วิธีการกู้คืนไฟล์จากโฮมไดเร็กตอรี่ที่กำจัดมัลแวร์ใน OS X 10.10.5 Yosemite?


4

สองวันที่ผ่านมาอย่างใด Mac ของฉันที่ใช้ OS X Yosemite 10.10.5 ติดมัลแวร์และมันก็ลบไฟล์เกือบทั้งหมดจากไดเรกทอรีบ้านของฉัน ฉันไม่รู้ว่ามันเกิดขึ้นได้อย่างไร (ไม่ใช่เพราะคลิกโฆษณาบางตัวฉันไม่ได้ท่องเว็บเมื่อมันเกิดขึ้นและฉันก็เรียกใช้ Adblock บนเบราว์เซอร์ Safari, Chrome และ Firefox) ทันใดนั้นเวลา 22.00 น. หน้าต่าง xterm ก็ปรากฏขึ้นพร้อมกับจำนวนบรรทัดที่ดำเนินการโดยชื่อไฟล์และข้อความ "สิทธิ์ถูกปฏิเสธ" ฉันตื่นตระหนกและปิดคอมพิวเตอร์

จากนั้นฉันเริ่มต้นใหม่และเมื่อฉันเปิด Terminal, xterm ขึ้นมาและเริ่มต้นด้วยข้อความ "สิทธิ์ถูกปฏิเสธ" ที่คล้ายกัน (ฉันคิดว่ามันเปิดตัวอัตโนมัติเมื่อฉันเปิด Terminal) ฉันปิดตัวลงอีกครั้งและดูเหมือนจะไม่ปิดลงอย่างสมบูรณ์ หลังจากนั้นไม่กี่นาทีฉันก็พยายามเริ่มต้นมันและมันก็ไม่ได้เริ่มในอีก 5 หรือ 10 นาทีหรือมากกว่านั้น จากนั้นเมื่อมันเริ่มต้นขึ้นการตั้งค่า OS X นั้นใหม่ทั้งหมด (ตัวอย่างเช่น Dock ของฉันถูกย้ายจากซ้ายไปที่กึ่งกลางด้านล่าง ฯลฯ เพราะจะเป็นการติดตั้งใหม่) จากนั้นฉันดูโฮมไดเร็กตอรี่ของฉันและไฟล์เกือบทั้งหมดถูกลบไปอย่างน่าประหลาดใจยกเว้นบางไฟล์ (ฉันเดาว่าไฟล์เหล่านี้ต้องมีการอนุญาตที่แตกต่างกัน)

ฉันทำรูปภาพและไฟล์ทั้งหมดที่ฉันทำอยู่หาย ฉันมีการสำรองข้อมูล Time Machine ที่มีอายุ 70 ​​วัน

ฉันดูคอนโซลและนี่คือสิ่งที่ฉันพบ

ใครช่วยบอกฉันทีว่านี่คืออะไรมันเกิดขึ้นได้อย่างไรและฉันจะกำจัดมันออกจากระบบของฉันได้อย่างไร?

บันทึกคอนโซลอยู่ด้านล่าง

2015-08-14 10:00:23.702 PMFinder[240]CreateWithFileInfo failed to create URL with FSRef, falling back to blank icon.
2015-08-14 10:00:24.620 PMbird[267]someone ripped the database from under our feet
LIMITS ------------------------------------------------------------------------
RLIMIT_CORE 0 infinity
RLIMIT_CPU infinity infinity
RLIMIT_DATA infinity infinity
RLIMIT_FSIZE infinity infinity
RLIMIT_MEMLOCK infinity infinity
RLIMIT_NOFILE 16384 16384
RLIMIT_NPROC 709 1064
RLIMIT_RSS infinity infinity
DISK (/Users/userx/Library/Mobile Documents)--------------------------------
NSFileSystemNodes 121846308
NSFileSystemSize 499082485760
NSFileSystemFreeSize 220219854848
NSFileSystemFreeNodes 53764613
NSFileSystemNumber 16777220
2015-08-14 10:00:24.637 PMcom.apple.xpc.launchd[1](com.apple.ReportCrash[21508]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.ReportCrash
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Killing auth hosts
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Session 100122 destroyed
2015-08-14 10:00:28.333 PMcom.apple.xpc.launchd[1](com.apple.bird[267]) Service exited due to signal: Abort trap: 6
2015-08-14 10:00:28.392 PMReportCrash[21508]Saved crash report for bird[267] version 321.9 to /Users/userx/Library/Logs/DiagnosticReports/bird_2015-08-14-220028_OLM-userx.cr ash
2015-08-14 10:00:31.108 PMcloudphotosd[519]Failed to open '/Users/userx/Library/Containers/com.apple.cloudphotosd/Data/Library/Preference s/com.apple.cloudphotosd.plist' for events
2015-08-14 10:01:07.911 PMsharingd[254]Could not replace account with identifier: _local
2015-08-14 10:01:07.913 PMcom.apple.internetaccounts[262]Could not replace account with identifier: _local
2015-08-14 10:01:07.915 PMsoagent[268]Could not replace account with identifier: _local

นอกเหนือจากคำถามของฉันฉันจะมั่นใจได้อย่างไรว่ามัลแวร์นี้ไม่ได้อยู่ในระบบอีกต่อไป ฉันจะแน่ใจได้อย่างไรว่าสิ่งนี้จะไม่เกิดขึ้นอีก
Lee Sande

มีสิ่งใดที่น่าสนใจsystem.logก่อน (หรือประมาณ) 10 โมง ข้อความข้างต้นบอกว่ากระบวนการพื้นหลังบางส่วนขาดข้อมูล (ไม่น่าแปลกใจว่าไฟล์ถูกลบไปแล้ว)
nohillside

สวัสดีดูเหมือนว่า system.log จะว่างเปล่าก่อนวันที่ 16 สิงหาคม 00:00:01 อย่างไรก็ตามนี่คือไฟล์บันทึกเต็มรูปแบบจาก "ข้อความทั้งหมด" ในคอนโซล: dropbox.com/s/33oxmuufwfmb498/…
Lee Sande

1
@LeeSande โปรดเผยแพร่ org.macosforge.xquartz.startx.plist และ ~ / .bashrc ของคุณด้วย
klanomath

@LeeSande เริ่มต้นที่ "2015-08-14 10: 11: 54.087 PM" บริการกำลังทำงานอย่าง
ดุเดือด

คำตอบ:


4

หลังจากการตรวจสอบอย่างละเอียดเราพบข้อสรุปเบื้องต้นว่าผู้ร้ายไม่ใช่มัลแวร์ แต่เป็นเรื่องบังเอิญที่ไม่มีความสุขที่เกี่ยวข้องกับ org.macosforge.xquartz.startx.plist, .bashrc และxrd --merge ~/.Xdefaultsคำสั่ง เนื่องจากไฟล์เหล่านั้นถูกลบเราจึงไม่มีหลักฐานที่แน่ชัด

กล่าวว่า. bashrc มาจากบรรพบุรุษ (Linux-) มันได้รับการดัดแปลงให้ทำงานกับ OS X อย่างมาก

เซอร์วิส XQuartz เริ่มลบไฟล์ด้วยrmในโฟลเดอร์รูทหลังจากอ่านใน ~ / .bashrc ที่ถูกกระตุ้นโดยคำสั่ง xrd rms ส่วนใหญ่ไม่สำเร็จเนื่องจากการอนุญาตผู้ใช้หายไป ข้อมูลผู้ใช้ส่วนใหญ่ถูกลบไปแล้ว

หลังจากสร้าง thumb drive สำหรับการกู้คืนด้วย Data Rescue 4 (คุณสมบัติ Bootwell) การสแกนแบบลึกจะพบไฟล์ที่ถูกลบจำนวนมาก ไฟล์ที่สำคัญที่สุดไม่สามารถกู้คืนได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.