Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forums MacBidouille _ Mac OS X / OS X _ Gros cadenas sur l'écran en sortie de veille!

Écrit par : bluenotes 11 Jan 2019, 12:46

Bonjour,
je suis un utilisateur averti, avec beaucoup d'experience de la maintenance matérielle et logicielle, mais je n'ai jamais vu ce qui m'arrive.
Mon iMac (21.5 pouces, mi-2010), OS X 10.11.6, se réveille le matin avec un gros cadenas jaune qui prend tout l'écran, sans possibilité de rentrer un mot de passe ou d'avoir une interaction quelconque. Cela ressemble à un ransomware. Je vous poste la photo.
J'ai tenté plusieurs choses:
1° forcé à éteindre et redémarrer sur le disque de récupération, fait, un sos disque: RAS
2° démarré en single user, fait un fsck: RAS
3° démarré normalement, fait un scan avec Malwarebytes: mis en quarantaine 4 fichiers provenant d'une extension de Tenorshare que j'avais essayé.

Utilisation normale toute la journée: à part un freeze total sauf de la souris, comme il me fait chaque fois que j'utilise Safari pendant un moment. J'avais renoncé à Safari et utilise Chrome sans soucis, mais ai tenté à nouveau Safari en vidant tout le dossier Safari dans la Bibliothèque. Refreeze, donc revidage, avec vidage des caches et deux "disable accelerated drawing' via menu debug.
Continuer d'utiliser normalement toute la journée.

Lendemain matin à nouveau le Cadenas;
1° utilisé MacRemote Desktop depuis mon MacBook pour tenter de le controller: ARD signale mac disponible, en veille depuis 5h30.
Fait 'déverouiller l'écran' - opération réussie, mais rien ne change sur l'iMac.
Fait redémarrer,: opération réussie, iMac signaler comme déconnecté ou ARD desactivé (je ne sais plus) affichage inchangé sur le Mac.
Connextion via ssh, reboot réussi.

Pas certain dans quel ordre tout ça, mais seul le forcer à éteindre physiquement semble avoir réussi.

Forcé à éteindre, démarrage normale après deux essais
redémarrer, et vider la PRAM x5.
Utilisation normale depuis.

Dernièrement je perd l'usage de mon clavier filaire Apple au démarrage. Le retrouve après quelques manips en échangeant les ports usb, et utilisation d'autres souris clavier, cela revient sans trop savoir comment.

Autre précision, disque interne changé pour SSD, et utilisation MacsFan Control. (Sans souci).

Voilà des idées?
PS: la sortie de veille au cours de la journée ne pose pas de problème, c'est arrivé seulement après une nuit entière.

Autre


Écrit par : Bernard3375 11 Jan 2019, 13:00

Voir là peut être : http://forum.macbidouille.com/index.php?showtopic=400289

Écrit par : bluenotes 11 Jan 2019, 13:22

Non pas de rapport à priori, j'ai les mots de passe, il n'y a pas de mot de passe EFI, et il redémarre normalement...

Écrit par : bluenotes 11 Jan 2019, 14:17

J'ai avancé, l'image est l'icone du rideau de Mac Remote Desktop, donc quelqu'un accède mon mac, tout simplement.

Écrit par : ch21 11 Jan 2019, 17:15

Citation (bluenotes @ 11 Jan 2019, 14:17) *
J'ai avancé, l'image est l'icone du rideau de Mac Remote Desktop, donc quelqu'un accède mon mac, tout simplement.

Tout simplement ? huh.gif

Écrit par : bluenotes 11 Jan 2019, 17:43

Oui pas cool... mais première chose faite: désactivation des partages.. maintenant, je vais investiger un peu, voir d'où ça peut venir, et ce que la personne a pu faire, changer les mots de passe etc...
Si quelqu'un connait bien les commandes pour savoir qui, quand, d'où, s'est connecté, je prends volontiers.

Écrit par : bluenotes 12 Jan 2019, 10:38

Voilà les logs en cherchant 'login': queqlu'un peut confirmer quelque chose?

CODE
11/01/2019 02:35:02,488 launchservicesd[85] Application App:"LockScreen" asn:0x0-ff0ff pid:48384 refs=6 @ 0x7fda3b570d20 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x1001 pid=102 "loginwindow"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
11/01/2019 02:35:02,816 loginwindow[48391] Login Window Application Started
11/01/2019 02:35:02,816 loginwindow[48391] Login Window, internal network, setting internal debug flags
11/01/2019 02:35:02,860 loginwindow[102] ERROR | -[LWBuiltInScreenLockAuthLion closeAuthAndReset:] | Attempted to remove an observer when not observing
11/01/2019 02:35:02,908 universalaccessd[287] Zoom error: unexpected lock screen login window end. (Current state: 0)
11/01/2019 02:35:03,597 com.apple.xpc.launchd[1] (com.apple.UserEventAgent-LoginWindow) This service is defined to be constantly running and is inherently inefficient.
11/01/2019 02:35:03,881 WindowServer[233] [checkin] loginwindow is checking in, but something else already checked in with session ID 0x186a8, so changing session to 0x18a23 attrs=0x30 and setting definitiveSessionLeaderHasCheckedIn=true, pid=48391
11/01/2019 02:35:04,349 loginwindow[48391] Login Window Started Security Agent
11/01/2019 02:35:06,452 SecurityAgent[48404] com.apple.SecurityAgent.consoleLogin.UIShown
11/01/2019 02:35:20,386 loginwindow[102] CoreAnimation: warning, deleted thread with uncommitted CATransaction; set CA_DEBUG_TRANSACTIONS=1 in environment to log backtraces.
11/01/2019 03:00:08,054 loginwindow[48391] ERROR | -[Application hardKill:] | Application hardKill returned -600
11/01/2019 03:00:08,072 loginwindow[48391] ERROR | -[Application hardKill:] | Application hardKill returned -600


Mais aussi ça qui apparait un peu tout le temps, même quand je suis sur le PC:
CODE
10/01/2019 12:18:57,577 launchservicesd[85] Application App:"loginwindow" asn:0x0-1001 pid:102 refs=8 @ 0x7fda3b42db40 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x92092 pid=17149 "ScreenSaverEngine"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
10/01/2019 12:18:57,578 WindowServer[233] [cps/setfront] Failed setting the front application to loginwindow, psn 0x0-0x1001, securitySessionID=0x186a8, err=-13066
10/01/2019 12:18:57,586 launchservicesd[85] Application App:"loginwindow" asn:0x0-1001 pid:102 refs=9 @ 0x7fda3b42db40 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x92092 pid=17149 "ScreenSaverEngine"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
10/01/2019 12:18:57,586 WindowServer[233] [cps/setfront] Failed setting the front application to loginwindow, psn 0x0-0x1001, securitySessionID=0x186a8, err=-13066
10/01/2019 12:18:57,843 com.apple.xpc.launchd[1] (com.apple.xpc.launchd.domain.user.501) Service "com.apple.xpc.launchd.unmanaged.loginwindow.102" tried to hijack endpoint "com.apple.tsm.uiserver" from owner: com.apple.SystemUIServer.agent
10/01/2019 12:18:57,844 com.apple.xpc.launchd[1] (com.apple.xpc.launchd.domain.user.501) Service "com.apple.xpc.launchd.unmanaged.loginwindow.102" tried to hijack endpoint "com.apple.tsm.uiserver" from owner: com.apple.SystemUIServer.agent
10/01/2019 12:28:35,730 loginwindow[102] ERROR | -[LWBuiltInScreenLockAuthLion closeAuthAndReset:] | Attempted to remove an observer when not observing

Écrit par : jeanjd63 12 Jan 2019, 11:17

Salut

As-tu vérifié le pare-feu? Menu /pref system/Sécurité/Coupe-feu puis tu déverrouille en cliquant sur le cadenas, puis options coupe feu et là tu peux bloquer toutes les connexions entrantes :

[attachment=58103:Pare_feu.jpg]

Tu peux aussi installer https://www.obdev.at/products/littlesnitch/download.html qui en version d'essai te permettra de vérifier ce qu'il se passe. C'est un très bon produit. smile.gif

Écrit par : bluenotes 12 Jan 2019, 11:29

Je n'utilise pas le parefeu, LS installé mais sans filtrage..., je trouve contraignant, et il ya toujours une fois ou l'autre un service qui est bloqué, et que tu oublies de configurer etc.. mais c'est une idée de se servir de ces services bien sût.

Écrit par : jeanjd63 12 Jan 2019, 11:31

Citation (bluenotes @ 12 Jan 2019, 11:29) *
Je n'utilise pas le parefeu, LS installé mais sans filtrage..., je trouve contraignant, et il ya toujours une fois ou l'autre un service qui est bloqué, et que tu oublies de configurer etc.. mais c'est une idée de se servir de ces services bien sût.


Si tu as installé LS, c'est dommage de ne pas l'utiliser.
Il a un mode par défaut pas trop mal.

Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)