Hace dos días, de alguna manera, mi Mac con OS X Yosemite 10.10.5 se infectó con malware y eliminó casi todos mis archivos de mi directorio de inicio. No tengo idea de cómo sucedió (no fue porque hice clic en un anuncio, ni siquiera estaba navegando por la web cuando sucedió y también ejecuto Adblock en mis navegadores Safari, Chrome y Firefox). De repente, a las 10 p.m., apareció una ventana xterm con toneladas de líneas corriendo con nombres de archivos y mensajes de "permiso denegado". Entré en pánico y apagué la computadora.
Luego lo reinicié y luego, cuando abrí la Terminal, apareció el xterm y comenzó con mensajes similares de "permiso denegado" (supuse que se iniciaría automáticamente cuando abrí la Terminal). Lo apagué de nuevo y no pareció apagarse por completo. Luego, después de unos minutos, traté de iniciarlo y no arrancó durante los siguientes 5 o 10 minutos más o menos. Luego, cuando se inició, la configuración de OS X era nueva (por ejemplo, mi Dock se movió de la izquierda a la parte inferior central, etc., como sería si fuera una instalación nueva). Luego miré en mi directorio de inicio y casi todos los archivos se eliminaron, extrañamente excepto algunos (supongo que estos deben tener permisos diferentes).
Perdí todas mis fotos y archivos en los que estaba trabajando. Tengo una copia de seguridad de Time Machine que tiene 70 días.
Miré la consola y esto fue lo que encontré.
¿Puede alguien decirme qué es esto, cómo sucedió y cómo puedo eliminarlo de mi sistema?
El registro de la consola está debajo.
2015-08-14 10:00:23.702 PMFinder[240]CreateWithFileInfo failed to create URL with FSRef, falling back to blank icon.
2015-08-14 10:00:24.620 PMbird[267]someone ripped the database from under our feet
LIMITS ------------------------------------------------------------------------
RLIMIT_CORE 0 infinity
RLIMIT_CPU infinity infinity
RLIMIT_DATA infinity infinity
RLIMIT_FSIZE infinity infinity
RLIMIT_MEMLOCK infinity infinity
RLIMIT_NOFILE 16384 16384
RLIMIT_NPROC 709 1064
RLIMIT_RSS infinity infinity
DISK (/Users/userx/Library/Mobile Documents)--------------------------------
NSFileSystemNodes 121846308
NSFileSystemSize 499082485760
NSFileSystemFreeSize 220219854848
NSFileSystemFreeNodes 53764613
NSFileSystemNumber 16777220
2015-08-14 10:00:24.637 PMcom.apple.xpc.launchd[1](com.apple.ReportCrash[21508]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.ReportCrash
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Killing auth hosts
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Session 100122 destroyed
2015-08-14 10:00:28.333 PMcom.apple.xpc.launchd[1](com.apple.bird[267]) Service exited due to signal: Abort trap: 6
2015-08-14 10:00:28.392 PMReportCrash[21508]Saved crash report for bird[267] version 321.9 to /Users/userx/Library/Logs/DiagnosticReports/bird_2015-08-14-220028_OLM-userx.cr ash
2015-08-14 10:00:31.108 PMcloudphotosd[519]Failed to open '/Users/userx/Library/Containers/com.apple.cloudphotosd/Data/Library/Preference s/com.apple.cloudphotosd.plist' for events
2015-08-14 10:01:07.911 PMsharingd[254]Could not replace account with identifier: _local
2015-08-14 10:01:07.913 PMcom.apple.internetaccounts[262]Could not replace account with identifier: _local
2015-08-14 10:01:07.915 PMsoagent[268]Could not replace account with identifier: _local
Después de algunas investigaciones profundas, llegamos a la conclusión preliminar de que el culpable no fue ningún malware sino una desafortunada coincidencia que involucró a org.macosforge.xquartz.startx.plist, .bashrc y un xrd --merge ~/.Xdefaults
comando. Sin embargo, dado que todos esos archivos se eliminaron, no tenemos pruebas sólidas.
Dicho .bashrc se deriva de un (Linux-)precursor. Fue fuertemente adaptado para trabajar con OS X.
El servicio XQuartz comenzó a eliminar archivos rm
en la carpeta raíz después de leer ~/.bashrc activado por el comando xrd. La mayoría de los rms no tuvieron éxito debido a la falta de permisos de usuario. Sin embargo, la mayoría de los datos de usuario se eliminaron.
Después de crear una memoria USB de recuperación con Data Rescue 4 (la función Bootwell), un análisis profundo encontró muchos archivos eliminados. Los archivos más importantes no se pudieron recuperar.
lee sande
sin ladera
system.log
justo antes (o alrededor) de las 10 en punto? Los mensajes anteriores dicen principalmente que faltan datos en algún proceso en segundo plano (no es de extrañar que se hayan eliminado archivos).lee sande
klanomath
klanomath
lee sande
klanomath
lee sande
klanomath
jaime santa cruz
lee sande
jaime santa cruz