Iniciar sesión en el usuario principal apaga la Mac

5

No soy un usuario de Mac y, sinceramente, no tengo idea de cómo usar uno (además del terminal). Entonces, un amigo me preguntó si podía ayudarlos a arreglar su computadora. Ella dice que lo último en lo que estuvo fue en un sitio web con "películas gratis", y debe haber estado haciendo clic en algo. Podemos entrar en modo de recuperación y podemos pasar al usuario invitado, pero no al usuario principal. Cada vez que inicia sesión en el usuario principal, simplemente se cierra.

Como tengo un buen conocimiento de Ubuntu, pensé que podría hacer una copia de seguridad de sus archivos a través de un USB en vivo (no almacenarlos en el USB en vivo, sino en un disco duro externo) y reinstalar OS X. Arranqué en el USB en vivo, y no había disco duro montado, lo cual era extraño. Lo revisé y pensé que estaba encriptado, así que seguí e instalé libfvde en el usb en vivo para ver si podía hackear el sistema encriptado abierto (había intentado todo tipo de otras cosas antes de esto), pero simplemente no pude hacerlo .

Entonces, lo que quiero hacer ahora es averiguar qué está mal, averiguar si se puede solucionar y, si no, hacer una copia de seguridad de los archivos y reinstalar el sistema operativo. La cosa es que no sé cómo hacerlo. ¿Algo con lo que ustedes puedan ayudar?

macos encryption recovery malware OH QUERIDOS PUFFINS
fuente
Cuando se apaga, ¿parece ser un proceso de apagado normal? ¿O la máquina se apaga?
tim.rohrer
En pocas palabras: arranque en modo de recuperación y luego mire la terminal en el menú de utilidades. Las herramientas como gpty dfy diskutil cs listo diskutil listdeberían darle la disposición del terreno de almacenamiento. No necesita un instalador USB si la recuperación funciona, así que comience por la respuesta de
klanomath
Creo que puedes hacer lo que intentaste desde un USB en vivo desde el arranque en la recuperación de OS X , que debería admitir el montaje de la unidad encriptada.
Alexander O'Mara
@ tim.rohrer La pantalla se vuelve negra y la computadora se apaga.
OH MI QUERIDO PUFFINS

Respuestas:

17

Lo mejor que puede hacer es crear un nuevo usuario administrador e inspeccionar el usuario principal agredido / el sistema.

Arranque en modo de recuperación (mantenga presionado cmdRdurante el arranque).

Desbloquee y monte el volumen encriptado principal con la Utilidad de Discos o Terminal:

#list all CoreStorage items
diskutil cs list
#unlock the locked Logical Volume (replace lvUUID by the UUID found above. Usually it's the last one listed and looks similar to this one: 21019876-ABA9-5678-1234-123453789012!)
diskutil cs unlockVolume lvUUID

Obtenga el nombre del volumen principal (generalmente es el último de los muchos):

df

El nombre del volumen principal encriptado también es visible si ingresa diskutil cs listnuevamente. Ejemplo:

    ...
    +-> Logical Volume 21019876-ABA9-5678-1234-123453789012
        ---------------------------------------------------
        Disk:                  disk16
        Status:                Online
        Size (Total):          1106191572992 B (1.1 TB)
        Conversion Progress:   -none-
        Revertible:            Yes (unlock and decryption required)
        LV Name:               Macintosh HD
  --->  Volume Name:           Macintosh HD
        Content Hint:          Apple_HFS

Cambie el directorio de trabajo (aquí supongo que el nombre del volumen principal es "Macintosh HD"):

cd /Volumes/Macintosh\ HD/var/db

Listar todos los archivos: 

ls -laO

Elimine el archivo .AppleSetupDone

rm .AppleSetupDone

Comprueba si el archivo fue eliminado:

ls -laO

Reinicia la Mac. Después de reiniciar, se le pedirá que desbloquee el volumen cifrado. Ingrese la contraseña incluso si es la del único usuario configurado.

Una vez finalizado el arranque, se le pedirá que configure su Mac. Después de configurar las configuraciones regionales, cree un nuevo usuario administrador. Inicie sesión como nuevo usuario administrador.

Ahora puede hacer una copia de seguridad de los datos del usuario principal infectado. O puede inspeccionar elementos de inicio de sesión, agentes de inicio del usuario o agentes / daemons de inicio de todo el sistema.

También puede instalar una solución antimalware como Anti-Malware para Mac y buscar una infección.

Informe si no puede encontrar un culpable.

klanomath
fuente
Me encuentro con un problema en cd /Volumes/Macintosh\ HD/var/db. Esperaría que se moviera al directorio, como de costumbre, pero no pasa nada. También creo que es extraño que donde estoy acostumbrado a verlo username@usergroup:~$diga -bash-3.2#.
OH QUERIDOS PUFFINS
parece ser Rasmus HDD (sí, con dos d). Lo escribí en la terminal así cd /Volumes/Rasmus\ HDD/var/db. No pasó nada.
OH MI QUERIDO PUFFINS
1
@OHMYDEARPUFFINS Luego intente cd al directorio sucesivamente: 1. cd /Volumes2. ls -laO3. cd Ras..4. ls -laO5. cd varetc. El O es un gran Omaha. En el paso 3, puede usar bash complete: ingrese las primeras letras de su volumen principal. Luego presiona la tecla Tab.
klanomath
Ah, ya veo, escribí ls -la0(cero) en lugar de O (Omaha). Solucionó los problemas. Ahora me encontré con otros problemas en rm .AppleSetupdone. Parece ser de solo lectura y no se puede eliminar. ¿De todos modos puedo cambiar sus permisos?
OH, QUERIDOS PUFFINS, el
1
@ tim.rohrer Aunque la respuesta está marcada como aceptada, el problema sigue ahí. Revisa el chat. Probablemente el volumen de CoreStorage estaba dañado. El OP quería enviarme un ping si está listo para continuar resolviendo el problema, pero no lo hizo hasta ahora.
klanomath
0

Si puede acceder al usuario invitado, el problema no se encuentra dentro del sistema, por lo que reinstalarlo no solucionará el problema. Los sitios de películas gratuitos (y otros sitios gratuitos) a veces pueden desencadenar un virus o un error que daña los archivos de usuario de una Mac. Sería mejor si comenzara en un disco duro externo y luego utilizara la función de primeros auxilios de la Utilidad de Discos (en Aplicaciones / Utilidades) para "arreglar" el disco ahrd. Parece que el problema probablemente sea un error de disco que ahora permitirá que el disco ahrd se monte correctamente. Disk Utility debería poder reparar eso. Sabrá si Disk Utility encuentra un error (uno que aparece en rojo debajo de la flecha Detalles) y anuncia que lo ha solucionado. Si la utilidad de disco no repara el problema, la computadora deberá ser llevada a Apple o revisada por un especialista de Mac o un consultor calificado.

Mac Guru
fuente
Si el disco no se monta correctamente, iniciar sesión como invitado tampoco funcionaría.
nohillside
2
El OP dijo que podía ingresar como invitado, por lo que le pregunté sobre el cierre. Estoy de acuerdo con una parte de la respuesta aquí en que el OP, si puede ingresar como invitado, podría sumar al usuario principal y luego limpiar los scripts de inicio de sesión nefastos, si eso es lo que está sucediendo.
tim.rohrer
Debería haber mencionado que probé la utilidad de disco (lo siento, tiendo a olvidar cosas mientras escribo). La utilidad de disco no encontró errores.
OH, QUERIDOS PUFFINS, el