Gros cadenas sur l'écran en sortie de veille! |
Bienvenue invité ( Connexion | Inscription )
Gros cadenas sur l'écran en sortie de veille! |
11 Jan 2019, 12:46
Message
#1
|
|
Nouveau Membre Groupe : Membres Messages : 32 Inscrit : 5 Jan 2004 Membre no 13 060 |
Bonjour,
je suis un utilisateur averti, avec beaucoup d'experience de la maintenance matérielle et logicielle, mais je n'ai jamais vu ce qui m'arrive. Mon iMac (21.5 pouces, mi-2010), OS X 10.11.6, se réveille le matin avec un gros cadenas jaune qui prend tout l'écran, sans possibilité de rentrer un mot de passe ou d'avoir une interaction quelconque. Cela ressemble à un ransomware. Je vous poste la photo. J'ai tenté plusieurs choses: 1° forcé à éteindre et redémarrer sur le disque de récupération, fait, un sos disque: RAS 2° démarré en single user, fait un fsck: RAS 3° démarré normalement, fait un scan avec Malwarebytes: mis en quarantaine 4 fichiers provenant d'une extension de Tenorshare que j'avais essayé. Utilisation normale toute la journée: à part un freeze total sauf de la souris, comme il me fait chaque fois que j'utilise Safari pendant un moment. J'avais renoncé à Safari et utilise Chrome sans soucis, mais ai tenté à nouveau Safari en vidant tout le dossier Safari dans la Bibliothèque. Refreeze, donc revidage, avec vidage des caches et deux "disable accelerated drawing' via menu debug. Continuer d'utiliser normalement toute la journée. Lendemain matin à nouveau le Cadenas; 1° utilisé MacRemote Desktop depuis mon MacBook pour tenter de le controller: ARD signale mac disponible, en veille depuis 5h30. Fait 'déverouiller l'écran' - opération réussie, mais rien ne change sur l'iMac. Fait redémarrer,: opération réussie, iMac signaler comme déconnecté ou ARD desactivé (je ne sais plus) affichage inchangé sur le Mac. Connextion via ssh, reboot réussi. Pas certain dans quel ordre tout ça, mais seul le forcer à éteindre physiquement semble avoir réussi. Forcé à éteindre, démarrage normale après deux essais redémarrer, et vider la PRAM x5. Utilisation normale depuis. Dernièrement je perd l'usage de mon clavier filaire Apple au démarrage. Le retrouve après quelques manips en échangeant les ports usb, et utilisation d'autres souris clavier, cela revient sans trop savoir comment. Autre précision, disque interne changé pour SSD, et utilisation MacsFan Control. (Sans souci). Voilà des idées? PS: la sortie de veille au cours de la journée ne pose pas de problème, c'est arrivé seulement après une nuit entière. Autre IMG_1700.jpeg ( 771.01 Ko ) Nombre de téléchargements : 15 Ce message a été modifié par bluenotes - 11 Jan 2019, 12:57. |
|
|
11 Jan 2019, 13:00
Message
#2
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 399 Inscrit : 16 Dec 2011 Membre no 173 041 |
Voir là peut être : http://forum.macbidouille.com/index.php?showtopic=400289
|
|
|
11 Jan 2019, 13:22
Message
#3
|
|
Nouveau Membre Groupe : Membres Messages : 32 Inscrit : 5 Jan 2004 Membre no 13 060 |
Non pas de rapport à priori, j'ai les mots de passe, il n'y a pas de mot de passe EFI, et il redémarre normalement...
|
|
|
11 Jan 2019, 14:17
Message
#4
|
|
Nouveau Membre Groupe : Membres Messages : 32 Inscrit : 5 Jan 2004 Membre no 13 060 |
J'ai avancé, l'image est l'icone du rideau de Mac Remote Desktop, donc quelqu'un accède mon mac, tout simplement.
|
|
|
11 Jan 2019, 17:15
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 12 319 Inscrit : 4 Nov 2003 Lieu : 21000 ou 22740 Membre no 11 306 |
J'ai avancé, l'image est l'icone du rideau de Mac Remote Desktop, donc quelqu'un accède mon mac, tout simplement. Tout simplement ? -------------------- de l'Apple IIGS (1987) en GS/OS System 6.0.1 au MBP (2012) en Mojave et Mac Mini I7 (2012) en Mojave et Ventura avec OCLP
|
|
|
11 Jan 2019, 17:43
Message
#6
|
|
Nouveau Membre Groupe : Membres Messages : 32 Inscrit : 5 Jan 2004 Membre no 13 060 |
Oui pas cool... mais première chose faite: désactivation des partages.. maintenant, je vais investiger un peu, voir d'où ça peut venir, et ce que la personne a pu faire, changer les mots de passe etc...
Si quelqu'un connait bien les commandes pour savoir qui, quand, d'où, s'est connecté, je prends volontiers. |
|
|
12 Jan 2019, 10:38
Message
#7
|
|
Nouveau Membre Groupe : Membres Messages : 32 Inscrit : 5 Jan 2004 Membre no 13 060 |
Voilà les logs en cherchant 'login': queqlu'un peut confirmer quelque chose?
CODE 11/01/2019 02:35:02,488 launchservicesd[85] Application App:"LockScreen" asn:0x0-ff0ff pid:48384 refs=6 @ 0x7fda3b570d20 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x1001 pid=102 "loginwindow"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue 11/01/2019 02:35:02,816 loginwindow[48391] Login Window Application Started 11/01/2019 02:35:02,816 loginwindow[48391] Login Window, internal network, setting internal debug flags 11/01/2019 02:35:02,860 loginwindow[102] ERROR | -[LWBuiltInScreenLockAuthLion closeAuthAndReset:] | Attempted to remove an observer when not observing 11/01/2019 02:35:02,908 universalaccessd[287] Zoom error: unexpected lock screen login window end. (Current state: 0) 11/01/2019 02:35:03,597 com.apple.xpc.launchd[1] (com.apple.UserEventAgent-LoginWindow) This service is defined to be constantly running and is inherently inefficient. 11/01/2019 02:35:03,881 WindowServer[233] [checkin] loginwindow is checking in, but something else already checked in with session ID 0x186a8, so changing session to 0x18a23 attrs=0x30 and setting definitiveSessionLeaderHasCheckedIn=true, pid=48391 11/01/2019 02:35:04,349 loginwindow[48391] Login Window Started Security Agent 11/01/2019 02:35:06,452 SecurityAgent[48404] com.apple.SecurityAgent.consoleLogin.UIShown 11/01/2019 02:35:20,386 loginwindow[102] CoreAnimation: warning, deleted thread with uncommitted CATransaction; set CA_DEBUG_TRANSACTIONS=1 in environment to log backtraces. 11/01/2019 03:00:08,054 loginwindow[48391] ERROR | -[Application hardKill:] | Application hardKill returned -600 11/01/2019 03:00:08,072 loginwindow[48391] ERROR | -[Application hardKill:] | Application hardKill returned -600 Mais aussi ça qui apparait un peu tout le temps, même quand je suis sur le PC: CODE 10/01/2019 12:18:57,577 launchservicesd[85] Application App:"loginwindow" asn:0x0-1001 pid:102 refs=8 @ 0x7fda3b42db40 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x92092 pid=17149 "ScreenSaverEngine"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue
10/01/2019 12:18:57,578 WindowServer[233] [cps/setfront] Failed setting the front application to loginwindow, psn 0x0-0x1001, securitySessionID=0x186a8, err=-13066 10/01/2019 12:18:57,586 launchservicesd[85] Application App:"loginwindow" asn:0x0-1001 pid:102 refs=9 @ 0x7fda3b42db40 tried to be brought forward, but isn't in fPermittedFrontApps ( ( "LSApplication:0x0-0x92092 pid=17149 "ScreenSaverEngine"")), so denying. : LASSession.cp #1531 SetFrontApplication() q=LSSession 100008/0x186a8 queue 10/01/2019 12:18:57,586 WindowServer[233] [cps/setfront] Failed setting the front application to loginwindow, psn 0x0-0x1001, securitySessionID=0x186a8, err=-13066 10/01/2019 12:18:57,843 com.apple.xpc.launchd[1] (com.apple.xpc.launchd.domain.user.501) Service "com.apple.xpc.launchd.unmanaged.loginwindow.102" tried to hijack endpoint "com.apple.tsm.uiserver" from owner: com.apple.SystemUIServer.agent 10/01/2019 12:18:57,844 com.apple.xpc.launchd[1] (com.apple.xpc.launchd.domain.user.501) Service "com.apple.xpc.launchd.unmanaged.loginwindow.102" tried to hijack endpoint "com.apple.tsm.uiserver" from owner: com.apple.SystemUIServer.agent 10/01/2019 12:28:35,730 loginwindow[102] ERROR | -[LWBuiltInScreenLockAuthLion closeAuthAndReset:] | Attempted to remove an observer when not observing Ce message a été modifié par bluenotes - 12 Jan 2019, 10:52. |
|
|
12 Jan 2019, 11:17
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 11 698 Inscrit : 15 Nov 2007 Lieu : Auvergne-Rhône-Alpe. Membre no 99 922 |
Salut
As-tu vérifié le pare-feu? Menu /pref system/Sécurité/Coupe-feu puis tu déverrouille en cliquant sur le cadenas, puis options coupe feu et là tu peux bloquer toutes les connexions entrantes : [attachment=58103:Pare_feu.jpg] Tu peux aussi installer Little Snitch qui en version d'essai te permettra de vérifier ce qu'il se passe. C'est un très bon produit. |
|
|
12 Jan 2019, 11:29
Message
#9
|
|
Nouveau Membre Groupe : Membres Messages : 32 Inscrit : 5 Jan 2004 Membre no 13 060 |
Je n'utilise pas le parefeu, LS installé mais sans filtrage..., je trouve contraignant, et il ya toujours une fois ou l'autre un service qui est bloqué, et que tu oublies de configurer etc.. mais c'est une idée de se servir de ces services bien sût.
|
|
|
12 Jan 2019, 11:31
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 11 698 Inscrit : 15 Nov 2007 Lieu : Auvergne-Rhône-Alpe. Membre no 99 922 |
Je n'utilise pas le parefeu, LS installé mais sans filtrage..., je trouve contraignant, et il ya toujours une fois ou l'autre un service qui est bloqué, et que tu oublies de configurer etc.. mais c'est une idée de se servir de ces services bien sût. Si tu as installé LS, c'est dommage de ne pas l'utiliser. Il a un mode par défaut pas trop mal. |
|
|
Nous sommes le : 19th March 2024 - 07:20 |