Due giorni fa, in qualche modo, il mio Mac con OS X Yosemite 10.10.5 è stato infettato da malware e ha cancellato quasi tutti i miei file dalla mia home directory. Non ho idea di come sia successo (non è stato perché ho fatto clic su qualche annuncio, non stavo nemmeno navigando sul web quando è successo e ho anche eseguito Adblock sui miei browser Safari, Chrome e Firefox). All'improvviso alle 10 di sera, una finestra di xterm si presentò con tonnellate di righe in esecuzione con nomi di file e messaggi di "autorizzazione negata". Sono entrato nel panico e spengo il computer.
L'ho riavviato e poi quando apro il terminale, l'xterm si avvicinò e iniziò con messaggi simili di "autorizzazione negata" (pensavo che fosse lanciato automaticamente quando aprii il terminale). Mi sono chiuso di nuovo e non sembra che si spenga completamente. Poi dopo alcuni minuti ho provato ad avviarlo e non è iniziato per i prossimi 5 o 10 minuti circa. Poi quando è stato avviato, le impostazioni di OS X erano tutte fresche (ad esempio, il mio Dock è stato spostato da sinistra a quello in basso, ecc, come sarebbe se fosse una nuova installazione). Poi ho guardato la mia home directory e quasi tutti i file sono stati cancellati, stranamente tranne alcuni (credo che questi debbano avere permessi diversi).
Ho perso tutte le mie foto e i miei file su cui stavo lavorando. Ho un backup di Time Machine di 70 giorni.
Ho guardato la console e questo è quello che ho trovato.
Qualcuno può dirmi cosa è, com'è successo e come posso eliminarlo dal mio sistema?
Il log della console è di sotto.
2015-08-14 10:00:23.702 PMFinder[240]CreateWithFileInfo failed to create URL with FSRef, falling back to blank icon.
2015-08-14 10:00:24.620 PMbird[267]someone ripped the database from under our feet
LIMITS ------------------------------------------------------------------------
RLIMIT_CORE 0 infinity
RLIMIT_CPU infinity infinity
RLIMIT_DATA infinity infinity
RLIMIT_FSIZE infinity infinity
RLIMIT_MEMLOCK infinity infinity
RLIMIT_NOFILE 16384 16384
RLIMIT_NPROC 709 1064
RLIMIT_RSS infinity infinity
DISK (/Users/userx/Library/Mobile Documents)--------------------------------
NSFileSystemNodes 121846308
NSFileSystemSize 499082485760
NSFileSystemFreeSize 220219854848
NSFileSystemFreeNodes 53764613
NSFileSystemNumber 16777220
2015-08-14 10:00:24.637 PMcom.apple.xpc.launchd[1](com.apple.ReportCrash[21508]) Endpoint has been activated through legacy launch(3) APIs. Please switch to XPC or bootstrap_check_in(): com.apple.ReportCrash
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Killing auth hosts
2015-08-14 10:00:24.807 PMcom.apple.SecurityServer[85]Session 100122 destroyed
2015-08-14 10:00:28.333 PMcom.apple.xpc.launchd[1](com.apple.bird[267]) Service exited due to signal: Abort trap: 6
2015-08-14 10:00:28.392 PMReportCrash[21508]Saved crash report for bird[267] version 321.9 to /Users/userx/Library/Logs/DiagnosticReports/bird_2015-08-14-220028_OLM-userx.cr ash
2015-08-14 10:00:31.108 PMcloudphotosd[519]Failed to open '/Users/userx/Library/Containers/com.apple.cloudphotosd/Data/Library/Preference s/com.apple.cloudphotosd.plist' for events
2015-08-14 10:01:07.911 PMsharingd[254]Could not replace account with identifier: _local
2015-08-14 10:01:07.913 PMcom.apple.internetaccounts[262]Could not replace account with identifier: _local
2015-08-14 10:01:07.915 PMsoagent[268]Could not replace account with identifier: _local