IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Gros cadenas sur l'écran en sortie de veille!
Options
bluenotes
posté 11 Jan 2019, 12:46
Message #1


Nouveau Membre


Groupe : Membres
Messages : 32
Inscrit : 5 Jan 2004
Membre no 13 060



Bonjour,
je suis un utilisateur averti, avec beaucoup d'experience de la maintenance matérielle et logicielle, mais je n'ai jamais vu ce qui m'arrive.
Mon iMac (21.5 pouces, mi-2010), OS X 10.11.6, se réveille le matin avec un gros cadenas jaune qui prend tout l'écran, sans possibilité de rentrer un mot de passe ou d'avoir une interaction quelconque. Cela ressemble à un ransomware. Je vous poste la photo.
J'ai tenté plusieurs choses:
1° forcé à éteindre et redémarrer sur le disque de récupération, fait, un sos disque: RAS
2° démarré en single user, fait un fsck: RAS
3° démarré normalement, fait un scan avec Malwarebytes: mis en quarantaine 4 fichiers provenant d'une extension de Tenorshare que j'avais essayé.

Utilisation normale toute la journée: à part un freeze total sauf de la souris, comme il me fait chaque fois que j'utilise Safari pendant un moment. J'avais renoncé à Safari et utilise Chrome sans soucis, mais ai tenté à nouveau Safari en vidant tout le dossier Safari dans la Bibliothèque. Refreeze, donc revidage, avec vidage des caches et deux "disable accelerated drawing' via menu debug.
Continuer d'utiliser normalement toute la journée.

Lendemain matin à nouveau le Cadenas;
1° utilisé MacRemote Desktop depuis mon MacBook pour tenter de le controller: ARD signale mac disponible, en veille depuis 5h30.
Fait 'déverouiller l'écran' - opération réussie, mais rien ne change sur l'iMac.
Fait redémarrer,: opération réussie, iMac signaler comme déconnecté ou ARD desactivé (je ne sais plus) affichage inchangé sur le Mac.
Connextion via ssh, reboot réussi.

Pas certain dans quel ordre tout ça, mais seul le forcer à éteindre physiquement semble avoir réussi.

Forcé à éteindre, démarrage normale après deux essais
redémarrer, et vider la PRAM x5.
Utilisation normale depuis.

Dernièrement je perd l'usage de mon clavier filaire Apple au démarrage. Le retrouve après quelques manips en échangeant les ports usb, et utilisation d'autres souris clavier, cela revient sans trop savoir comment.

Autre précision, disque interne changé pour SSD, et utilisation MacsFan Control. (Sans souci).

Voilà des idées?
PS: la sortie de veille au cours de la journée ne pose pas de problème, c'est arrivé seulement après une nuit entière.

Autre
Fichier joint  IMG_1700.jpeg ( 771.01 Ko ) Nombre de téléchargements : 14


Ce message a été modifié par bluenotes - 11 Jan 2019, 12:57.
Go to the top of the page
 
+Quote Post
Bernard3375
posté 11 Jan 2019, 13:00
Message #2


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 162
Inscrit : 16 Dec 2011
Membre no 173 041



Voir là peut être : http://forum.macbidouille.com/index.php?showtopic=400289
Go to the top of the page
 
+Quote Post
bluenotes
posté 11 Jan 2019, 13:22
Message #3


Nouveau Membre


Groupe : Membres
Messages : 32
Inscrit : 5 Jan 2004
Membre no 13 060



Non pas de rapport à priori, j'ai les mots de passe, il n'y a pas de mot de passe EFI, et il redémarre normalement...
Go to the top of the page
 
+Quote Post
bluenotes
posté 11 Jan 2019, 14:17
Message #4


Nouveau Membre


Groupe : Membres
Messages : 32
Inscrit : 5 Jan 2004
Membre no 13 060



J'ai avancé, l'image est l'icone du rideau de Mac Remote Desktop, donc quelqu'un accède mon mac, tout simplement.
Go to the top of the page
 
+Quote Post
ch21
posté 11 Jan 2019, 17:15
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 572
Inscrit : 4 Nov 2003
Lieu : 21000
Membre no 11 306



Citation (bluenotes @ 11 Jan 2019, 14:17) *
J'ai avancé, l'image est l'icone du rideau de Mac Remote Desktop, donc quelqu'un accède mon mac, tout simplement.

Tout simplement ? huh.gif


--------------------
de l'Apple IIGS (1987) en GS/OS System 6.0.1 au Mac Mini I7 (2012) en Os 10.11.6 (et le dernier Système en date sur DDE)
Go to the top of the page
 
+Quote Post
bluenotes
posté 11 Jan 2019, 17:43
Message #6


Nouveau Membre


Groupe : Membres
Messages : 32
Inscrit : 5 Jan 2004
Membre no 13 060



Oui pas cool... mais première chose faite: désactivation des partages.. maintenant, je vais investiger un peu, voir d'où ça peut venir, et ce que la personne a pu faire, changer les mots de passe etc...
Si quelqu'un connait bien les commandes pour savoir qui, quand, d'où, s'est connecté, je prends volontiers.
Go to the top of the page
 
+Quote Post
bluenotes
posté 12 Jan 2019, 10:38
Message #7


Nouveau Membre


Groupe : Membres
Messages : 32
Inscrit : 5 Jan 2004
Membre no 13 060



Voilà les logs en cherchant 'login': queqlu'un peut confirmer quelque chose?
CODE
11/01/2019 02:35:02,488 launchservicesd[85] Application App:"LockScreen" asn:0x0-ff0ff pid:48384 refs=6 @ 0x7fda3b570d20 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x1001 pid=102 "loginwindow"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
11/01/2019 02:35:02,816 loginwindow[48391] Login Window Application Started
11/01/2019 02:35:02,816 loginwindow[48391] Login Window, internal network, setting internal debug flags
11/01/2019 02:35:02,860 loginwindow[102] ERROR | -[LWBuiltInScreenLockAuthLion closeAuthAndReset:] | Attempted to remove an observer when not observing
11/01/2019 02:35:02,908 universalaccessd[287] Zoom error: unexpected lock screen login window end. (Current state: 0)
11/01/2019 02:35:03,597 com.apple.xpc.launchd[1] (com.apple.UserEventAgent-LoginWindow) This service is defined to be constantly running and is inherently inefficient.
11/01/2019 02:35:03,881 WindowServer[233] [checkin] loginwindow is checking in, but something else already checked in with session ID 0x186a8, so changing session to 0x18a23 attrs=0x30 and setting definitiveSessionLeaderHasCheckedIn=true, pid=48391
11/01/2019 02:35:04,349 loginwindow[48391] Login Window Started Security Agent
11/01/2019 02:35:06,452 SecurityAgent[48404] com.apple.SecurityAgent.consoleLogin.UIShown
11/01/2019 02:35:20,386 loginwindow[102] CoreAnimation: warning, deleted thread with uncommitted CATransaction; set CA_DEBUG_TRANSACTIONS=1 in environment to log backtraces.
11/01/2019 03:00:08,054 loginwindow[48391] ERROR | -[Application hardKill:] | Application hardKill returned -600
11/01/2019 03:00:08,072 loginwindow[48391] ERROR | -[Application hardKill:] | Application hardKill returned -600


Mais aussi ça qui apparait un peu tout le temps, même quand je suis sur le PC:
CODE
10/01/2019 12:18:57,577 launchservicesd[85] Application App:"loginwindow" asn:0x0-1001 pid:102 refs=8 @ 0x7fda3b42db40 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x92092 pid=17149 "ScreenSaverEngine"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
10/01/2019 12:18:57,578 WindowServer[233] [cps/setfront] Failed setting the front application to loginwindow, psn 0x0-0x1001, securitySessionID=0x186a8, err=-13066
10/01/2019 12:18:57,586 launchservicesd[85] Application App:"loginwindow" asn:0x0-1001 pid:102 refs=9 @ 0x7fda3b42db40 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x92092 pid=17149 "ScreenSaverEngine"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
10/01/2019 12:18:57,586 WindowServer[233] [cps/setfront] Failed setting the front application to loginwindow, psn 0x0-0x1001, securitySessionID=0x186a8, err=-13066
10/01/2019 12:18:57,843 com.apple.xpc.launchd[1] (com.apple.xpc.launchd.domain.user.501) Service "com.apple.xpc.launchd.unmanaged.loginwindow.102" tried to hijack endpoint "com.apple.tsm.uiserver" from owner: com.apple.SystemUIServer.agent
10/01/2019 12:18:57,844 com.apple.xpc.launchd[1] (com.apple.xpc.launchd.domain.user.501) Service "com.apple.xpc.launchd.unmanaged.loginwindow.102" tried to hijack endpoint "com.apple.tsm.uiserver" from owner: com.apple.SystemUIServer.agent
10/01/2019 12:28:35,730 loginwindow[102] ERROR | -[LWBuiltInScreenLockAuthLion closeAuthAndReset:] | Attempted to remove an observer when not observing


Ce message a été modifié par bluenotes - 12 Jan 2019, 10:52.
Go to the top of the page
 
+Quote Post
jeanjd63
posté 12 Jan 2019, 11:17
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 142
Inscrit : 15 Nov 2007
Lieu : Ardèche
Membre no 99 922



Salut

As-tu vérifié le pare-feu? Menu /pref system/Sécurité/Coupe-feu puis tu déverrouille en cliquant sur le cadenas, puis options coupe feu et là tu peux bloquer toutes les connexions entrantes :

Fichier joint  Pare_feu.jpg ( 99.41 Ko ) Nombre de téléchargements : 3


Tu peux aussi installer Little Snitch qui en version d'essai te permettra de vérifier ce qu'il se passe. C'est un très bon produit. smile.gif
Go to the top of the page
 
+Quote Post
bluenotes
posté 12 Jan 2019, 11:29
Message #9


Nouveau Membre


Groupe : Membres
Messages : 32
Inscrit : 5 Jan 2004
Membre no 13 060



Je n'utilise pas le parefeu, LS installé mais sans filtrage..., je trouve contraignant, et il ya toujours une fois ou l'autre un service qui est bloqué, et que tu oublies de configurer etc.. mais c'est une idée de se servir de ces services bien sût.
Go to the top of the page
 
+Quote Post
jeanjd63
posté 12 Jan 2019, 11:31
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 142
Inscrit : 15 Nov 2007
Lieu : Ardèche
Membre no 99 922



Citation (bluenotes @ 12 Jan 2019, 11:29) *
Je n'utilise pas le parefeu, LS installé mais sans filtrage..., je trouve contraignant, et il ya toujours une fois ou l'autre un service qui est bloqué, et que tu oublies de configurer etc.. mais c'est une idée de se servir de ces services bien sût.


Si tu as installé LS, c'est dommage de ne pas l'utiliser.
Il a un mode par défaut pas trop mal.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 22nd January 2019 - 08:20