[Sammelthread] Bewertung von EtreCheck-Logs durch Profis

[@dante12]

/Applications/TechTool Pro 8.app
/Applications/Tunnelblick/Tunnelblick.app

at.obdev.nke.LittleSnitch
com.avira.kext.FileAccessControl
com.sophos.kext.sav (9.4.2
com.sophos.nke.swi (9.4.2

... um mal einige zu nennen. Wozu brauchst du einen AV vor allem diese Schr*** von Avira und Sophos? Allein diese bremsen das System aus. Wenn dann reicht Little Snitch völlig aus.

Wenn ich mir die Lauch Agents/ Daemons uns Startup Items liste anschaue wundere ich mich wieso der Rechner überhaupt noch arbeitet?

Eine Bereinigung ist in diesem Fall nicht möglich und eine Neuinstallation ist empfehlenswert. Wieso in Gottes Namen erteilst du Software sudo-Rechte das geht mir nicht in den Kopf.

Was sagt denn deine hosts-Datei die ist ja voll von Einträgen?

cat /private/etc/hosts

 

[raven]

Die Etre Datei habe ich im Anhang als PDF hochgeladen.

Tut mir Leid aber PDF lade ich nicht runter. Stell doch bitte das Logfile mit den Code Tags rein.
P.S Eben einen Beitrag gesehen


P.S Bitte lesen: http://www.apfeltalk.de/community/threads/warnung-vor-cleanup-tools-antivirenprogrammen-co.435167/

Der Müll muss runter.

 

[KALLT]

@aikonn:

XXX ALL=(ALL) NOPASSWD: /Users/XXX/Desktop/StellarPartitionManager 2.app/Contents/MacOS/StellarPartitionManager.app/Contents/Resources/.SupportFile/ntfs.util
XXX ALL=(ALL) NOPASSWD: /Users/XXX/Desktop/StellarPartitionManager 2.app/Contents/MacOS/StellarPartitionManager.app/Contents/Resources/.SupportFile/Support/mkntfs
XXX ALL=(ALL) NOPASSWD: /Users/XXX/Desktop/StellarPartitionManager.app/Contents/MacOS/StellarPartitionManager.app/Contents/Resources/.SupportFile/ntfs.util
XXX ALL=(ALL) NOPASSWD: /Users/XXX/Desktop/StellarPartitionManager.app/Contents/MacOS/StellarPartitionManager.app/Contents/Resources/.SupportFile/Support/mkntfs

Das hier kommt standard nicht vor. Es wurde anscheinend vom Programm ‘Stellar Partition Manager’ eingetragen. Das Programm darf also als Root Handlungen ausführen ohne zusätzliche Autorisierung, das ist ein ziemliches Risiko. Es ist auch nicht gut, dass hier ein Desktop-Pfad angegeben wird. Wenn das Programm noch vorhanden ist, solltest du es vernünftig installieren. Wenn es nicht mehr da ist, sollte die sudoers-Datei wieder aktualisiert werden. Dasselbe gilt für /etc/hosts.

Du hast ziemlich viele Programme die beim Systemstart ausgeführt werden. Läuft denn sonst alles gut oder hast du irgendwelche Probleme? Außerdem hast du drei Anti-Malwareprogramme. Über den Sinn und Zweck möchte ich nicht diskutieren, aber das ist wohl overkill. Eine Neuinstallation ist nicht nötig, aber ein wenig ausmisten wäre vielleicht nicht so schlecht. Ein Update auf El Capitan wäre auch eine gute Idee.

Bitte auch Gatekeeper einschalten (Systemeinstellungen > Sicherheit > Mac App Store und verifizierte Entwickler). Du kannst das in Einzelfällen umgehen indem du das Programm einfach mit Rechtsklick startest, statt mit einem Doppelklick. Das brauchst du nur beim ersten Start des jeweiligen Programmes zu tun. Ganz ausschalten ist unnötiges Risiko.

... um mal einige zu nennen. Wozu brauchst du einen AV vor allem diese Schr*** von Avira und Sophos? Allein diese bremsen das System aus. Wenn dann reicht Little Snitch völlig aus.

Wenn ich mir die Lauch Agents/ Daemons uns Startup Items liste anschaue wundere ich mich wieso der Rechner überhaupt noch arbeitet?

Eine Bereinigung ist in diesem Fall nicht möglich und eine Neuinstallation ist empfehlenswert. Wieso in Gottes Namen erteilst du Software sudo-Rechte das geht mir nicht in den Kopf.

Bitte mäßige mal deinen Ton. Er/sie ist ein neuer Benutzer hier auf dem Forum und du weißt doch gar nicht welchen Kenntnisstand er/sie hat.

 

[aikonn]

Hallo,

vielen Dank für die Antworten.

Ich habe nur ein Virenprogramm das ich auch behalten möchte: Sophos.
Avira hatte ich mal ausprobiert, habe es aber wieder gelöscht.
Wie lösche ich denn jetzt den Eintrag von Avira?
Malwarebytes würde ich auch gerne behalten. Ist nicht unnützlich und läuft ja nur, wenn ich es explizit benutze.

Den Partition Manager habe ich einmal dringend für eine externe Festplatte gebraucht. Eigentlich würde ich ihn auch gerne behalten. Ich vermute, dass er dabei die Rechte eingefordert hat und ich sie auch bewilligt habe. Grundsätzlich wäre es mir allerdings auch lieber nicht so viele Rechte zu vergeben.
Also: Wie lösche ich diese Rechte von Stellar (vorübergehend)?

Der Rechner läuft angesichts seines Alters perfekt und ohne Probleme. Einzig das letzte Itunes Update hatte er nicht vertragen.

Es gibt tatsächlich ein paar Launch Agents, die ich löschen könnte. Das meiste brauche ich aber.

Wie lösche ich die?

Meine Frage bezieht sich aber auch hauptsächlich auf den Eintrag mit 'Sudoers', der vor ca. 2 Monaten noch nicht bei Etre Check erschien. Die ansonsten aufgeführte Programme waren aber schon damals lange installiert.

 

[Farafan]

Ich habe nur ein Virenprogramm das ich auch behalten möchte: Sophos.

Dann ist dir nicht zu helfen. Sorry.

 

[KALLT]

Hallo,

vielen Dank für die Antworten.

Ich habe nur ein Virenprogramm das ich auch behalten möchte: Sophos.
Avira hatte ich mal ausprobiert, habe es aber wieder gelöscht.
Wie lösche ich denn jetzt den Eintrag von Avira?
Malwarebytes würde ich auch gerne behalten. Ist nicht unnützlich und läuft ja nur, wenn ich es explizit benutze.

Den Partition Manager habe ich einmal dringend für eine externe Festplatte gebraucht. Eigentlich würde ich ihn auch gerne behalten. Ich vermute, dass er dabei die Rechte eingefordert hat und ich sie auch bewilligt habe. Grundsätzlich wäre es mir allerdings auch lieber nicht so viele Rechte zu vergeben.
Also: Wie lösche ich diese Rechte von Stellar (vorübergehend)?

Der Rechner läuft angesichts seines Alters perfekt und ohne Probleme. Einzig das letzte Itunes Update hatte er nicht vertragen.

Es gibt tatsächlich ein paar Launch Agents, die ich löschen könnte. Das meiste brauche ich aber.

Wie lösche ich die?

1. Avira wurde mit einem Installer installiert. Schau dich mal bei Avira um ob die dazu einen passenden De-Installer anbieten, oder eine Anleitung. Ansonsten müssen wir genauer hinschauen.

2. Was soll der Partition Manager denn genau machen was das Festplattendienstprogramm nicht konnte?

3. Launch Agents kann man einzeln entfernen, aber die Programme könnten sie vielleicht erneut einrichten. Auch da solltest du schauen, dass die Programme ordnungsgemäß de-installiert werden. Wenn ein Installer verwendet wurde, dann einen De-Installer suchen oder (wenn keiner vorhanden ist) das Programm in den Papierkorb ziehen. Die LaunchAgents kann man auch im Finder entfernen, aber der Papierkorb lässt sich dann bis zu einem Neustart nicht richtig leeren. Das müsstest du also alles in einem Rutsch machen.

 

[Benutzer 176034]

Ein Virusprogramm hat nix auf dem Mac zu suchen, @aikonn. Auch auf Deinem nicht.
Dass Du dennoch den "Virus" so gerne behalten möchtest, ist absolut unverständlich.
Möchtest Du alle meine Krankheiten auch noch haben? Ich gebe sie Dir gerne...

 

[aikonn]

Hallo Macmahinda und Farafan,

ich schrieb eigentlich um sachdienliche Hilfe zu bekommen und nicht um gegen eine ideologische Wand der Virengegner zu laufen.
Ich habe seit 30 Jahren Macs und ich habe auch schon Mac-Viren gehabt. (Vor einem Antivirenprogramm). Ich möchte hier auch nicht darüber diskutieren.

Sophos ist schon seit sicher 5 Jahre auf diesem Rechner aber der Eintrag auf den ich mich in meinem Posting beziehe (sudoers) erst seit 2 Monaten.

Das beides etwas miteinander zu tun hat ist an einer zu vernachlässigenden Wahrscheinlichkeitsgrenze. (Eher wird umgekehrt aus meines Sicht ein Schuh draus.)

Also:
Ich bin allen die ihre Freizeit für meine Frage opfern und mir mit ihrem Wissen helfen dankbar.
Aber auf Antworten wie Sophos ist an allem Schuld würde ich gerne verzichten.


Danke
aikonn

 

[KALLT]

@aikonn: Um die sudoers-Datei wiederherzustellen, schaue zunächst mal ob vielleicht ein Backup vorhanden ist:

ls -l /etc/sudo*

Wenn nur ein Ergebnis angezeigt wird, gibt es kein Backup. In diesem Fall solltest du trotzdem vorher eines erstellen:

sudo cp /etc/sudoers /etc/sudoers~backup

Werden zwei Ergebnisse angezeigt, solltest du in der anderen Datei auch mal schauen ob dort die Einträge ebenfalls vorhanden sind (mit demselben Befehl den ich vorhin genannt habe) und dich hier noch einmal melden.


Um die sudoers-Datei zu ändern, kannst du wie folgt verfahren:

export EDITOR="nano"
sudo visudo

Dann die letzten Zeilen entfernen (mit den Pfeiltasten navigieren). Du kannst dies hier als Vorlage benutzen, zum Vergleich. Dann die Datei mit command-X schließen, mit 'y' die Änderungen akzeptieren und mit Enter bestätigen. Achte darauf ob irgendwelche Fehlermeldungen gegeben werden.

 

[92893]

Hallo Macmahinda und Farafan,

ich schrieb eigentlich um sachdienliche Hilfe zu bekommen und nicht um gegen eine ideologische Wand der Virengegner zu laufen.
Ich habe seit 30 Jahren Macs und ich habe auch schon Mac-Viren gehabt. (Vor einem Antivirenprogramm). Ich möchte hier auch nicht darüber diskutieren.

Sophos ist schon seit sicher 5 Jahre auf diesem Rechner aber der Eintrag auf den ich mich in meinem Posting beziehe (sudoers) erst seit 2 Monaten.

Das beides etwas miteinander zu tun hat ist an einer zu vernachlässigenden Wahrscheinlichkeitsgrenze. (Eher wird umgekehrt aus meines Sicht ein Schuh draus.)

Also:
Ich bin allen die ihre Freizeit für meine Frage opfern und mir mit ihrem Wissen helfen dankbar.
Aber auf Antworten wie Sophos ist an allem Schuld würde ich gerne verzichten.


Danke
aikonn

Deine Probleme sind die Virenscanner !!!!
Warum um Himmels Willen möchtest du ein solches unnützes Programm installiert haben????
Es nützt dir nix. Und was mich interessiert:
Nenn mir mal den Virus den du unter Mac hattest.... und Google brauchst gar nicht zu fragen!!!

 

[jOBS]

Hallo zusammen,
Ich wollte mal rein zur Kontrolle meinen EtreCheck Eintrag hier von den Profis überprüfen lassen .

P.S.: AppCleaner ist installiert, damit ich die einzelnen Dateien nicht alle mit EasyFind extra suchen muss. Dafür kontrolliere ich selbst nochmal welche Dateien die App mitlöschen will.

EtreCheck version: 2.9.11 (264)
Report generated 2016-04-20 19:06:20
Download EtreCheck from https://etrecheck.com
Runtime 1:32
Performance: Excellent

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.

Problem: No problem - just checking

Hardware Information: ?
    MacBook Pro (Retina, 13-inch, Early 2015)
    [Technical Specifications] - [User Guide] - [Warranty & Service]
    MacBook Pro - model: MacBookPro12,1
    1 2,7 GHz Intel Core i5 CPU: 2-core
    8 GB RAM Not upgradeable
        BANK 0/DIMM0
            4 GB DDR3 1867 MHz ok
        BANK 1/DIMM0
            4 GB DDR3 1867 MHz ok
    Bluetooth: Good - Handoff/Airdrop2 supported
    Wireless:  en0: 802.11 a/b/g/n/ac
    Battery: Health = Normal - Cycle count = 66

Video Information: ?
    Intel Iris Graphics 6100
        Color LCD 2880 x 1800

System Software: ?
    OS X El Capitan 10.11.4 (15E65) - Time since boot: less than an hour

Disk Information: ?
    APPLE SSD SM0256G disk0 : (251 GB) (Solid State - TRIM: Yes)
        EFI (disk0s1) <not mounted> : 210 MB
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB
        Macintosh HD (disk1) / : 249.77 GB (141.46 GB free)
            Core Storage: disk0s2 250.14 GB Online

USB Information: ?
    Broadcom Corp. Bluetooth USB Host Controller

Thunderbolt Information: ?
    Apple Inc. thunderbolt_bus

Gatekeeper: ?
    Mac App Store and identified developers

System Launch Agents: ?
    [not loaded]    8 Apple tasks
    [loaded]    159 Apple tasks
    [running]    71 Apple tasks

System Launch Daemons: ?
    [not loaded]    44 Apple tasks
    [loaded]    156 Apple tasks
    [running]    89 Apple tasks

Launch Agents: ?
    [loaded]    com.cisco.anyconnect.gui.plist (2015-02-19) [Support]
    [loaded]    com.oracle.java.Java-Updater.plist (2015-05-18) [Support]
    [running]    net.culater.SIMBL.Agent.plist (2015-07-12) [Support]

Launch Daemons: ?
    [loaded]    com.adobe.fpsaud.plist (2016-04-05) [Support]
    [running]    com.cisco.anyconnect.ciscod.plist (2015-02-19) [Support]
    [running]    com.cisco.anyconnect.vpnagentd.plist (2015-02-19) [Support]
    [loaded]    com.microsoft.autoupdate.helpertool.plist (2016-04-19) [Support]
    [loaded]    com.microsoft.office.licensing.helper.plist (2015-01-16) [Support]
    [loaded]    com.microsoft.office.licensingV2.helper.plist (2015-07-01) [Support]
    [loaded]    com.oracle.java.Helper-Tool.plist (2015-05-18) [Support]

User Launch Agents: ?
    [running]    com.spotify.webhelper.plist (2016-04-19) [Support]

User Login Items: ?
    Flux    Programm  (/Applications/Flux.app)
    iTunesHelper    Programm  (/Applications/iTunes.app/Contents/MacOS/iTunesHelper.app)
    Itsycal    Programm  (/Applications/Itsycal.app)

Other Apps: ?
    [running]    com.mowglii.ItsycalApp.160032
    [running]    net.freemacsoft.AppCleaner-SmartDelete
    [running]    org.herf.Flux.117472
    [loaded]    396 Apple tasks
    [running]    182 Apple tasks

Internet Plug-ins: ?
    FlashPlayer-10.6: 21.0.0.213 - SDK 10.6 (2016-04-08) [Support]
    QuickTime Plugin: 7.7.3 (2016-03-22)
    Flash Player: 21.0.0.213 - SDK 10.6 (2016-04-08) [Support]
    Default Browser: 601 - SDK 10.11 (2016-03-22)
    SharePointBrowserPlugin: 14.5.2 - SDK 10.6 (2015-06-21) [Support]
    Silverlight: 5.1.41212.0 - SDK 10.6 (2016-02-10) [Support]
    JavaAppletPlugin: Java 8 Update 71 build 15 (2016-01-20) Check version

Safari Extensions: ?
    Facebook Cleaner - Sonny Fazio - http://sonstermedia.com (2015-09-17)
    ClickToFlash - Marc Hoyois - http://hoyois.github.com/safariextensions/clicktoplugin/ (2016-01-02)
    uBlock - Chris Aljoudi - https://chrismatic.io/ (2016-01-02)
    Ghostery - GHOSTERY, Inc. - https://www.ghostery.com/ (2016-03-12)

3rd Party Preference Panes: ?
    Flash Player (2016-04-05) [Support]
    Java (2016-01-20) [Support]

Time Machine: ?
    Auto backup: YES
    Volumes being backed up:
        Macintosh HD: Disk size: 249.77 GB Disk used: 108.31 GB
    Destinations:
        Time Machine Backup [Local]
        Total size: 1.00 TB
        Total number of backups: 34
        Oldest backup: 30.03.15, 17:22
        Last backup: 12.04.16, 16:58
        Size of backup disk: Excellent
            Backup size 1.00 TB > (Disk size 249.77 GB X 3)

Top Processes by CPU: ?
         5%    WindowServer
         2%    kernel_task
         2%    fontd
         0%    cloudpaird

Top Processes by Memory: ?
    811 MB    kernel_task
    672 MB    com.apple.WebKit.WebContent(9)
    188 MB    Safari
    139 MB    mdworker(9)
    106 MB    mds_stores

Virtual Memory Information: ?
    3.79 GB    Free RAM
    4.21 GB    Used RAM (1.49 GB Cached)
    0 B    Swap Used

Diagnostics Information: ?
    Apr 20, 2016, 07:03:54 PM    Self test - passed

 

[KALLT]

@jOBS: Sieht in Ordnung aus.

 

[@dante12]

@aikonn

Den Partition Manager habe ich einmal dringend für eine externe Festplatte gebraucht. Eigentlich würde ich ihn auch gerne behalten. Ich vermute, dass er dabei die Rechte eingefordert hat und ich sie auch bewilligt habe. Grundsätzlich wäre es mir allerdings auch lieber nicht so viele Rechte zu vergeben.
Also: Wie lösche ich diese Rechte von Stellar (vorübergehend)?

Der Rechner läuft angesichts seines Alters perfekt und ohne Probleme. Einzig das letzte Itunes Update hatte er nicht vertragen.

Es gibt tatsächlich ein paar Launch Agents, die ich löschen könnte. Das meiste brauche ich aber.

Wie lösche ich die?

Also schau mal ob du diese Rechte über den Partition Manager einstellen kannst. Wenn das nich geht muss du die sudo-Datei bearbeiten bzw. temporär die Einträge auskommentieren.

1.Im Terminal gibst du folgendes ein:

sudo visudo

anschliessen dein Passwort.
2. Um Einträge zu ändern drücke die i-Taste (für insert) und navigiere zu den Einträgen die du löschen oder auskommentieren möchtest.
3. Das auskommentieren machst du in dem du ein # vor der Zeile setzt.
4. Wenn du fertig bist dann verlässt du diese Umgebung mit ESC.
5. Anschliessend speicherst du die Datei mit den Befehl:

:wq

und verlässt den Editor.

Diese kannst du löschen

/System/Library/Extensions

com.avira.kext.FileAccessControl

User Launch Agents
~/Library/LaunchAgents

uk.co.markallan.clamxav.freshclam.plist

User Login Items:
CheatSheet Programm (/Utilities/CheatSheet.app)
EyeTV Helper Programm Hidden (/Library/Application Support/EyeTV/EyeTV Helper.app)
Fantastical Programm (/Sysutils/FantastIcal/Fantastical.app)
Frizzix Programm (/Documents/Telefonsammelordner/Frizzix/Frizzix.app)
AppCleaner Helper Programm (/Sysutils/AppCleaner.app/Contents/Library/LoginItems/AppCl Helper.app)
CrossOver CD Helper Programm (/Utilities/CrossOver.app/Contents/Resources/CrossOver C Helper.app)
Disklens Programm Hidden (/Sysutils/DiskLens 1.1.7 .1/Disklens.app)
FontExplorer X Pro Programm (/Applications/FontExplorer/FontExplorer X Pro.app)
PowerboxInjector Programm (/Applications/PowerboxInjector.app) Fantastical Programm (/Sysutils/FantastIcal/Fantastical.app) Fantastical Programm (/Sysutils/FantastIcal/Fantastical.app) Fantastical Programm (/Sysutils/FantastIcal/Fantastical.app) Fantastical Programm (/Sysutils/FantastIcal/Fantastical.app)


Gatekeeper:
Anywhere

Bei den Login Items (Anmeldeobjekte) musst du selbst entscheiden welche du dort behalten möchtest. Ebenso die Einstellung im AppStore (Gatekeeper).

 

[@dante12]

@jOBS

Dieser Eintrag muss nicht unbedingt schlecht sein das verwenden auch legitime Anwendungen

[running]    net.culater.SIMBL.Agent.plist (2015-07-12) [Support]

kommt aber sehr oft auch mit Adware zusammen (Conduit, Zako usf.)

Du kannst ja Malwarebytes mal rüberlaufen lassen.

 

[jOBS]

@@dante12
SIMBL wurde meines Wissens nach installiert, als ich mir vor einiger Zeit cDock heruntergeladen hatte, was ich allerdings schon lange nicht mehr habe.

 

[@dante12]

Wird aber mit dem System gestartet wenn du es also nicht mehr brauchst kannst du es löschen.

 

[Benutzer 176034]

Hallo Macmahinda und Farafan,

ich schrieb eigentlich um sachdienliche Hilfe zu bekommen und nicht um gegen eine ideologische Wand der Virengegner zu laufen.

Das SIND sachdienliche Hinweise, werter @aikonn. Die sind auch richtig, wenn Du bockig bist...
Du erhoffst Dir Hilfe, erhältst sie und dann passt sie Dir nicht, weil Du "Deine" Wahrheit als wahrer bestätigt haben möchtest...?
Du wärst gut beraten, Deinen Viren-Virus zu entfernen, um somit das zu erhalten, was zählt: Ein laufendes System.
Dass das nach 30 Jahren Mac-Nutzung noch erzählt werden muß, ist mehr als erstaunlich...

 

[KALLT]

Das SIND sachdienliche Hinweise, werter @aikonn. Die sind auch richtig, wenn Du bockig bist...
Du erhoffst Dir Hilfe, erhältst sie und dann passt sie Dir nicht, weil Du "Deine" Wahrheit als wahrer bestätigt haben möchtest...?
Du wärst gut beraten, Deinen Viren-Virus zu entfernen, um somit das zu erhalten, was zählt: Ein laufendes System.
Dass das nach 30 Jahren Mac-Nutzung noch erzählt werden muß, ist mehr als erstaunlich...

Er hat aber nicht darum gebeten, sondern eine ganz spezifische Frage gestellt. Nun lasst ihn doch. Es geht mir langsam auch gegen den Strich wie hier jeder unter Generalverdacht gestellt wird und dann auf eine so herablassende Weise ‘geholfen’ wird. Weist die Leute einfach auf die gängige Lektüre hin und fragt doch erst einmal nach, was sie überhaupt wollen.

 

[Benutzer 176034]

Die Belehrung brauchte ich gerade noch, @KALLT. Sehr nett von Dir...

 

[KALLT]

@@dante12
SIMBL wurde meines Wissens nach installiert, als ich mir vor einiger Zeit cDock heruntergeladen hatte, was ich allerdings schon lange nicht mehr habe.

Wenn ich mich recht erinnere, verlangt SIMBL ein (vorübergehendes) Ausschalten des Systemintegritätsschutzes um installiert zu werden. Wenn du das ausgeschaltet hast, wäre es vielleicht auch nicht schlecht um das wieder einzuschalten.