macOS Mojave "Low on Memory" 95% CPU-Auslastung durch unbekannten Prozess

[maria0303]

So MalwareBytes hat jetzt schon 69 Elemente entdeckt und diese bereinigt.

Jetzt hab ich noch kurz ne andere Frage, wo ihr mir schon jetzt so super geholfen habt! Danke dafür schon mal!!

Das MacBook hat nämlich außerdem noch auf Safari den SearchBaron.com Virus. Kennt sich damit jemand aus und weiß wie ich diesen entfernen kann? Mit MalwareBytes wurde der noch nicht entfernt..

 

[Lor-Olli]

Efl kenne ich als libraries für API,
Kx ist eine visuelle Entwicklungsumgebung zur Analyse großer Datenmengen,
Myf könnte sich auf Fehlermeldungen die bei Transmissionfehlern beziehen
- das alles könnte, muss aber nicht, durch einen Cryptominer entstehen. Die müssen nicht zwangsläufig viel übertragen, aber sie rechnen viel - deswegen dann wohl auch der große swap.

Was wir nicht wissen ist, ob deine Firma eine Software aufgespielt hat die zur Analyse großer Datenmengen dient, das sähe dann so ähnlich aus…

 

[maria0303]

Hab EtreCheck jetzt nochmal drüberlaufen lassen, zumindest die Aktivitätsanzeige sieht besser aus als vorher und auch die Low Memory Meldung ist nach dem Neustart nicht mehr aufgetaucht. Bei den Major Issues stehen ja immer noch einige Sachen..

EtreCheck version: 5.4.8 (5091)

Report generated: 2020-01-28 16:31:04

Download EtreCheck from https://etrecheck.com

Runtime: 2:48

Performance: Good

Sandbox: Enabled

Full drive access: Disabled


Problem: No problem - just checking


Major Issues:

Anything that appears on this list needs immediate attention.


No Time Machine backup - Time Machine backup not found.

Runaway process - A process is using a large percentage of your CPU.

Unsigned files - There are unsigned software files installed that could be adware and should be reviewed.

More than one antivirus app - This machine has multiple antivirus apps installed.


Minor Issues:

These issues do not need immediate attention but they may indicate future problems or opportunities for improvement.


Clean up - There are orphan files that could be removed.

32-bit Apps - This machine has 32-bits apps will not work on macOS 10.15 “Catalina”.

Limited drive access - More information may be available with Full Drive Access.


Hardware Information:

MacBook Air (13-inch, Early 2015)

MacBook Air Model: MacBookAir7,2

1 1,6 GHz Intel Core i5 (i5-5250U) CPU: 2-core

8 GB RAM - Not upgradeable

BANK 0/DIMM0 - 4 GB DDR3 1600

BANK 1/DIMM0 - 4 GB DDR3 1600

Battery: Health = Normal - Cycle count = 148


Video Information:

Intel HD Graphics 6000 - VRAM: 1536 MB

Color LCD 1440 x 900


Drives:

disk0 - APPLE SSD SM0128G 121.33 GB (Solid State - TRIM: Yes)

Internal PCI 5.0 GT/s x4 Serial ATA

disk0s1 - EFI (MS-DOS FAT32) [EFI] 210 MB

disk0s2 [APFS Container] 121.12 GB

disk1 [APFS Virtual drive] 121.12 GB (Shared by 4 volumes)

disk1s1 - Macintosh HD (APFS) (Shared - 34.44 GB used)

disk1s2 - Preboot (APFS) [APFS Preboot] (Shared)

disk1s3 - Recovery (APFS) [Recovery] (Shared)

disk1s4 - VM (APFS) [APFS VM] (Shared - 1.07 GB used)


Mounted Volumes:

disk1s1 - Macintosh HD

121.12 GB (Shared - 34.44 GB used, 89.73 GB available, 84.92 GB free)

APFS

Mount point: /


disk1s4 - VM [APFS VM]

121.12 GB (Shared - 1.07 GB used, 84.92 GB free)

APFS

Mount point: /private/var/vm


Network:

Interface en0: Wi-Fi

802.11 a/b/g/n/ac

Interface en2: Bluetooth PAN

Interface bridge0: Thunderbolt Bridge


System Software:

macOS Mojave 10.14.6 (18G103)

Time since boot: Less than an hour


Notifications:

Notifications not available without Full Drive Access.


Security:

Gatekeeper: Enabled

System Integrity Protection: Enabled


Antivirus software: Apple, AdGuard, and Malwarebytes


Unsigned Files:

Launchd: ~/Library/LaunchAgents/com.LaterAgent.silhouette.plist

Executable: ~/Library/Application Support/.nfcd/seld

Details: Domain name invalid - possibly adware


Launchd: /Library/LaunchDaemons/com.sec.faxdb.plist

Executable: /Library/Printers/Samsung/Fax/FaxDB/faxdbd

Details: Exact match found in the whitelist - probably OK


Launchd: ~/Library/LaunchAgents/com.pcv.hlprnmcp.plist

Executable: ~/Library/Application Support/mcpnw/helpernmcp.app/Contents/MacOS/helpernmcp

Details: Executable file is not accessible without Full Disk Access


32-bit Applications:

6 32-bit apps


Kernel Extensions:

/Library/Application Support/com.adguard.mac.adguard/kext

com.adguard.nfext.kext (Adguard Software Limited, 1.0.25 - SDK 10.14)


System Launch Agents:

[Not Loaded] 16 Apple tasks

[Loaded] 186 Apple tasks

[Running] 98 Apple tasks


System Launch Daemons:

[Not Loaded] 34 Apple tasks

[Loaded] 187 Apple tasks

[Running] 114 Apple tasks


Launch Agents:

[Running] com.malwarebytes.mbam.frontend.agent.plist (Malwarebytes Corporation - installed 2019-11-18)

[Other] com.teamviewer.teamviewer.plist (? 9223e856 - installed 2020-01-28)

[Other] com.teamviewer.teamviewer_desktop.plist (? 6304738 - installed 2020-01-28)


Launch Daemons:

[Loaded] com.adobe.fpsaud.plist (Adobe Systems, Inc. - installed 2020-01-13)

[Running] com.malwarebytes.mbam.rtprotection.daemon.plist (Malwarebytes Corporation - installed 2020-01-28)

[Running] com.malwarebytes.mbam.settings.daemon.plist (Malwarebytes Corporation - installed 2019-11-18)

[Other] com.sec.faxdb.plist (? 91b619f6 - installed 2017-01-03)

[Loaded] com.teamviewer.Helper.plist (TeamViewer GmbH - installed 2019-12-10)

[Other] com.teamviewer.teamviewer_service.plist (? 52d5a08d - installed 2020-01-28)


User Launch Agents:

[Running] com.LaterAgent.silhouette.plist (? 0 - installed 2020-01-20)

[Running] com.pcv.hlprnmcp.plist (? 0 - installed 2019-12-30)


Internet Plug-ins:

FlashPlayer-10.6: 32.0.0.321 (Adobe Systems, Inc. - installed 2020-01-21)

Flash Player: 32.0.0.321 (Adobe Systems, Inc. - installed 2020-01-21)


Audio Plug-ins:

AppleTimeSyncAudioClock: 1.0 (Apple - installed 2019-09-21)

BluetoothAudioPlugIn: 6.0.14 (Apple - installed 2019-09-21)

AirPlay: 2.0 (Apple - installed 2019-09-21)

AppleAVBAudio: 760.6 (Apple - installed 2019-09-21)

BridgeAudioSP: 5.52 (Apple - installed 2019-09-21)

iSightAudio: 7.7.3 (Apple - installed 2019-09-21)


3rd Party Preference Panes:

Flash Player (installed 2020-01-13)


Time Machine:

Time Machine Not Configured!


Performance:

System Load: 3.98 (1 min ago) 7.33 (5 min ago) 3.85 (15 min ago)

Nominal I/O speed: 9.65 MB/s

File system: 69.26 seconds

Write speed: 677 MB/s

Read speed: 1456 MB/s


CPU Usage Snapshot:

Type Overall

System 15 %

User 19 %

Idle 66 %


Top Processes Snapshot by CPU:

Process (count) CPU (Source - Location)

Other processes 96.35 % (?)

Finder 6.66 % (Apple)

secinitd 6.22 % (Apple)

EtreCheck 5.02 % (App Store)

assistant_service 4.45 % (Apple)


Top Processes Snapshot by Memory:

Process (count) RAM usage (Source - Location)

EtreCheck 448 MB (App Store)

firefox 249 MB (Mozilla Corporation)

FrontendApplication 106 MB (Malwarebytes Corporation)

Mail 102 MB (Apple)

Finder 85 MB (Apple)


Top Processes Snapshot by Network Use:

Process Input / Output (Source - Location)

firefox 7 MB / 10 KB (Mozilla Corporation)

Other processes 119 KB / 95 KB (?)

Mail 121 KB / 6 KB (Apple)

com.apple.iCloudHelper 39 KB / 8 KB (Apple)

cloudphotosd 16 KB / 4 KB (Apple)


Virtual Memory Information:

Physical RAM: 8 GB


Free RAM: 2.76 GB

Used RAM: 2.84 GB

Cached files: 2.40 GB


Available RAM: 5.16 GB

Swap Used: 0 B


Software Installs (past 30 days):

Install Date Name (Version)

2020-01-10 TeamViewer (15.1.3937)

2020-01-21 Adobe Flash Player

2020-01-23 XProtectPlistConfigData (2112)

2020-01-28 MRTConfigData (1.53)

2020-01-28 Safari (13.0.4)

2020-01-28 EtreCheck (5.4.8)

2020-01-28 Malwarebytes for Mac


Clean up:

/Library/LaunchAgents/com.teamviewer.teamviewer.plist

/Applications/TeamViewer.app/Contents/MacOS/TeamViewer

Executable not found

/Library/LaunchAgents/com.teamviewer.teamviewer_desktop.plist

/Applications/TeamViewer.app/Contents/MacOS/TeamViewer_Desktop

Executable not found

/Library/LaunchDaemons/com.teamviewer.teamviewer_service.plist

/Applications/TeamViewer.app/Contents/MacOS/TeamViewer_Service

Executable not found


Diagnostics Information (past 7-30 days):

Directory /Library/Logs/DiagnosticReports is not accessible.

Enable Full Drive Access to see more information.


End of report

 

[ekki161]

Hier mal gelesen?

https://macsecurity.net/de/view/279-remove-searchbaron-virus-from-mac

Und entferne den Flashplayer auch noch gleich mit.

 

[oneOeight]

Das MacBook hat nämlich außerdem noch auf Safari den SearchBaron.com Virus. Kennt sich damit jemand aus und weiß wie ich diesen entfernen kann? Mit MalwareBytes wurde der noch nicht entfernt..

einfach mal safari mit shift gedrückt starten für dessen sicheren modus und die suchmachine wieder ändern.
falls man die nicht ändern kann, muss man in den systemeinstellungen gucken, ob dort ein profile vorhanden ist.
darüber wird das dann gesetzt, einfach das profil entfernen, welches das drin hat.

 

[oneOeight]

Launchd: ~/Library/LaunchAgents/com.LaterAgent.silhouette.plist
Executable: ~/Library/Application Support/.nfcd/seld
Details: Domain name invalid - possibly adware

da ist noch was durch netz geschlüpft.

 

[maria0303]

Efl kenne ich als libraries für API,
Kx ist eine visuelle Entwicklungsumgebung zur Analyse großer Datenmengen,
Myf könnte sich auf Fehlermeldungen die bei Transmissionfehlern beziehen
- das alles könnte, muss aber nicht, durch einen Cryptominer entstehen. Die müssen nicht zwangsläufig viel übertragen, aber sie rechnen viel - deswegen dann wohl auch der große swap.

Was wir nicht wissen ist, ob deine Firma eine Software aufgespielt hat die zur Analyse großer Datenmengen dient, das sähe dann so ähnlich aus…

Also eine Software von der Firma selber ist nicht drauf. Wir sind ein kleines 3-Mann-Unternehmen, also keine große Firmen-Software auf dem PC, wir nutzen das MacBook quasi nur für alle geschäftlichen Sachen..

 

[maria0303]

Hier mal gelesen?

https://macsecurity.net/de/view/279-remove-searchbaron-virus-from-mac

Und entferne den Flashplayer auch noch gleich mit.

Yes, auf der Seite war ich auch schon mal. Ich hab auch bestimmt schon 20 verschiedene Lösungswege ausprobiert, den Virus zu entfernen. Hat aber nie geklappt. Zudem erkenn ich ja nicht mal in der Aktivitätsanzeige welche Prozesse auffällig sind

 

[maria0303]

Ja, nicht gut.
Malwarebytes wird hier ja schon häufiger vorgeschlagen. Ich würde allerdings die Trail von https://www.clamxav.com nutzen.

Hab ich mir jetzt auch nochmal runtergeladen, hat nochmal 5 Elemente gefunden u.a. MacKeeper.

 

[maria0303]

da ist noch was durch netz geschlüpft.

Äääh okay und was ist das jetzt?

Sorry, aber hab Null Plan. Bin sehr froh, dass ihr mir gerade so gut helft!

 

[rembremerdinger]

Nach allem was ich jetzt gelesen habe ist zwar einiges bereinigt, aber noch einiges im argen.
Auch wenn ihr das anders sehen solltet ein kompletter Cleaninstall wäre am sinnvollsten.
dann ist alles sauber denn so wie es scheint gibt es auch kein Backup.
Dann muss man auch nicht sichern und es gibt keine Verlust.

 

[electricdawn]

Und was lernen wir wieder daraus?

Rechner mit gleich mehreren "Antiviren"-Programmen sind am verseuchtesten. Hmm. Was will uns das nur sagen?

 

[oneOeight]

Äääh okay und was ist das jetzt?

Sorry, aber hab Null Plan. Bin sehr froh, dass ihr mir gerade so gut helft!

das scheint auch malware/adware zu sein.
aber musst du wohl von hand löschen, wenn die scanner es nicht erfassen.
vielleicht hat es clamxav jetzt entfernt, wobei wo hat der noch mackeeper gefunden, in dem 2. etrecheck ist das ja nicht mehr drin.

User Launch Agents:
[Running] com.LaterAgent.silhouette.plist (? 0 - installed 2020-01-20)
[Running] com.pcv.hlprnmcp.plist (? 0 - installed 2019-12-30)

die beiden solltest du auf jeden fall löschen.

 

[maria0303]

Nach allem was ich jetzt gelesen habe ist zwar einiges bereinigt, aber noch einiges im argen.
Auch wenn ihr das anders sehen solltet ein kompletter Cleaninstall wäre am sinnvollsten.
dann ist alles sauber denn so wie es scheint gibt es auch kein Backup.
Dann muss man auch nicht sichern und es gibt keine Verlust.

Sprich das MacBook komplett zurücksetzen? Und vorher sämtliche Dateien etc. sichern?

 

[maria0303]

das scheint auch malware/adware zu sein.
aber musst du wohl von hand löschen, wenn die scanner es nicht erfassen.
vielleicht hat es clamxav jetzt entfernt, wobei wo hat der noch mackeeper gefunden, in dem 2. etrecheck ist das ja nicht mehr drin.


die beiden solltest du auf jeden fall löschen.

Hab auch nach dem MacKeeper bzw. den Anti-Viren-Programmen gesucht, die angeblich ja auf dem MacBook sind, aber ich hab nichts gefunden. Zumindest in den Programmen finde ich nichts.


Alles klar, wie lösch ich das? Muss ich das in der Aktivitätenanzeige suchen und den Prozess beenden oder wie?

 

[rembremerdinger]

Aber nur die Daten sonst nichts da der Rest eh nicht sauber ist ein backup wäre kontraproduktiv.
Man würde sich das ganz nur wieder zurückholen.
Aber entscheiden musst du. Und vor alledem um einiger vorsichtiger sein, denn man hat sich trotz Antivirensoftware schnell was eingefangen.
Und einen Adwareblocker ala Adguard wäre sinnvoll.

 

[oneOeight]

Alles klar, wie lösch ich das? Muss ich das in der Aktivitätenanzeige suchen und den Prozess beenden oder wie?

das sind user launch agents, die plist findest du bei dir im home in der Library in LaunchAgents.
die plist dateien halt löschen und vielleicht die dateien, die die aufrufen.

 

[maria0303]

Bin jetzt mal über EtreCheck gegangen und konnte mir da die LaunchAgents anzeigen lassen und entfernen.

 

[oneOeight]

Anhang anzeigen 283717

Das sind die einzigen plist dateien, die ich unter LaunchAgents finde.. ist da was dabei?

nein, es den ordner 2x.
einmal die Library oben auf der platte und in deinem home ordner.

sonst starte mal neu und lass etrecheck noch mal laufen, ob der noch adware findet.

 

[ekki161]

Die Library in deinem Benutzerordner findest du zum Beispiel im Finder / Menüleiste / Gehe zu bei gedrückter alt-Taste.