gsub(/\+/,"\\+");gsub(/\-/,"\\-");gsub(/\?/,"\\?");print|"sort|uniq";};function g(N,d) { if(n<N) print d;};' {{,'\.'{kext,xpc,'(appex|pluginkit)'}'\/(Contents\/)?'}Info,'Launch[AD].+'}'\.plist' Label '|sort|uniq'{,\ -c} 1024 );N5=${#p[@]};p[N5]=` networksetup -listnetworkserviceorder|awk ' NR>1 { sub(/^\([0-9]+\) /,"");n=$0;getline;} $NF=="'${p[26]}')" { sub(/.$/,"",$NF);print n;exit;} ' `;f=(\\n%s{:\ ,\\n\\n}%s\\n '\nRAM details\n%s\n' %s\ %s '%s\n'"${p[50]}"'%s\n' '%s (UID %s) is using %s %s' '\nContents of %s\n   '"${p[50]}"'mod date: %s\n   '"${p[50]}"'checksum: %s\n%s\n' '\n   ...and %s more line(s)\n' 'RSSI: %s\nNoise: %s\nTx rate: %s\n' {Privacy,Mode}': %s\n' );S0() { echo ' { q=$NF+0;$NF="";u=$(NF-1);$(NF-1)="";gsub(/^ +| +$/,"");if(q>='${p[$1]}') printf("'"${f[5]}"'",$0,u,q,"'${p[$2]}'");} ';};S4() { echo "${p[56]}"\ ' /'${p[$1]}'$/ { p="'"${p[52]}"'\\ :'${p[$2]}' \""$0"\"";p|getline;close(p);if($0!~/ /) f();};END{g('$3',"^com\.apple\.")} ';};s=(' s/[0-9A-Za-z._]+@[0-9A-Za-z.]+\.[0-9A-Za-z]{2,4}/EMAIL/g;/faceb/s/(at\.)[^.]+/\1NAME/g;/\/Shared/!s/(\/Users\/)[^ /]+/\1USER/g;s/[-0-9A-Fa-f]{22,}/UUID/g;' ' s/^ +//;/de: S|[nst]:/p;' ' {sub(/^ +/,"")};/er:/;/y:/&&$2<'${p[46]} ' 1s/://;3,6d;/[my].+:/d;s/^ {4}//;H;${ g;s/\n$//;/s: (E[^m]|[^EO])|x([^08]|02[^F]|8[^0])/p;} ' ' 5h;6{ H;g;/P/!p;} ' ' ($1~/^Cy/&&$3>'${p[47]}')||($1~/^Cond/&&$2!~/^N/) ' ' /:$/{ N;/:.+:/d;s/ *://;b0'$'\n'' };/^ *(V.+ [0N]|Man).+ /{ s/ 0x.... //;s/[()]//g;s/(.+: )(.+)/ (\2)/;H;};$b0'$'\n'' d;:0'$'\n'' x;s/\n\n//;/Apple[ ,]|Genesy|Intel|SMSC/d;s/\n.*//;/\)$/p;' ' s/^.*C/C/;H;${ g;/No th|pms/!p;} ' '/= [^GO]/p' '{$1=""};1' ' /Of/!{ s/^.+is |\.//g;p;} ' ' BEGIN{FS=":"};{ if($2&&$2!="-") { $2="status: "$2;printf("'"${f[4]}"'",$1,$2);} else print $1;} ' ' { sub(/ :/,"");print|"tail -n'${p[48]}'";} ' ' NR==2&&$4<='${p[49]}' { print $4;} ' ' END { $2/=256;if($2>='${p[65]}') print int($2) } ' ' NR!=13{next};{sub(/[+-]$/,"",$NF)};'"`S0 21 22`" 'NR!=2{next}'"`S0 37 17`" ' NR!=5||$8!~/[RW]/{next};{ $(NF-1)=$1;$NF=int($NF/10000000);for(i=1;i<=3;i++){$i="";$(NF-1-i)="";};};'"`S0 19 20`" 's:^:/:p;' "`S4 58 35 80`" 's/^.{52}(.+) <.+/\1/p' "`S4 61 62 80`" "`S4 59 35 80`" ' NR>1&&$3!~/0x|\.([0-9]{3,}|[-0-9A-F]{36})$/ { print $3":"$2;} ' ' /\.(framew|lproj)|\):/d;/plist:|:.+(Mach|scrip)/s/:.+//p ' '/^root$/p' "${p[56]}"\ ' /\.(bundle|component|framework|kext|mdimporter|plugin|qlgenerator|saver|wdgt)$/{f()} END{g(900,"^/System/")} ' ' /\.dylib$/!d;s/(\.|\+|\-|\?)/\\\1/g;s/^/^/p;' "${p[56]}"\ ' /Temp|emac/{next};/(etc|Preferences|Launch[AD].+)\// { sub(".(/private)?","");f();} END { split("'"${p[41]}"'",b);split("'"${p[42]}"'",c);for(i in b) print b[i]"\.plist\t"c[i];g(500,"Launch");} ' ' /^\/(Ap|Dev|Inc|Prev)/d;/((iTu|ok).+dle|\.(component|mailbundle|mdimporter|plugin|qlgenerator|saver|wdgt))$/p;' 's/Pr.+n //p' ' /^\// { sub("/dev/","",$1);printf("%s: %s\n",$1,$9);} ' p '{print $3"\t"$1}' 's/\'$'\t''.+//p' 's/1/On/p' '/Prox.+: [^0]/p' '$2>'${p[43]}'{$2=$2-1;print}' ' BEGIN { i="'${p[26]}'";M1='${p[16]}';M2='${p[18]}';M3='${p[31]}';M4='${p[32]}';} !/^A/{next};/%/ { getline;if($5<M1) a="user "$2"%, system "$4"%";} /disk0/&&$4>M2 { b=$3" ops/s, "$4" blocks/s";} $2==i { if(c) { d=$3+$4+$5+$6;next;};if($4>M3||$6>M4) c=int($4/1024)" in, "int($6/1024)" out";} END { if(a) print "CPU: "a;if(b) print "I/O: "b;if(c) print "Net: "c" (KiB/s)";if(d) print "Net errors: "d" packets/s";} ' ' /r\[0\] /&&$NF!~/^1(0|72\.(1[6-9]|2[0-9]|3[0-1])|92\.168)\./ { print $NF;exit;} ' ' !/^T/ { printf "(static)";exit;} ' '/apsd|BKAg|OpenD/!s/:.+//p' ' (/k:/&& $3!~/(255\.){3}0/)||(/v6:/&&$2!~/A/) ' ' $1=="op" {m=$3};$1~"lN" {N=$2};$1~"lR" {S=$2};$1~"Tx" {T=$2};$1~/^st/ {s=$2};$1~"li"&&$3!~"wpa2" {printf("'"${f[9]}"'",toupper($3))};END { if(S*N*T&&(S-N<'${p[25]}'||T<'${p[55]}')) printf("'"${f[8]}"'",S,N,T);if(s~/^r/&&m!~/^st/) printf("'"${f[10]}"'",m);} ' ' BEGIN { FS=":";p="uniq -c|sed -E '"'s/ +\\([0-9]+\\)\\(.+\\)/\\\2 x\\\1/;s/x1$//'"'";} { n=split($3,a,".");sub(/_2[01].+/,"",$3);print $2" "$3" "a[n]$1|p;b=b$1;} END { close(p);if(b) print("\n\t* Code injection");} ' ' NR!=4{next} {$NF/=10240} '"`S0 27 23`" ' END { if($3~/[0-9]/)print$3;} ' ' BEGIN { L='${p[36]}';} !/^[[:space:]]*(#.*)?$/ { l++;if(l<=L) f=f"\n   "$0;} END { F=FILENAME;if(!F) exit;if(!f) f="\n   [N/A]";"cksum "F|getline C;split(C, A);C=A[1];"stat -f%Sm "F|getline D;"file -b "F|getline T;if(T~/^Apple b/) { f="";l=0;while("'"${p[51]}"' "F|getline g) { l++;if(l<=L) f=f"\n   "g;};};if(T!~/^(AS.+ (En.+ )?text(, with v.+)?$|(Bo|PO).+ sh.+ text ex|XM)/) F=F"\n   '"${p[50]}"'"T;printf("'"${f[6]}"'",F,D,C,f);if(l>L) printf("'"${f[7]}"'",l-L);} ' ' s/^ ?n...://p;s/^ ?p...:/-'$'\t''/p;' 's/0/Off/p' ' END{print NR} ' ' /id: N|te: Y/{i++} END{print i} ' ' /kext:/ { split($0,a,":");s=system("'"${p[51]}"'\\ :'${p[53]}' \""a[1]"\"/*/I*|grep -q Sa");if(!s) a[1]=a[1]" S";if(!a[2]) a[2]="'"${p[28]}"'";printf("'"${f[4]}"'",a[1],a[2]);next;} !/^ *$/ { p="'"${p[52]}"'\\ :'"${p[35]}"' \""$0"\"/*/'${p[57]}'";p|getline b;close(p);if(b~/ /||b=="") b="'"${p[28]}"'";printf("'"${f[4]}"'",$0,b);} ' '/ en/!s/\.//p' ' NR!=13{next};{sub(/[+-M]$/,"",$NF)};'"`S0 39 40`" ' $10~/\(L/&&$9!~"localhost" { sub(/.+:/,"",$9);print $1": "$9|"sort|uniq";} ' '/^ +r/s/.+"(.+)".+/\1/p' 's/(.+\.wdgt)\/(Contents\/)?'${p[57]}'$/\1/p' 's/^.+\/(.+)\.wdgt$/\1/p' ' /l: /{ /DVD/d;s/.+: //;b0'$'\n'' };/s: /{ /V/d;s/^ */- /;H;};$b0'$'\n'' d;:0'$'\n'' x;/APPLE [^:]+$/d;p;' ' /^find: /d;p;' "`S0 44 45`" ' BEGIN{FS="= "} /Path/{print $2} ' ' /^ *$/d;s/^ */   /;' ' s/^.+ |\(.+\)$//g;p ' "`S4 60 35 20`" ' /2/{print "WARN"};/4/{print "CRITICAL"};' ' /EVHF|MACR|^s/d;s/^.+: //p;' ' $3~/^[1-9][0-9]{0,2}(\.[1-9][0-9]{0,2}){2}$/ { i++;n=n"\n"$1"\t"$3;} END { if(i>1) print n;} ' ' s/:[^:]+$//;s/ +([0-9]+)(.+)/\2: \1/p;' ' { gsub(/[()"]/,"",$3);if($2!="="||!$3) $3="N/A";print $3;} ' ' /es: ./{ s/^.+://;b0'$'\n'' };/^ +C.+ted: +[NY]/H;/:$/b0'$'\n'' d;:0'$'\n'' x;/: +N/d;s/\n.+//p;' ' 1d;/:$/b0'$'\n'' $b0'$'\n'' /(D|^ *Loc.+): /{ s/^.+: //;H;};/(By|m): /H;d;:0'$'\n'' x;/[my]: [AM]|^\/Vo/d;s/(^|\n) [ -~]+//g;s/(.+)\n(.+)/\2:\1/;s/\n//g;/[ -~]/p;' 's/$/:(0|-(4[34])?)$/p' ' /^ {6}[^ ]/d;s/:$//;/([^ey]|[^n]e):/d;/e: Y/d;s/: Y.+//g;H;${ g;s/ \n (\n)/\1/g;s/\n +(M[^ ]+)[ -~]+/ (\1)/;s/\n$//;/( {8}[^ ].*){2,}/p;} ' );c1=(system_profiler pmset\ -g nvram fdesetup find syslog df vm_stat sar ps crontab iotop top pkgutil "${p[52]}\\" whoami cksum kextstat launchctl smcDiagnose sysctl\ -n defaults\ read stat lsbom 'mdfind -onlyin /' ' for i in ${p[24]};do ${c1[18]} ${c2[27]} $i;done;' pluginkit scutil dtrace profiles sed\ -En awk /S*/*/P*/*/*/C*/*/airport networksetup mdutil lsof test osascript\ -e netstat mdls kextfind );S1() { printf kMDItemContentTypeTree=com.apple.$1;};S2() { printf 'L*/Ca*/com.ap*.Saf*/E*/* -d 1 -name '${p[57]}' -exec '"${c1[14]}"' :'$1' {} \;|uniq';};c2=(com.apple.loginwindow\ LoginHook ' /L*/P*/loginw*' "'tell app \"System Events\" to get properties of login items'|tr , \\\n" "`S2 CFBundleDisplayName`" '~ $TMPDIR.. \( -flags +sappnd,schg,uappnd,uchg -o ! -user $UID -o ! -perm -600 \)' '-F \$Message -k Sender kernel -k Message CReq "a underr|I/O e"'"${p[64]}" '-nl -print' '-F \$Sender -k Level Nle 3 -k Facility CReq "apple\.(bird|i?clou)"'"${p[64]}" '{/,}L*/{Con,Pref}* -type f ! -size 0 -name *.plist -exec plutil -s {} \;' "-f'%N: %l' Desktop L*/Keyc*" therm sysload boot-args status " -F '\$Time \$(RefProc): \$Message' -k Sender Req 'fsev|kern|launchd' -k RefProc Rne 'Aq|WebK' -k Message Rne '08012|Goog|ksadm|probe|Roame|SMC:|smcD|sserti|suhel| VALI|ver-r|xpma' -k Message Req 'abn|bad |Beac|caug|corru|dead[^bl]|FAIL|fail|GPU |hfs: Ru|idle ex|inval|jnl:|last value [1-9]|lv_c|NVDA\(|pagin|pci pa|proc: t|Roamed|rror|SL|TCON|Throttli|tim(ed? ?|ing )o|WARN' " '-du -n DEV -n EDEV 1 10' 'acrx -o comm,ruid,%cpu' '-t1 10 1' '-f -pfc /var/db/r*/com.apple.*.{BS,Bas,Es,J,OSXU,Rem,up}*.bom' '{/,}L*/Lo*/Diag* -type f -regex .\*[cght] ! -name .?\* ! -name \*ag \( -exec grep -lq "^Thread c" {} \; -exec printf \* \; -o -true \) -execdir stat -f:%Sc:%N -t%F {} \;|sort -t: -k2 |tail -n'${p[38]} '/S*/*/Ca*/*xpc* >&- ||echo No' '-L /{S*/,}L*/StartupItems -type f -exec file {} +' "`S1 "{bundle,mach-o-dylib}"`" "`S2 ${p[35]}`" "/e*/{auto,{cron,fs}tab,hosts,{[lp],sy}*.conf,mach_i*/*,pam.d/*,ssh{,d}_config,*.local} {,/usr/local}/etc/periodic/*/* /L*/P*{,/*}/com.a*.{Bo,sec*.ap}*t {/S*/,/,}L*/Lau*/*t .launchd.conf" list getenv /Library/Preferences/com.apple.alf\ globalstate --proxy '-n get default' -I --dns -get{dnsservers,info}\ "${p[N5]}" -P -m\ / '' -n1 '-R -l1 -n1 -o prt -stats command,uid,prt' '--regexp --files com.apple.pkg.*'"${p[63]}" -kl -l -s\ / '-R -l1 -n1 -o mem -stats command,uid,mem' '+c0 -i4TCP:0-1023' com.apple.dashboard\ layer-gadgets '-d /L*/Mana*/$USER&&echo On' '-app Safari WebKitDNSPrefetchingEnabled' "+c0 -l|awk '{print(\$1,\$3)}'${p[64]}|sort -n|tail -1|awk '{print(\$2,\$3,\$1)}'" -m 'L*/{Con*/*/Data/L*/,}Pref* -type f -size 0c -name *.plist.???????|wc -l' kern.memorystatus_vm_pressure_level '3>&1 >&- 2>&3' " -F '\$Time \$Message' -k Sender kernel -k Message CSeq 'n Cause: -' " -i '-app Safari UserStyleSheetEnabled' -name\ kMDItem${p[35]} -T\ hfs '-F "" -k Sender hidd -k Nle 3|wc -l' );N1=${#c2[@]};for j in {0..15};do c2[N1+j]=SP${p[j]}DataType;done;N2=${#c2[@]};for j in 0 1;do c2[N2+j]="-n ' syscall::'${p[33+j]}':return { @out[execname,uid]=sum(arg0) } tick-10sec { trunc(@out,1);exit(0);} '";done;l=({Restricted\ ,Lock,Pro}files POST Battery {Safari,App,{Bad,Loaded}\ kernel}\ extensions Heat System\ load boot\ args FileVault Diagnostic\ reports Log {Free\ space,Swap}' (MiB)' Activity 'CPU per process' Login\ hook 'I/O per process' Mach\ ports User Daemons Agents XPC\ cache Startup\ items {Admin,Root}\ access Bundles {,Inserted\ }dylibs Stylesheet Font\ issues Firewall Proxies DNS TCP/IP Wi-Fi 'Elapsed time (sec)' {Root,User}\ crontab {Global,User}' login items' Spotlight Memory Listeners Widgets Parental\ Controls Prefetching Nets Descriptors Bad\ plists {I/O,iCloud,HID}\ errors Shutdowns 'High file counts' Memory\ pressure Volumes SMC );N3=${#l[@]};for i in {0..8};do l[N3+i]=${p[5+i]};done;N4=${#l[@]};for j in 0 1;do l[N4+j]="Current ${p[29+j]}stream data";done;A0() { Q=5;v[2]=1;id -G|grep -qw 80;v[1]=$?;((v[1]))||{ Q=7;sudo true;v[2]=$?;((v[2]))||Q=8;};v[3]=`date +%s`;clear >&-;date '+Start time: %T %D%n';printf '\n[Process started]\n\n'>&4;printf 'Revision: %s\n\n' ${p[54]};};for i in 0 1;do eval ' A'$((1+i))'() { v=` eval "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};A'$((3+i))'() { v=` while read i;do [[ "$i" ]]&&eval "${c1[$1]} ${c2[$2]}" \"$i\"|'${c1[30+i]}' "${s[$3]}";done<<<"${v[$4]}" `;[[ "$v" ]];};A'$((5+i))'() { v=` while read i;do '${c1[30+i]}' "${s[$1]}" "$i";done<<<"${v[$2]}" `;[[ "$v" ]];};A'$((7+i))'() { v=` eval sudo "${c1[$1]} ${c2[$2]}"|'${c1[30+i]}' "${s[$3]}" `;[[ "$v" ]];};';done;A9(){ v=$((`date +%s`-v[3]));};B2(){ v[$1]="$v";};for i in 0 1;do eval ' B'$i'() { v=No;((v['$((i+1))']==0))&&v=;};B'$((3+i))'() { v[$2]=`'${c1[30+i]}' "${s[$3]}"<<<"${v[$1]}"`;} ';done;B5(){ v[$1]="${v[$1]}"$'\n'"${v[$2]}";};B6() { v=` paste -d: <(printf "${v[$1]}") <(printf "${v[$2]}")|awk -F: ' {printf("'"${f[$3]}"'",$1,$2)} ' `;};B7(){ v=`grep -Ev "${v[$1]}"<<<"$v"|sort`;};C0() { [[ "$v" ]]&&sed -E "$s"<<<"$v";};C1() { [[ "$v" ]]&&printf "${f[$1]}" "${l[$2]}" "$v"|sed -E "$s";};C2() { v=`echo $v`;[[ "$v" != 0 ]]&&C1 0 $1;};C3() { v=`sed -E "${s[63]}"<<<"$v"`&&C1 1 $1;};C4() { echo "Part $((++P)) of $Q done at $((`date +%s`-v[3])) sec">&4;};C5() { pbcopy<<<"$o";exit 2>&-;};for i in 1 2 7 8;do for j in 0 2 3;do eval D$i$j'(){ A'$i' $1 $2 $3; C'$j' $4;};';done;done;trap C5 2;o=$({ A0;D20 0 $((N1+1)) 2;D10 0 $N1 1;B0;C2 27;B0&&! B1&&C2 28;D12 15 37 25 22;A1 0 $((N1+2)) 3;C0;A1 0 $((N1+15)) 74;C0;D13 0 $((N1+3)) 4 3;D23 0 $((N1+4)) 5 4;D13 0 $((N1+9)) 59 $((N3+4));for i in 0 1 2;do D13 0 $((N1+5+i)) 6 $((N3+i));done;D13 0 $((N1+8)) 71 $((N3+3));D13 1 10 7 9;D13 1 11 8 10;B1&&D73 19 53 67 60;D22 2 12 9 11;D12 3 13 10 12;D23 4 19 44 13;B0&&{ D13 5 5 69 53&&D23 6 58 31 59;D12 5 59 32 55;D13 5 54 30 56;C4;D23 5 14 12 14;C4;};D22 6 36 13 15;D22 20 52 66 58;D22 7 37 14 16;D23 8 15 38 17;D22 9 16 16 18;C4;B1&&{ D82 35 49 61 51;D82 11 17 17 20;for i in 0 1;do D82 28 $((N2+i)) 45 $((N4+i));done;C4;};D22 12 44 54 45;D22 12 39 15 21;D13 40 6 32 7;A1 13 40 18;B2 4;C4;B4 4 5 19;A1 17 41 20;B7 5;C3 8;B4 4 6 21;B4 4 7 22;B5 6 7;B3 6 6 73;B1&&{ A8 18 26 23;B7 6;B4 0 0 11;C3 23;};A2 18 26 23;B7 6;B4 0 0 11;C3 24;D13 4 21 24 26;B4 4 12 26;C4;for i in {0..3};do A1 0 $((N1+10+i)) 72;B7 12;B4 0 0 52;C3 $((N3+5+i));done;A1 24 22 29;B7 12;B2 14;A4 39 57 70 0;B2 15;B6 14 15 4;C3 29;C4;B3 4 13 27;A1 24 23 32;B7 13;C3 30;B4 4 16 65;A1 26 50 64;B7 16;C3 6;D13 25 37 32 31;A2 23 18 28;B2 16;A2 16 25 33;B7 16;B3 0 0 34;B2 21;A6 47 21&&C0;B1&&{ D73 21 0 32 19;D73 10 42 32 40;D82 29 35 46 2;};D23 14 1 62 42;D12 34 43 53 44;D12 22 20 32 25;D22 0 $((N1+14)) 51 33;D13 4 8 41 52;D12 21 28 35 34;D13 27 29 36 35;A2 27 32 39&&{ B2 19;A2 33 33 40;B2 20;B6 19 20 3;};C2 36;D23 38 55 68 50;D23 33 34 42 37;B1&&D83 35 45 55 46;D23 32 31 43 38;D12 36 47 32 48;D13 10 42 32 41;D13 37 2 48 43;A1 4 3 60;B2 30;A1 4 24 60;B2 31;B6 30 31 4;C3 5;D12 21 56 35 32;D12 21 48 49 49;B3 4 22 57;A1 21 46 56;B7 22;B3 0 0 58;C3 47;D13 5 7 69 54;D22 4 4 50 0;D12 4 51 32 1;D23 22 9 37 57;A9;C2 39;C4;} 4>&2 2>/dev/null;);C5
         

3. Wenn du eine Fehlermeldung bekommst, gebe im Terminal folgendes ein: exec bash und führe den obigen Schritt nochmal aus.
4. Gebe dein Passwort ein. Es werden keine Änderungen vorgenommen. Das Script erstellt ein Log von deinem System. Dieser Schritt kann einige Minuten andauern. Es werden acht Prozesse ausgeführt.
5. Wenn das script fertig ist, dann befindet sich der Inhalt in der Zwischenablage. Du erhälst keine Rückmeldung darüber.
6. Öffne TextEdit oder einen anderen Texteditor und suche nach persönliche Daten wie z.B. email-Adressen. Mache diese unkenntlich.
7. Anschließend füge den Inhalt hier in Code-Tags ein.

Drei Tipps:
Erstens würde ich endlich ein Backup der wichtigsten Daten machen. Sollte die Backup-Software nicht funktionieren kopiere die Daten auf einen USB-Stick (ich hoffe Apple unterstützt das), maile sie dir selbst zu oder nutze irgendeine Cloud (ändere evtl. die Passwörter vorher).

Zweitens entsteht Sicherheit vor allem dadurch, dass man auf Software verzichtet. Lösche z.B. nicht benötigte Firefox-Plugins und probiere nicht unzählige unnötige Virenscanner aus. Dadurch wird das System wahrscheinlich unsicherer als wenn du sie gleich weglassen würdest.

Drittens installiere Software nur aus sicheren Quellen. Wenn dir Apple in seinem Store irgendwas anbietet nutze das eher als irgendeine Software aus dem Internet.

Als Konsequenz würde ich im übrigen neu installieren.