Alle bestanden en instellingen plotseling verdwenen

TL;DR:
Het lijkt er op alsof een programma plotseling rm -rf / uitvoert (verwijdert alles op de root schijf), wie kan mij vertellen hoe ik dit oplos/voorkom?

In detail:
Ik zat net rustig wat muziek in iTunes te organiseren toen ik opeens een melding kreeg dat ik opnieuw moest aanmelden voor iCloud en een venster van Steam dat vroeg of ik ook m'n settings wilde verwijderen...

Dus ik denk WTF is dit. Ik kijk in Finder en al mijn bestanden zijn weg.
Bureaublad leeg, documenten leeg, Dropbox in zijn geheel weg (zowel de data als het programma), andere programma's zijn ook weg, maar niet alle want Office staat er nog op.
Ik dacht misschien is hij in de war dus ik start hem opnieuw op. Bij het opstarten krijg ik het welkom bij Mac scherm...

Hier is iets heel erg mis. Ik zie dat m'n foto map er nog wel is en ook een zelfgemaakte map met data in de user folder is er nog.
Alle instellingen van OS X zijn terug naar default.

Voor het herstarten heb ik in console gekeken maar zag niet echt iets opvallend behalve allerlei soorten meldingen van bestanden die niet gevonden kunnen worden.

Op internet kan ik niks vinden wat hier op lijkt. Ik heb als het goed is overal back-ups van, maar ik ben toch een beetje ongerust.

Het gaat om de Macbook in m'n sig. er staat de nieuwste versie van El Capitan op.

Ik ben een behoorlijk gevorderde gebruiker maar dit doet mij toch een beetje perplex staan.
Heeft iemand enig idee wat dit veroorzaakt kan hebben of hoe ik dat kan vinden?

[ Voor 8% gewijzigd door pposthoorn op 22-01-2016 11:22 ]

Tsja alles kan. Ik heb m'n Apple ID wachtwoord gelijk aangepast. Is er een goede manier om er achter te komen of het een virus of hack is?
Ik wil graag eerst weten wat er gebeurd is voordat ik begin met back-ups terug zetten.

Thanks voor de link, ik heb de scan gedaan maar zo te zien vind hij niks bijzonders, hij vind ook vrij weinig maar dat is wel te verwachten als alles al verwijderd is....
Hier een link naar de resultaten, misschien dat ik iets over het hoofd zie:

https://dl.dropboxusercon...109/forums/kkFindings.txt

Thanks voor de tips!
Ik was enigszins terughoudend met aanzien tot back-ups omdat ik al jaren meerdere vormen van backup in gebruik heb (TimeCapsule continu, TimeMachine op externe HDD paar keer per jaar, CrashPlan continu), maar ik ze nog nooit nodig gehad heb. Het is altijd maar afwachten of het ook werkt zoals je hoopt

Ik heb vanmiddag 45min met Apple Support gebeld, diverse test gedaan en dingen geprobeerd maar het probleem niet kunnen achterhalen. Hij was erg behulpzaam en wist waar hij het over had, maar desondanks hebben we toch niet echt iets gevonden.

Ik heb daarna de Mac geformatteerd en een verse installatie van El Capitan gedaan. Daarna heb ik een nieuwe gebruikersaccount aangemaakt en met de Migratie Assistent mn gegevens terug gezet vanaf de TimeCapsule.

Mijn MacBook is nu weer zoals hij dinsdag was, zo te zien werkt alles. Ik heb KnockKnock UI nog een keer gedraaid maar wederom niks bijzonders gevonden. Ik ga de komende dagen maar gewoon ondervinden of hij goed werkt.

Als iemand nog manieren weet om mijn systeem te scannen voor vreemd gedrag houd ik mij aanbevolen.

Hetzelfde probleem heeft zich zojuist nogmaals voorgedaan. Dit keer was ik er iets adequater bij. Zodra de melding van Steam kwam heb ik direct mijn werk opgeslagen en de laptop uitgezet door de power button ingedrukt te houden tot hij uit ging.

Daarna even gewacht en in veilige modus opgestart. Ik heb in de log files het begin gevonden van het verwijderen van bestanden (zie hieronder). Ik zie zo snel niet wat de oorzaak zou kunnen zijn, is er iemand die mij hierbij zou kunnen helpen? Ik kan de volledige log file wel ergens uploaden als dat nodig is denk ik (zit daar nog privacy gevoelige info in waar ik rekening mee moet houden?).

Jan 21 15:56:25 rMBP-Perry ReportCrash[70547]: Saved crash report for ApplicationManager[70573] version 1.1 (1.1.33) to /Users/Perry/Library/Logs/DiagnosticReports/ApplicationManager_2016-01-21-15562 5-3_rMBP-Perry-2.crash
Jan 21 15:56:25 rMBP-Perry ApplicationManager[70567]: Started (v1.1.33)
Jan 21 15:56:26 rMBP-Perry iconservicesagent[446]: Failed to get the real path for: /var/folders/nm/pks56lgs4hxcr_lqvv8ptr0h0000gn/C/com.apple.iconservices
Jan 21 15:56:26 rMBP-Perry WindowServer[205]: send_datagram_available_ping: pid 709 failed to act on a ping it dequeued before timing out.
Jan 21 15:56:26 rMBP-Perry defaults[70607]: The domain/default pair of (kCFPreferencesAnyApplication, NSAutomaticWindowAnimationsEnabled) does not exist
Jan 21 15:56:26 rMBP-Perry Safari[70578]: CFPropertyListCreateFromXMLData(): Old-style plist parser: missing semicolon in dictionary on line 3. Parsing will be abandoned. Break on _CFPropertyListMissingSemicolon to debug.
Jan 21 15:56:26 --- last message repeated 3 times ---
Jan 21 15:56:26 rMBP-Perry Safari[70578]: KeychainGetICDPStatus: keychain: -25300
Jan 21 15:56:26 rMBP-Perry Safari[70578]: KeychainGetICDPStatus: status: off
Jan 21 15:56:27 rMBP-Perry Safari[70578]: CFPropertyListCreateFromXMLData(): Old-style plist parser: missing semicolon in dictionary on line 3. Parsing will be abandoned. Break on _CFPropertyListMissingSemicolon to debug.
Jan 21 15:56:27 --- last message repeated 7 times ---
Jan 21 15:56:27 rMBP-Perry lsd[397]: LaunchServices: Could not store lsd-identifiers file at /private/var/db/lsd/com.apple.lsdschemes.plist
Jan 21 15:56:27 rMBP-Perry Safari[70578]: CFPropertyListCreateFromXMLData(): Old-style plist parser: missing semicolon in dictionary on line 3. Parsing will be abandoned. Break on _CFPropertyListMissingSemicolon to debug.
Jan 21 15:56:28 --- last message repeated 3 times ---
Jan 21 15:56:28 rMBP-Perry com.apple.Safari.SearchHelper[70616]: Failed to obtain sandbox extension for path=/Users/Perry/Library/Caches/com.apple.Safari.SearchHelper. Errno:1
Jan 21 15:56:28 --- last message repeated 1 time ---
Jan 21 15:56:28 rMBP-Perry com.apple.SecurityServer[85]: Session 100669 created
Jan 21 15:56:28 rMBP-Perry sandboxd[140] ([70616]): com.apple.Safari(70616) deny file-issue-extension /Users/Perry/Library/Caches/com.apple.Safari.SearchHelper
Jan 21 15:56:28 --- last message repeated 1 time ---
Jan 21 15:56:28 rMBP-Perry Safari[70578]: Caching encoded userInfo to use until we are marked dirty again (UAUserActivity.m #1567)
Jan 21 15:56:28 rMBP-Perry Safari[70578]: Returning cached encoded userInfo (UAUserActivity.m #1508)
Jan 21 15:56:29 rMBP-Perry Safari[70578]: CFPropertyListCreateFromXMLData(): Old-style plist parser: missing semicolon in dictionary on line 3. Parsing will be abandoned. Break on _CFPropertyListMissingSemicolon to debug.
Jan 21 15:56:34 --- last message repeated 19 times ---
Jan 21 15:56:34 rMBP-Perry lsd[208]: LaunchServices: Could not store lsd-identifiers file at /private/var/db/lsd/com.apple.lsdschemes.plist
Jan 21 15:56:34 --- last message repeated 1 time ---
Jan 21 15:56:34 rMBP-Perry kernel[0]: Sandbox: rm(70611) System Policy: deny(1) file-write-unlink /Applications/App Store.app/Contents/Info.plist
Jan 21 15:56:34 rMBP-Perry kernel[0]: Sandbox: rm(70611) System Policy: deny(1) file-write-unlink /Applications/App Store.app/Contents/MacOS/App Store
Jan 21 15:56:34 rMBP-Perry kernel[0]: Sandbox: rm(70611) System Policy: deny(1) file-write-unlink /Applications/App Store.app/Contents/MacOS
Jan 21 15:56:34 rMBP-Perry kernel[0]: Sandbox: rm(70611) System Policy: deny(1) file-write-unlink /Applications/App Store.app/Contents/PkgInfo
Jan 21 15:56:34 rMBP-Perry kernel[0]: Sandbox: rm(70611) System Policy: deny(1) file-write-unlink /Applications/App Store.app/Contents/PlugIns/DockTile.docktileplugin/Contents/_CodeSignature/Code Resources