Trojaner ändert MacBook Passwort

Hallo lillylu,

das klingt wirklich ärgerlich, und ich kann gut verstehen, dass Du Dir Sorgen um Deine Daten machst. Wichtig ist jetzt, besonnen vorzugehen, um weiteren Schaden zu vermeiden. 

Versuche zuerst, den Mac im sicheren Modus oder über den Wiederherstellungsmodus zu starten, um auf die Festplatte zuzugreifen.

Falls Unsicherheit besteht, empfehle ich, vorsichtig zu sein und nicht wahllos Dateien oder Einstellungen zu ändern. Wenn Du Dir nicht sicher bist, ist der Apple Support oder ein autorisierter Service Provider die beste Anlaufstelle.

> Wie ich meine Datensicherheit auf Apple-Geräten verbessern kann – Apple Community

Ich hoffe wirklich, dass Du Deine Daten retten kannst! 

Liebe Grüße! 

Bei Apple gibt es das Angebot, Geräte auf Schadsoftware zu untersuchen. Sollte eine solche gefunden werden, dann wird sie kostenlos entfernt.

Bitte vereinbare einen Termin online in der Genius Bar des nächsten Apple Stores. Eine zertifizierte Werkstatt macht das auch.

Grundsätzlich ist auch ein Mac nicht sicher vor Schadsoftware, aber hier halte ich das für äusserst unwahrscheinlich.

Die TO ist auf eine dieser typischen, als Push-Nachrichten getarnten, aggressiven Werbeaktionen hereingefallen, die den Usern vorgaukeln, sie hätten Schadsoftware auf dem Mac.

Leider hat sie auch schon angefangen, im System herumzupfuschen, ohne genau zu wissen, was sie eigentlich tut.

Wichtig ist jetzt, wieder Zugriff auf den Mac zu bekommen, um nach den Fehlern suchen zu können…

lillylu schrieb:

Vielen Dank für die Antwort!

Ich habe das Virenprogramm nur geholt, da mir ständig von Apple Meldungen angezeigt wurden, dass ich Dateien habe, die meinem Mac schaden (diese Meldungen kamen auch, wenn alle Programme geschlossen waren und ich nicht im Internet war).

Das sind keine echten Virenwarnungen, sondern push-Nachrichten, die dich zum Kauf sinnloser, aber teurer Software verleiten soll.

Sobald ich in Safari rein bin, kam regelmäßig eine Abfrage, ob mein Standort benutzt werden darf, was ich immer verneint habe. Das Viren Programm heißt CleanMyMac, falls das hilft.

CMM richtet meist grosse Schäden an. Zur Entfernung von Schadsoftware ist es ungeeignet.

Es handelt sich um einen MacBook Air 13" (2015). Es müsste meines Erachtens macOS 11.0: Big Sur (2020) drauf sein, könnte sich aber auch um eine etwas frühere Version handeln.

OK, also ein Intel-Modell

Der Tipp mit der Tastatur hat leider nicht funktioniert.

Die Dokumente, die ich sonst gesehen hatte waren eher willkürlich benannt, nichts was gut lesbar war. Eher kryptisch. Ein Dokument laut des Virenprogramms war soweit ich weiß wie etwas in Richtung AddBlock benannt, bin mir aber nicht sicher.

Das ist genau das, was ich meinte. Du hast etwas gelöscht, aber keine Ahnung, was.

Die schädlichen Dokumente habe ich über die Meldungen von Apple direkt und nicht über das Virenprogramm geöffnet, da konnte man sich lediglich den Namen der Datei anzeigen lassen.

Apple verschickt solche Warnungen nicht ! Das sind Fakemeldungen, die bei dir ihren Zweck erreicht haben. Du hast ein nutzloses Programm gekauft.

Was willst du denn mit 9 und 10 Jahre alten Backups ? Das ist doch völlig sinnfrei. Backups müssen täglich gefahren werden.

Zum Thema.

Arbeite bitte das hier ab: Wenn du dein Mac-Anmeldepasswort vergessen hast. Am besten gleich hier „Die Optionen zum Zurücksetzen in der Wiederherstellung verwenden“ beginnen.

Virenprogramme auf dem Mac sind bestenfalls nutzlos, schlimmstenfalls selbst schädlich.

Wahrscheinlich war das ein Fehlalarm.

Was du da gelöscht hast, weiss kein Mensch. Gibt es die anderen Verzeichnisse noch ? Wie sind diese benannt ?

Selbst wenn es ein Trojaner gewesen wäre - was ich für unwahrscheinlich halte - ändert der bestimmt kein Passwort. Und dass dieses tolle Programm angebliche Schadsoftware findet, aber nicht löschen kann, ist doch ein Witz.

Um dir weiterhelfen zu können: um was für einen Mac geht es genau (Typ, MY, macOS)?

Es kommt vor, dass ein falsches Tastaturlayout beim Start verwendet wird - meist US QWERTY. Probiere mal damit, dein Passwort einzugeben.

Gibt es ein - nicht kompromittiertes - Backup ?

CleanMyMac ist kein Antivirenprogramm.

Allerdings wenn CleanMyMac nicht von der legalen Quelle kommt, sondern illegal erworben wurde, kann es infiziert sein.

Ev. wurden da noch weitere Programme von illegalen Quellen installiert. Das Problem entsteht, wenn bei Installation das Adminpasswort eingegeben wird. Hier ist höchste Vorsicht geboten.

Ich empfehle mit einer externen Festplatte mit einem macOS zu starten. Dann die wichtigen Daten von dem internen Laufwerk zu kopieren. Dann die interne zu löschen und ein macOS neu zu installieren. Alternative kann auch CarbonCopyCloner verwendet werden, was die externe Festplatte 1:1 auf die interne kopiert.

Das ist doch Unsinn. Wie soll denn die Installation auf einem externen Laufwerk funktionieren, wenn kein Zugang zum Mac besteht ?

Angesichts des offensichtlichen Kenntnisstandes der TO ist das sicher nicht der richtige Weg.

Wichtig ist, dass die TO wieder Zugriff auf den Mac bekommt. Also setzen wir beim Passwort an. Dann sehen wir weiter, was eigentlich passiert ist, z.B. Etrecheck.

Ich hab immer mehrere externe Festplatten mit diversen Systemen.

Da lässt sich immer ein Mac starten und die Daten retten, auch wenn das interne Laufwerk beschädigt ist.

Wenn man sowas nicht besitzt, es gibt Mac-Reparatur-Dienste die das dann erledigen.

Es ist doch offensichtlich, dass die TO nicht das Wissen hat, mit externen Laufwerken den Mac zu retten, geschweige denn einen zweiten, um ein Startlaufwerk zu erstellen. Und nicht jeder hat die Dinger zuhause rumliegen.

Und natürlich gibt es Firmen, die so etwas machen. Kostet halt….

Ich bin sehr für Lösungen mit Bordmitteln und sehr sicher, dass wir das ohne grossen Aufwand wieder hinbekommen.

Wenn es denn Feedback gibt…

Du bist den Weg über resetpassword gegangen ? Dabei wird kein „Wiederherstellungsschlüssel“ verlangt.

Wird beim Start in die Wiederherstellung ein Schloss-Symbol angezeigt ?

Bitte versuche noch einmal, dein (altes) Passwort mit dem US-Tastaturlayout einzugeben. Das hatte ich dir gestern bereits empfohlen.

Hast du Sonderzeichen oder Umlaute im Passwort ?

Hallo lillylu,

falls dieser Hinweis bereits gegeben wurde, bitte ich um Nachsicht. Achte darauf, dass das Tastaturlayout auf „Standard (DE)“ eingestellt ist, insbesondere wenn Du ein komplexes Passwort verwendest. Du kannst es oben rechts ändern, indem Du darauf klickst. Vielleicht hilft das bereits ein Stück weiter.

Beste Grüße & viel Erfolg! 😊