Mac-Tipp: veraltete Systemerweiterungen (Kernel-Extensions) finden und entfernen

Die Informationsseite von macOS gibt eher oberflächliche Dinge zum Besten.

Seit macOS Catalina 10.15.4 weist das Betriebssystem direkt nach dem Hochfahren in einzelnen Warnmeldungen auf veraltete Systemerweiterungen hin, die in Zukunft nicht mehr unterstützt werden. Der genaue Wortlaut der Meldung ist dieser:

Ältere Systemerweiterung – Software auf deinem System hat eine Systemerweiterung mit Signatur von "Name-des-Entwicklers" geladen, die mit zukünftigen Versionen von macOS nicht kompatibel sein wird. Wende dich für Unterstützung an den Entwickler.

Die ersten paar Male habe ich die Hinweise ignoriert, aber langsam nerven sie und ich wollte mich mal ans Werk machen, um die Systemerweiterungen bzw. Kernel-Erweiterungen zu entfernen, die ab macOS 10.16 nicht mehr kompatibel sein werden.

Hinweis-Fenster am Mac: Ältere Systemerweiterung ist nicht mit zukünftigen Versionen von macOS kompatibel.

Hinweis-Fenster am Mac: Ältere Systemerweiterung ist nicht mit zukünftigen Versionen von macOS kompatibel.

Hinweis von macOS wenig hilfreich

Das Erste, was mir auffällt: der Hinweis vom System, in dem auf die veralteten Systemerweiterungen hingewiesen wird, ist fast komplett für die Füße. Es wird zwar der Name des Entwicklers genannt, aber das Programm, zu dem die Erweiterung gehört, findet man in dem Fenster nicht.

Ebenso gibt es keine Anzeige des Pfads, wo die Systemerweiterung zu finden ist. So bleibt also nur, sich mit den vagen Informationen selbst auf die Suche zu machen.

Auch die von Apple verlinkte Webseite zum Thema "veraltete Systemerweiterungen" bringt einen nicht wirklich weiter.

Auch die von Apple verlinkte Webseite zum Thema "veraltete Systemerweiterungen" bringt einen nicht wirklich weiter.

Tools wie CleanMyMac X finden die Erweiterungen nicht

Mein erster Hoffnungsschimmer für die Suche war das Tool CleanMyMac X, mit dem ich in der Regel auch Startobjekte und Ähnliches ausmiste. Leider zeigt es die Erweiterungen, die macOS ankreidet, in keiner der Listen an, durch die ich mich geklickt habe.

Damit ist leider ein einfacher Weg über ein Klickibunti-Programm scheinbar ausgeschlossen und man muss sich andere Wege suchen, um hier fündig zu werden.

Update 05.01.2020: MacUpdater in Pro-Version findet .kext-Dateien

Ein Leser hat mich eben darauf hingewiesen, dass die Software "MacUpdater" in der neuen, gekauften Version 2 auch nach veralteter Software im System suchen kann und damit auch Kernel-Extensions findet. Ich habe mir direkt die Software geklickt und tatsächlich zeigt sie mir vier kext-Dateien an, die ein Update brauchen. Man muss nur vorher in den Optionen unter "Scannen" die Einstellung "Alle Softwaretypen" wählen. Dies geht mit der Demo-Version nicht.

MacUpdater 2 findet nun auch Kernel Extensions, die nicht mehr uptodate sind – aber nur in der Kauf-Version der Software.

MacUpdater 2 findet nun auch Kernel Extensions, die nicht mehr uptodate sind – aber nur in der Kauf-Version der Software.

Suche der Kernel-Extensions über Terminal-Befehl

Nach der Suche in einigen Foren bin ich auf einen Terminal Befehl gestoßen, mit dem man sich die Kernel-Extensions anzeigen lassen kann, die NICHT von Apple sind. Dazu öffnet man das Dienstprogramm "Terminal" und gibt folgenden Befehl ein:

mdfind 'kMDItemKind == "Kernel-Erweiterung"'

Update: Ein Leser schrieb mir eben, dass dieser Befehl beim ihm nichts ausgeworfen hat. Er konnte aber mit der Eingabe von dieser Zeile eine Liste mit Drittanbieter KEXTs erzeugen:

kextstat | grep -v com.apple

Daraufhin spuckt der Mac eine Liste mit Erweiterungen aus, die man sich näher anschauen sollte. Praktisch bei dieser Liste ist, dass man direkt sehen kann, in welchen Ordnern sich die Dateien befinden.

Die Liste der gefundenen Kernel Extensions auf meinem Mac zeigt auch den Treffer von MalwareBytes, den macOS Catalina beim Booten in der Warnung aufgeführt hat.

Die Liste der gefundenen Kernel Extensions auf meinem Mac zeigt auch den Treffer von MalwareBytes, den macOS Catalina beim Booten in der Warnung aufgeführt hat.

In welchen Ordner befinden sich Systemerweiterungen und Kernel-Extensions?

Um eine Liste der Ordner zu machen, an denen sich die KEXTs (Abkürzung für Kernel-Extensions) befinden, habe ich einfach mal in meinen Ergebnissen geschaut, wo diese so liegen. Hier sind die "üblichen Verdächtigen", die ich bei mir ausfindig machen konnte:

  • /Library/StagedExtensions/Library/Extensions/
  • /Library/StagedExtensions/System/Library/Extensions/
  • /Library/Application Support/
  • /System/Library/Extensions/
  • /Library/Extensions/

Was sind "StagedExtensions"?

In den Ordner "StagedExtensions" schiebt macOS alle Kernel-Erweiterungen, die Programme von Drittanbietern installieren wollten, was jedoch vom System aus Sicherheitsgründen unterbunden wurde. In der Regel erscheint nach der Installation von solchen Erweiterungen in den Systemeinstellungen > Sicherheit > Allgemein für kurze Zeit ein Hinweis, über den man die Genehmigung für die Installation erteilen kann. Dazu muss man noch das Admin-Passwort eingeben und die Kernel-Extension kommt in den Ordner "Extensions", in dem sie dann auch ausgeführt werden.

Wenn ihr gerade nichts vermisst, könnt ihr den Ordner "StagedExtensions" in der Regel mit folgendem Terminal-Kommando leeren:

sudo kextcache --clear-staging

Wichtig: Backup vor dem Löschen der Extensions

Bevor man nun fleißig alle möglichen Dateien in den Papierkorb befördert, sollte man sich mit Carbon Copy Cloner, Smart Backup oder SuperDuper ein 1:1 Backup machen, mit dem man auch wieder starten kann. Bei Arbeiten in Systemordnern kann man unter Umständen viel kaputt machen, sodass man im schlimmsten Fall den Mac nicht einmal mehr von dem Volume booten kann.

Beachten sollte man auch, dass einige Hersteller Extensions mit mehreren Programmen nutzen. Wer also von Adobe CC oder Microsoft Office nur bestimmte Teile verwendet, benötigt in der Regel dennoch alle Systemerweiterungen, die die Programme installieren. Entfernt man diese trotzdem, funktioniert die Software manchmal nicht mehr richtig.

Solltet ihr noch Fragen zu den Systemerweiterungen haben, könnt ihr diese gerne als Kommentar hier hinterlassen.

 


Neu: Es gibt nun ein Sir Apfelot Forum bei dem ihr eure Fragen nicht nur mir, sondern gleich vielen anderen Lesern präsentieren könnt. Das erhöht die Chance, dass euer Problem gelöst wird!

22 Kommentare

  1. Thomas sagt:

    Danke für den Tipp????! Coronafreies Wochenende gewünscht????.

  2. Klaus sagt:

    Bei mir hat der Befehl nichts gefunden. Ich konnte mit "kextstat | grep -v com.apple" die Kernel Erweiterungen, die nicht von Apple sind finden

  3. Marcel sagt:

    Ich bekomme nach Aufruf des Befehls "kextstat | grep -v com.apple" die folgenden Infos:

    Index Refs Address Size Wired Name (Version) UUID
    149 0 0xffffff7f81047000 0x1d000 0x1d000 com.kaspersky.kext.klif (3.4.0a25) 60A1E118-2531-354D-BD36-2FA6ADC11C07
    150 0 0xffffff7f80edf000 0x5b000 0x5b000 com.kaspersky.nke (2.3.0a7) 245493BB-B11C-3C84-9051-A2E51E4D01C0

    Ich gehe davon aus, dass diese der Grund für die Meldung "veraltete Systemerweiterungen (Kernel-Extensions)" sind. Weiß jemand von Euch, wie man das bereinigen kann?

    • Sir Apfelot sagt:

      Hallo Marcel! Ja, das könnten alte Programmteile von Kaspersky sein. Also entweder mal mit dem Kaspersky Deinstaller probieren oder eben mit der Anleitung, zu der du gerade den Kommentar geschrieben hast. 😀

  4. Toxitec sagt:

    Mit dem Konsolenbefehl bekomme ich folgende Antwort, aber leider finde ich die Dateien absolut nicht… Hilfe wäre toll!!

    Index Refs Address Size Wired Name (Version) UUID

    174 0 0xffffff7f84705000 0x13000 0x13000 com.kaspersky.kext.kimul (46) A8797394- 1582-3199-B848-57168A700E56

    175 0 0xffffff7f84718000 0x1e000 0x1e000 com.kaspersky.kext.klif (3.6.12a2) 6BA1AFA7-F84D-3C69-9E56-0C3E21139D2E

    176 0 0xffffff7f84736000 0x5b000 0x5b000 com.kaspersky.nke (2.4.0a6) 45D3BCC3-2FB1-37A1-8148-801CBB1D353B

  5. Caroline sagt:

    Was heisst das denn? Sind das Extensions zum löschen? Und er fragt nach Passwort? Ich habe keines…………Danke herzlichst. Meinen Namen habe ich gelöscht…….
    The default interactive shell is now zsh.
    To update your account to use zsh, please run `chsh -s /bin/zsh`.
    For more details, please visit https://support.apple.com/kb/HT208050.

    /Library/StagedExtensions/Library/Extensions/ATTOExpressSASRAID2.kext
    /Library/StagedExtensions/Library/Extensions/ATTOCelerityFC8.kext
    /Library/StagedExtensions/Library/Extensions/HighPointRR.kext
    /Library/StagedExtensions/Library/Extensions/CalDigitHDProDrv.kext
    /Library/StagedExtensions/Library/Extensions/HighPointIOP.kext
    /Library/StagedExtensions/Library/Extensions/ATTOExpressSASHBA2.kext
    –clear-staging
    Password:
    ???

    • Jens Kleinholz sagt:

      Hallo Caroline! Ja, diese Extensions können alle weg. Du kannst sie im Terminal mit diesem Befehl löschen: sudo kextcache –clear-staging
      Dass er nach dem Passwort fragt, ist normal. Schließlich darf nicht jeder im Systemordner rumwerkeln. 😀

  6. michael sagt:

    Hallo.
    Leider kann ich nicht ersehen, wo ich Ihren Befehl eingeben muss.

    Bitte einmal für Laien: wenn der Mac eingeschaltet ist, was dann ?

    Vielen Dank

    • Jens Kleinholz sagt:

      Hallo Michael! Ah, ok… ich probiere es mal: Mac ist eingeschaltet, dann gehst du in den Ordner Programme > Dienstprogramme und öffnest darin das Programm "Terminal". In diesem gibst du dann den Befehl ein. LG, Jens

  7. Dirk sagt:

    Hallo zusammen!
    Ich hatte vor einiger Zeit schon einmal das Programm MacUpdater empfohlen.
    Es gibt nun eine neue Version 2.0 , die nicht nur veraltete Apps sondern jetzt auch veraltete Plugins, Screensaver, Kernelextension, usw. findet und automatisch/manuell updaten kann.
    Man kann die App auch so konfigurieren, dass der Speicherort der veralteten .kext mit einem Doppelklick im System angezeigt wird, falls man das wünscht.
    Vielleicht kann das hier ja dem ein oder anderen helfen.
    Die Suche "über die Apps" hinaus ist der Pro-Version vorbehalten … ich kann das Programm jedoch guten Gewissens empfehlen.

    • Jens Kleinholz sagt:

      Ah, das ist ein guter Tipp! Ich werde es mal im Beitrag oben einbauen und auch mal ausprobieren. Klingt aber auf jeden Fall nach einer hilfreichen Funktion.

  8. Dirk sagt:

    …. habe noch eine Ergänzung. Habe versuchsweise beide Terminalbefehle ausprobiert.
    Der erste gibt mir 8 Kernelerweiterungen aus. Der zweite gibt mir zwar die 8 .kext nicht aus, dafür aber eine weitere.
    Habe danach die Version 2.0 von MU gestartet und sie hat mir eine veraltetet Drucker-USB-kext angezeigt. Durch Doppelklick wurde mir der Ordner angezeigt, indem sich noch weitere diverse .kext befinden … hier finde ich jedoch die 8 + 1 + weitere 7 !! .kext
    – seltsam.

    • Jens Kleinholz sagt:

      Hallo Dirk! Ja, verstehen tue ich auch nicht ganz, warum hier verschiedene Angaben erfolgen. Wahrscheinlich liegt die Wahrheit irgendwo dazwischen… 😀

  9. D. Wettstein sagt:

    Danke habe es versucht mit Deinen Befehlen. Danach bekomme ich diese riesen Liste von Systemerweiterungen und habe immer noch Abstürze. Was kann ich da tun?
    Executing: /usr/bin/kmutil clear-staging
    clearing all staged extensions…
    dweib@Ds-iMac-2 ~ % mdfind 'kMDItemKind == "Kernel-Erweiterung"'
    /Library/Extensions/EPSONUSBPrintClass.kext
    /Library/Extensions/EyeTVVoyagerAudioBlock.kext
    /Library/Extensions/EyeTVCinergyXSAudioBlock.kext
    /Library/Extensions/EyeTVEmpiaAudioBlock.kext
    /Library/Extensions/HighPointIOP.kext
    /Library/Extensions/SoftRAID.kext
    /Library/Extensions/EyeTVAfaTechHidBlock.kext
    /Library/Extensions/EyeTVCinergy450AudioBlock.kext
    /Library/Extensions/HighPointRR.kext
    […]
    /System/Library/Extensions/AGXFirmwareKextG11GRTBuddy.kext
    /System/Library/Extensions/AGXFirmwareKextG13GRTBuddy.kext
    /System/Library/Extensions/AGXFirmwareKextRTBuddy64.kext
    /System/Library/Extensions/AFKACIPCKext.kext

  10. Dominik Wettstein sagt:

    NAchtrag inbesondere die Eye TV erweiterungen brauche ich nicht mehr, wie werde ich sie los?
    /EyeTVCinergyXSAudioBlock.kext /Library/Extensions/EyeTVEmpiaAudioBlock.kext /Library/Extensions/HighPointIOP.kext /Library/Extensions/SoftRAID.kext /Library/Extensions/EyeTVAfaTechHidBlock.kext /Library/Extensions/EyeTVCinergy450AudioBlock.kext /Library/Extensions/HighPointRR.kext
    /EyeTVAfaTechHidBlock.kext /Library/Extensions/EyeTVCinergy450AudioBlock.kext /Library/Extensions/HighPointRR.kext

    • Jens Kleinholz sagt:

      Hallo Dominik! Die Kernel Extensions findest du im "Library/Extensions/"-Ordner. Du kannst den Ordner aufrufen und dann die Dateien in den Papierkorb werfen. Hier eine Anleitung, wie du in den Ordner Library kommst.

      Dann habe ich noch folgende Anleitung gefunden:
      1. Erweiterungen aus /Library/Extensions entfernen
      2. Booten im Recovery Modus (CMD + R beim Neustart halten)
      3. Terminal aufrufen
      4. Diesen Befehl eingeben: kmutil invoke-panic-medic
      5. Mac neustarten
      6. dem Hinweis folgen und die Systemeinstellungen öffnen und in "Sicherheit & Privatsphäre" wechseln
      7. dem Hinweis folgen und neu starten

      Ich habe diese Anleitung nicht ausprobiert, aber vielleicht kommst du damit weiter.

  11. Dominik Wettstein sagt:

    Noch eine Bemerkung: Ich habe die Probleme erswt seit ich auf big sur upgedatet habe. Gibt es für dieses OS andere Befehle?

  12. Ali sagt:

    Ich habe aus dem Internet ein Programm runtergeladen um meinen Mac Bildschirm mit dem Ipad zu teilen. Habe leider trotz mehrere Warnung die Sicherheitswarnungen ignoriert und Zugriffsrechte erlaubt. Habe das Programm gelöscht doch bei der Suche blieb "YamDisplayDriver.kext" . Und ich konnte dies auch nicht löschen. Habe den Befehl "sudo kextcache –clear-staging" eingegeben und hoffe das dadurch Alles von diesem Datei(wahrscheinlich Virus oder Spionage Programm) gelöscht wurde. Kann mir das jemand bestätigen?

    • Jens Kleinholz sagt:

      Hallo Ali! Es wäre sicher hilfreich, wenn du sagen könntest, wie das Programm hieß, das du geladen hast. Wenn es – der Kernel Extension nach zu urteilen – um Yam Display geht, scheint es keine Spionage-App zu sein. Es kann sein, dass das Programm unter Big Sur sowieso nicht mehr läuft, da Apple keine Kernel Extensions mehr von Drittanbietern zulassen möchte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alle News 1x pro Woche

Du magst die Artikel auf Sir Apfelot?
Dann trage dich in meinen wöchentlichen Newsletter ein.