MacBook Air wurde gehackt

Question

MacBook Air wurde gehackt

Hallo zusammen,

habe seit Dezember ein MacBook Air, System 14.5. Gebraucht von einem AppleHändler gekauft. Bis heute war der Rechner noch nicht online. Jetzt möchte ich einige Daten aus der Konsole schicken in der Hoffnung, dass mir jemand weiterhelfen kann. Die Protokolle der Konsole waren plötzlich alle doppelt und über das Erste Hilfe Programm sieht man eine Fremdformatierung. Das Volume „Macintosh HD“ wurde durch „newfs_apfs (945.200.129.100.12)“ formatiert und zuletzt von „apfs_kext (2236.120.10.0.1)“ geändert.

Das Volume „VM“ wurde durch „apfs_boot_util (1677.141.1)“ formatiert und zuletzt von „apfs_kext (2236.120.10.0.1)“ geändert. /dev/rdisk3s1: The volume Macintosh HD was formatted by newfs_apfs (945.200.129.100.12) and last modified by apfs_kext (2236.120.10.0.1).

Es wird mir auch ein zweiter Account angezeigt OSActivityID: 0x8000000000005d0f com.apple.message.domain: com.apple.AddressBook.accounts.summary com.apple.message.summarize: YES com.apple.message.carddav_accounts: 0 com.apple.message.disabled_accounts: 1 com.apple.message.enabled_accounts: 1 com.apple.message.ldap_accounts: 0 com.apple.message.exchange_accounts: 0 com.apple.message.total_accounts: 2 SenderMachUUID: 59389B3D-3880-3CDD-BA28-A811DC109EED

Desweiteren:

Mon Jun 16 12:58:56.848 <airport[388]> _initInterface: Unable to initialize unified logger

Mon Jun 16 12:58:56.848 <airport[388]> _initInterface: Unable to initialize unified temp logger

Mon Jun 16 12:58:56.848 <airport[388]> _initInterface: Unable to initialize logger

Mon Jun 16 12:58:56.848 <airport[388]> _initInterface: Unable to initialize driver message tracer monitor

Mon Jun 16 12:58:56.848 <airport[388]> _initInterface: Unable to initialize unified temporary logger

Mon Jun 16 12:58:56.957 Usb Host Notification activated

Apr 26 13:14:04 MacBook-Air-von-Martina loginwindow[358]: The connection was interrupted, calling interruption handlers

Apr 26 13:14:56 MacBook-Air-von-Martina loginwindow[358]: There is still an active connection

Ich habe kein Windows

[Betreff vom Moderator bearbeitet]

Gepostet am 21. Juli 2025 11:26

Antworten

Answer 1

Höchstrangige Antwort

Netcracker

Stufe 9

55.964 Punkte

21. Juli 2025 13:17 als Antwort auf tinawe

Das Gerät ist nicht gehackt. Es wurde vermutlich nur nicht richtig zurückgesetzt.

Der „zusätzliche Account“ ist vermutlich ein noch auf dem Gerät befindlicher Exchange-Account, der Kalender etc. synchronisiert. Es ist kein weiterer Useraccount auf dem Mac.

newfs_apfs ist ein Kommandozeilentool in macOS, mit dem ein APFS-Volume formatiert werden kann.

Und „login window“ hat nichts mit Windows zu tun….

Meine Empfehlung: setze den Mac mit dem Festplattendienstprogramm zurück und führe anschliessend einen clean install durch. Nur die reinen Daten per Backup zurücksichern. Dann bist du das Chaos los.

Antworten

Answer 2

31. Aug. 2025 09:22 als Antwort auf tinawe

Hallo tinawe,

vielen Dank, dass Du Dein Anliegen hier so ausführlich schilderst.

Ich kann als langjähriger externer Qualitätsprüfer gut nachvollziehen, dass Dich die Situation belastet und Du Dir Sicherheit für Dein MacBook Air wünschst. Bitte korrigiere mich, falls ich etwas falsch verstehe: Du hast Dein Gerät gebraucht gekauft, mehrfach neu installiert und beobachtest dabei ungewöhnliche Systemmeldungen und Protokolleinträge, die Dir den Eindruck geben, jemand könnte Zugriff auf Deinen Mac haben.

Grundsätzlich verfügt macOS über ein sehr robustes Sicherheitskonzept. Ein direkter „Hack“ in dem Sinn, dass jemand ohne Dein Zutun dauerhaft Kontrolle über Dein Gerät hat, ist extrem unwahrscheinlich.

Häufig wirken Protokolleinträge wie Fehler oder fremde Zugriffe, obwohl es sich um interne Systemprozesse handelt. Zum Beispiel bedeuten die Begriffe „newfs_apfs“ oder „apfs_kext“ nicht, dass jemand von außen eingegriffen hat – das sind reguläre Systemkomponenten von macOS, die für das Formatieren und Verwalten von Festplatten zuständig sind (Dokumentation zu APFS). Auch doppelte Logeinträge oder Meldungen wie „Unable to initialize unified logger“ sind oft unkritische Hinweise darauf, dass ein Prozess einfach mehrfach gestartet wurde.

Mir ist natürlich bewusst, dass sich Deine Sorge nicht allein mit technischen Hinweisen nehmen lässt. Wichtig ist: Was Du beschreibst, deutet bisher aus meiner Sicht nicht auf einen aktiven Fremdzugriff hin, sondern auf reguläre Systemmeldungen, die leicht missverständlich wirken.

Falls die Sorge bleibt, könntest Du, wie Dir bereits christine33 empfohlen hat, einen Termin bei einem Apple Store oder einem autorisierten Apple Service Provider vereinbaren.

PS: In diesem Forum sind, abgesehen von der Apple-Administration und Moderation, keine Apple-Mitarbeiter:innen aktiv, und Du tauscht Dich ausschließlich mit anderen Nutzer:innen aus. Vor Ort lässt sich aber direkt prüfen, ob Dein System einwandfrei läuft, und Du bekommst eine fachkundige Einschätzung.

Ich hoffe, das hilft Dir weiter und gibt Dir etwas Orientierung.

Meine Einschätzung beruht dabei ausschließlich auf offiziellen Informationen von Apple.

Beste Grüße

Antworten

Answer 3

21. Juli 2025 14:02 als Antwort auf tinawe

Anleitung für Intel-Modelle hier: Einen Intel-basierten Mac mithilfe des Festplattendienstprogramms löschen, Apple Silicon (Mx): Einen Mac mit Apple-Chip mithilfe des Festplattendienstprogramms löschen.

Antworten

Answer 4

05. Aug. 2025 12:16 als Antwort auf tinawe

Wenn dich jemand digital stalkt, ist das eine ernste Straftat, die du zur Anzeige bringen solltest.

Nach wie vor vermag ich allerdings nicht zu erkennen, dass dein Mac in irgendeiner Form kompromittiert sein könnte. Das ist beileibe nicht unmöglich, setzt aber eine gewisse kriminelle Energie voraus.

Ohne deinen Mac auf dem Tisch zu haben, macht es indes keinen Sinn, hier weiter zu spekulieren.

Du solltest das Gerät der Polizei übergeben, damit es forensisch analysiert wird oder selbst einen forensischen IT-Experten beauftragen.

Hier im Forum ist mir die Verantwortung - auch was die Vernichtung möglicher Spuren angeht - einfach zu gross.

Antworten

Answer 5

05. Aug. 2025 13:02 als Antwort auf tinawe

Bitte vereinbare einen Termin online in der Genius Bar des nächsten Apple Stores und lass die Geräte dort checken. Sollte - wider Erwarten - Schadsoftware gefunden werden dann wird diese kostenlos entfernt.

Antworten

Answer 6

03. Sept. 2025 22:13 als Antwort auf tinawe

NetBarrier von Intego ist die Pest aller AV- und IS-Programme. Nutzlos und völlig sinnbefreit.

Mir erschliesst sich nicht, was dein Problem ist. Der Mac ist sauber und völlig frei von AV-Software oder auch nur dem Hauch eines Angriffs.

Dein Problem ist nicht technischer Natur und hat nichts mit Apple oder deinem Mac zu tun.

[...]

[Vom Moderator bearbeitet]

Antworten

Answer 7

05. Aug. 2025 13:25 als Antwort auf tinawe

Führe mal bitte einen Scan mit Etrecheck durch und poste den Report hier.

Dann schauen wir mal, was da los ist.

Antworten

Answer 8

03. Sept. 2025 13:01 als Antwort auf tinawe

Hallo

Wenn du meinst dass du bedrohliche Software,Dateien ect. auf deinem MacBook hast würde ich mal Avira installieren. Avira kann alle Sachen auf deinem MacBook scannen und Bedrohungen anzeigen.

https://www.avira.com/de?srsltid=AfmBOorb32keI8chFdYXRWpQysNkn9G18nZkAeoyj-kSy2i3utVF0v_y

ich hoffe das hilft dir weiter.

LG

Luis

Antworten

Answer 9

03. Sept. 2025 13:42 als Antwort auf Tech-by-Luis

Antivirensoftware von Drittanbietern - insbesondere Avira - hat auf einem Macbook nichts verloren. Sie ist bestenfalls nutzlos, schlimmstenfalls schädlich. Die meisten dieser Programme benötigen Rootrechte, um zu funktionieren und werden damit selbst zum idealen Einfallstor für Schadsoftware.

Dein Macbook ist von Haus aus mit einer sehr wirksamen, auf macOS abgestimmten Sicherheitssoftware ausgerüstet, die Fremdanbieter völlig überflüssig macht.

Hättest du doch mal das Geld, das du für diesen Mist ausgegeben hast, besser in eine Festplatte für Backups investiert.

Also bitte deinstallieren, komplett und restlos.

Antworten

Answer 10

05. Aug. 2025 09:44 als Antwort auf Netcracker

Hallo,

ich habe jetzt alles notwendige gemacht und jetzt muss ich noch etwas hinzufügen:

Hintergrund meiner Anfrage ist – ich werde von jemandem digital gestalkt, alles, was digital erreichbar ist, wird gehackt.

Das Muster ist immer gleich, bei Handys wird ein Klone erstellt und ich bin letztendlich nicht mehr auf meiner eigenen Oberfläche.

Das Gleiche bei Rechnern, da geht dann der Mauszeiger schon mal über die eigene Displaybegrenzung hinaus, bei einem Download wird der Finder als "benutztes Objekt" aufgeführt oder eine 4KB Datei im Papierkorb löst beim Löschen einen minutenlangen Rechenprozess aus.

Jeder Gang ins Netz ist eine Hackerchance.

Das größte Problem sind Updates, bei Handys hab ich danach Minimum das Doppelte an Apps, und bei Rechnern werden die Updates oft unterbrochen.

Ich denke, wir haben das hier auch, aber für mich ist es schwierig, herauszufinden, was echt und was Fake ist, deshalb schicke ich hier mal ein paar Infos in der Hoffnung, dass mir jemand helfen kann.

Neuinstallation, System 14.7.6 Chip M1 / Löschen über das Installationsprogramm, dann Internet

Es gab nach der Installation einen Absturzbericht, der jetzt nicht mehr vorhanden ist.

Im install.log steht durch die Bank:

Es besteht anscheinend keine Verbindung zum Internet

Nach dem Protokoll dürfte ich gar kein System haben, aber es gibt Installationen mit einer anderen Uhrzeit.

Protokoll LKDC.log ist doppelt

Nach Erster Hilfe:

Das Volume „Macintosh HD“ wurde durch „com.apple.Mobil (2235.80.4.0.1)“ formatiert und zuletzt von „apfs_kext (2236.141.1)“ geändert.

Das Protokoll bleibt doppelt

Protokoll wifi.log:

(Die Nummer in der Klammer ist immer unterschiedlich, die Auflistung wiederholt sich bei jedem Login)

Sun Jul 27 10:10:22.213 Usb Host Notification activated

Sun Jul 27 10:10:22.734 <airport[150]> _initInterface: Unable to initialize unified logger

Sun Jul 27 10:10:22.734 <airport[150]> _initInterface: Unable to initialize unified temp logger

Sun Jul 27 10:10:22.734 <airport[150]> _initInterface: Unable to initialize logger

Sun Jul 27 10:10:22.734 <airport[150]> _initInterface: Unable to initialize driver message tracer monitor

Sun Jul 27 10:10:22.734 <airport[150]> _initInterface: Unable to initialize unified temporary logger

Der FTP-Caller kommt seit dem dritten Login

Aug 5 14:50:36 MacBook-Air-von-Martina loginwindow[149]: Connection = 0x600001f8d9a0, callers = (

"<IASUPCaller: 0x600002c84400>",

"<IASUPCaller: 0x600002c805f0>",

"<IASUPCaller: 0x600002c805c0>"

Aug 5 14:51:36 MacBook-Air-von-Martina loginwindow[149]: There is still an active connection

Der Boot Camp Assistent ist unsichtbar. Den würde ich gerne löschen, aber ich weiß nicht wie.

Die Systemerweiterung „Link kopieren“ geht bei jedem Neustart an, auch beim Öffnen eines Dokuments, beim Öffnen des Browsers und auch so dazwischen mehrmals.

In den Installationsmodus komme ich gar nicht mehr, nach 10 sec drücken schaltet der Rechner sich aus.

Ich hatte jetzt auch mehrere Stillstände, wo ich nicht mal mehr den Mauszeiger bewegen konnte.

Der Blockierungsmodus ist an, der nützt mir aber nichts mehr, wenn die Installation nicht sauber ist.

Auch die Firewall habe ich mit den erweiterten Einstellungen.

Vor der Neuinstallation gingen 3x Fenster auf (Darf das Programm xy …), das ging so schnell wieder zu, dass ich nichts lesen konnte. Als der Blockierungsmodus eingeschaltet war, kam nichts mehr.

Antworten

Answer 11

01. Sept. 2025 02:35 als Antwort auf tinawe

tinawe schrieb:

<etrecheck.log>

so, jetzt müsste es stimmen.

Wieso verwende ich eine zusätzliche Antivirensoftware?

Ich habe außer Etrecheck nur einen Druckertreiber von Brother installiert.

Der Mac ist praktisch „leer“. Keinerlei Anzeichen für irgendeine Kompromittierung.

AV-Software ist nicht installiert.

Antworten

Answer 12

03. Sept. 2025 13:40 als Antwort auf tinawe

tinawe schrieb:

Um das hier abzuschließen habe ich nur noch eine Bitte:

Euch ist eine Software aufgefallen. Könnt Ihr mir bitte den Namen dieser Software posten?

[...]

Da ist nichts. Auf dem Mac ist weder Schadsoftware noch irgendwelche AV-Software von Drittanbietern zu finden.

Antworten

Answer 13

03. Sept. 2025 21:45 als Antwort auf Tech-by-Luis

In der Mac-Hilfe des Finders findest du dazu folgende Informationen und Anregungen:

Anpassen der Einstellungen „Datenschutz & Sicherheit“ auf dem Mac

Verwende auf deinem Mac die Einstellungen für „Datenschutz & Sicherheit“, um die Informationen zu verwalten, die dein Mac anderen im Internet oder in einem Netzwerk zur Verfügung stellt, und um deine Daten zu schützen, indem du sie mit FileVault verschlüsselst.

Wähle Menü „Apple“ > „Systemeinstellungen“ und klicke auf „Datenschutz & Sicherheit“ in der Seitenleiste, um diese Einstellungen zu ändern. (Du musst möglicherweise nach unten scrollen.)

Einstellungen „Datenschutz & Sicherheit“ öffnen

Option

Beschreibung

Ortungsdienste

Erlaube Apps, Systemdiensten und Websites, Informationen zum aktuellen Standort deines Mac zu sammeln und zu verwenden, um verschiedene ortsbasierte Dienste bereitzustellen.

Um zu erfahren, welche Systemdienste deinen Standort verwenden, klicke unten rechts in der Liste auf die Taste „Details“. Damit der Standort auf deinem Mac von den Siri-Vorschlägenund Safari-Vorschlägen verwendet werden kann, wähle „Ortsabhängige Vorschläge“.

Weitere Informationen findest du unter Erlaubnis für Apps zum Ermitteln des Standorts deines Mac.

Kontakte

Erlaube Apps den Zugriff auf deine Kontakte. Die in der Liste aufgeführten Apps haben Zugriff angefordert.

Kalender

Erlaube Apps den Zugriff auf deine Kalender. Die in der Liste aufgeführten Apps haben Zugriff angefordert.

Erinnerungen

Erlaube Apps den Zugriff auf deine Erinnerungen. Die in der Liste aufgeführten Apps haben Zugriff angefordert.

Fotos

Erlaube Apps den Zugriff auf deine Fotos. Die in der Liste aufgeführten Apps haben Zugriff angefordert.

Hinweis: Wenn Objekte außerhalb der Fotos-Mediathek gespeichert sind, haben andere Apps möglicherweise weiterhin Zugriff darauf.

Bluetooth

Erlaube Apps, auf diesem Mac Bluetooth zu verwenden. Die in der Liste aufgeführten Apps haben Zugriff angefordert.

Um eine App hinzuzufügen, klicke auf die Taste „Hinzufügen“ , wähle die App in der Liste aus und klicke dann auf „Öffnen“.

Mikrofon

Erlaube Apps den Zugriff auf das Mikrofon deines Mac. Die in der Liste aufgeführten Apps haben Zugriff angefordert.

(...)

Antworten

Answer 14

03. Sept. 2025 14:14 als Antwort auf Tech-by-Luis

Guten Abend, Luis,

bitte schau Dir einmal meinen Benutzertipp zum Selbststudium an:

👉 Wie ich meine Datensicherheit auf Apple-Geräten verbessern kann – Apple Community

Liebe Grüße 🌷

Antworten

Answer 15

31. Aug. 2025 03:23 als Antwort auf Netcracker

Sorry, ich bekomme hier den Link nicht rein.

Habe mittlerweile 2 kleine Updates gemacht, beim ersten Login alles gut, ab dem zweiten das gleiche Spiel.

Etrecheck findet nichts, aber nach dem Check sind die doppelten Protokolleinträge in der Konsole weg (die mittlerweile auch mit der Ersten Hilfe nicht mehr korrigiert werden).

Nachdem der Hacker vorhandene Komponenten benutzt, ist die Beurteilung aus der Entfernung natürlich schwer. So verstehe ich auch die Protokolldaten mit Airport oder Windows Boot, nichts davon ist von mir aktiviert.

Mein Bemühen, jemand zu finden, der permanent mit meinen Geräten verbunden ist, um die Vorgehensweise zu analysieren und entsprechend mit Programmierungen entgegenzuwirken, ist aussichtslos. Die Profis arbeiten für die Polizei oder für Firmen. Privatpersonen sind nicht vorgesehen.

Auch Firmen, die Programmierer als Freelancer unter Vertrag haben, machen das nicht.

So nutze ich jetzt das Forum mit diesem Anliegen, vielleicht findet sich im Forum ein Profi für eine permanente Überwachung der Geräte mit der Fähigkeit, den Hacker auszuschalten.

Antworten