AGS и AppKiller скрипты

[Шарм]

Всех с наступившим Новым Годом!!!

Проблема такая. Тело S-Tell M540 грузит на весь экран рекламу, которую не возможно закрыть, и устанавливаются приложения. Попытки найти прошивку или рутировать успехом не увенчались. Ни как не удаётся индифицировать зловреда.

Нашёл эту тему... Запустил скрипты... Вот что получаю:

Спойлер

Я так понимаю, что скрипты не работают с моим телом? Или что то я не так делаю может быть?

Edited January 1 by Keeper-Volok
Выделил в отдельную тему

[Шарм]

Разобрался с подключением тела. Оказалось в настройках подключения к компьютеру нужно выбирать не передачу файлов а внутренний накопитель.

[Шарм]

Не понял, как работать с app_killer? Запускаю из папки ( так же как и apk_grabber). Запускается окно, что то там происходит и закрывается. Каким образом запустить app_killer, что бы скрипт убил конкретно приложение KeyChain.apk, например?



 

 

[Keeper-Volok]

В 01.01.2019 в 15:06, Шарм сказал:

Каким образом запустить app_killer, что бы скрипт убил конкретно приложение KeyChain.apk, например?

Передать  KeyChain.apk первым параметром, там же написан пример.
Т.е. в командной строке после app_killer.cmd через пробел пишите имя пакета для KeyChain.apk

Чтобы не писать пути, нужно сделать папку, где лежат скрипты, рабочей.
Можно сделать командой "cd путь-к-папке", можно командную строку открыть из контекстного меню проводника с нажатой клавишей Shift.

[Шарм]

"app_killer.cmd" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. - Это если открыть командную строку и ввести - app_killer.cmd  KeyChain.apk

если же открывать app_killer.cmd из папки adb, то  ввести имя приложения нет возможности! Скрипт сам что то пытается удалять и закрывается:

Спойлер

logcat тоже работает таким же странным образом. Запустился, что то делал и закрылся. Повторное открытие выдаёт:

Спойлер

Антивири не помогают! Что то в прошивке продолжает грузить файлы из интернета. Поставил Фаервол без рут-прав, режу выход всему что двигается в интернет! Но это не выход.

[Keeper-Volok]

В 02.01.2019 в 08:33, Шарм сказал:

"app_killer.cmd" не является внутренней или внешней командой, исполняемой программой или пакетным файлом

 

В 01.01.2019 в 16:41, Keeper-Volok сказал:

Чтобы не писать пути, нужно сделать папку, где лежат скрипты, рабочей.
Можно сделать командой "cd путь-к-папке", можно командную строку открыть из контекстного меню проводника с нажатой клавишей Shift.

cd C:\Users\...ваш конкретный путь...\adb\

Про открытие через Shift в текущей папке - здесь.

Эти манипуляции относятся к основам работы с Windows, не к конкретным скриптам.
Какие моменты вызывают затруднение, будь то фразы "не является внутренней или внешней командой" или "cd путь-к-папке" - смело спрашивайте у поисковиков, можно найти подробное описание практически всего.

[Шарм]

Прошу прощения, но я думал если папка adb лежит в корне диска С то ни каких путей типа юзер вписывать не надо...

[Keeper-Volok]

6 часов назад, Шарм сказал:

папка adb лежит в корне диска С

Тогда будет C:\adb\app_killer.cmd

В 02.01.2019 в 08:33, Шарм сказал:

app_killer.cmd  KeyChain.apk

Упустил ещё из вида, в параметре передаётся не название apk-файла, а имя этого пакета, вида "домен.компания.продукт"
Узнать имя пакета можно, например, при работе apk-grabber скрипта, найдя в выводе информацию о файле KeyChain.apk

[Шарм]

Спасибо, что разложили по полочкам! Удалось запустить app_killer. Правда проблему решить не удалось. Просканировал на вирус тотал все скачанные apk-grabber файлы. Ругается только на системную фота и новолаучер:

Спойлер

 

Реклама показывается через скачанное приложение, каждый раз разное. Качается системным загрузчиком. Кто инициатор, я не смог разобрать. Снимаемые логи оказались тёмным лесом., так как не могу точно определить время закачки файла.

Что делать не знаю. (((

[Keeper-Volok]

23 часа назад, Шарм сказал:

Что делать не знаю. (((

Сокращать установленные приложения (удалять) по одному, до необходимого минимума проверенных издателей.

Наблюдать, когда проблема уйдёт.

[Шарм]

Да, так и делаю. Но после каждой зачистки проходит не менее 12-15 часов прежде чем что начинает грузиться. И хорошо если заражённым  окажется не системное приложение.

[Umnik]

Когда будет показана реклама на весь экран, нужно:

0. Снять скриншот

1. Нажать на кнопку "Недавние приложения". Если её не видно из-за полноэкранного приложения, нужно провести пальцем сверху вниз по экрану — нижние кнопки вылезут

2. Когда рекламный экран станет в виде миниатюры, нажать и удерживать палец на значке приложения в залоголовке. Обычно это левая сторона, иногда центр заголовка (в Android 9 — центр)

3. Дождаться появления меню, где можно выбрать "О приложении". В виде буквы i

4. Нажать на это меню и увидеть, что это за приложение такое

5. Удалить приложение

6. Сказать здесь, что это было такое и дать apk файл этого приложения и скриншот.

[Шарм]

В 10.01.2019 в 14:27, Umnik сказал:

Когда будет показана реклама на весь экран

Спасибо, что присоединились!

Какое приложение показывает именно рекламу я вижу. И удалить приложение я могу. Но это приложение не вирус, а последствия его действия. Как найти само вирусное ПО, которое устанавливает все эти рекламные проги????

Вот тут Вы давали скрипт 

adb shell pm list packages -i com.malware.package

Попытался его применить, но опять моя криворукость или тупоумие сказалось не лучшим образом.

Я вписал так

C:\adb\adb shell pm list packages -i cn.gkedong.folder

cn.gkedong.folder - последнее установленное (буквально вчера ) не мной приложение (имя пакета).

Что примечательно, скрипт граббера не скопировал это приложение (folder). Впрочем, как и все предыдущие. Видимо находятся в памяти не доступной для скрипта. Но они легко удаляются в настройках приложений.

Спойлер

 

 

Edited January 12 by Шарм

[ANGElDRAGON]

Шарм попробуйте воспользоваться этой статьей: https://support.kaspersky.ru/common/diagnostics/14691

[Шарм]

ANGElDRAGON , спасибо за поддержку! Собрал, залил, написал. Теперь остаётся надеяться и ждать.

[Umnik]

On 1/12/2019 at 7:48 AM, Шарм said:

C:\adb\adb shell pm list packages -i cn.gkedong.folder

cn.gkedong.folder - последнее установленное (буквально вчера ) не мной приложение (имя пакета).

Ну? Что ответило то?

On 1/12/2019 at 11:15 PM, ANGElDRAGON said:

Шарм попробуйте воспользоваться этой статьей: https://support.kaspersky.ru/common/diagnostics/14691

Угадай, что такое дампАндроидАппс? Это и есть АпкГраббер. Ребята ничего сами не писали, они прислали мне письмо с просьбой поделиться скриптом, я и поделился.

[Шарм]

8 часов назад, Umnik сказал:

Ну? Что ответило то?

А ни чего. Что то мелькнуло на экране и исчезло. Поэтому и спрашиваю, что не так написал...

 

8 часов назад, Umnik сказал:

Угадай, что такое дампАндроидАппс? Это и есть АпкГраббер. Ребята ничего сами не писали, они прислали мне письмо с просьбой поделиться скриптом, я и поделился.

)))))))))))) Ну что то где то так  я и прикинул. Конечная компоновка может у них более доработана. Хотя может мне и показалось.

[Шарм]

Запросили данные с тела собранные  AIDA64 for Android v1.58 Report. Отправил и снова ждать.

[ANGElDRAGON]

Шарм полученные данные направили @Umnikу?

[Umnik]

15 hours ago, Шарм said:

А ни чего. Что то мелькнуло на экране и исчезло. Поэтому и спрашиваю, что не так написал...

Так ты запусти cmd, перейди в каталог (cd путь/к/каталогу) и оттуда запусти скрипт. Если после cd перехода не случилось, значит путь на другой букве диска. Просто напиши d:\  и нажми Enter. Или какая там у тебя буква.

15 hours ago, Шарм said:

Конечная компоновка может у них более доработана. Хотя может мне и показалось.

Это скрипты, упакованные вместе с адб и либами в один исполняемый файл. Я не стал ничего такого делать, т.к. на форуме люди более-менее продвинутые Но да, если есть сложности, лучше брать реализацию с сайта техподдержки, там всё сделано для удобства.

[Шарм]

17 часов назад, ANGElDRAGON сказал:

Шарм полученные данные направили @Umnikу?

Нет. К моменту вступления Umnik в разговор было слишком много попыток собрать, прочесть, разобраться. Какие из них отправлять не знаю. А все - смысла не имеет так загружать человека! К тому же свежак стоит собирать сразу после очередной атаки. А её ещё и ждать приходиться после зачисток. А без зачисток пользоваться аппаратом не возможно. Ну и потом отправил по Вашему направлению данные в тех поддержку... Посмотрим на результат, а там и какие то шаги предпринимать будем.

17 часов назад, Umnik сказал:

Так ты запусти cmd, перейди в каталог (cd путь/к/каталогу) и оттуда запусти скрипт. Если после cd перехода не случилось, значит путь на другой букве диска. Просто напиши d:\  и нажми Enter. Или какая там у тебя буква.

Понимаю, что надо делать по другому. Но лес густой, пока лбом просеку сделаешь шишек много набиваю. ))))

 

16 часов назад, Umnik сказал:

Это скрипты, упакованные вместе с адб и либами в один исполняемый файл. Я не стал ничего такого делать, т.к. на форуме люди более-менее продвинутые Но да, если есть сложности, лучше брать реализацию с сайта техподдержки, там всё сделано для удобства.

Ну я не настолько продвинут в программировании. Прошить, отремонтировать, ну на крайняк почистить (с помощью чьей нибудь).

 

[Шарм]

Думается мне, что ни чего не выходит у спецов.

Попросили удалить 17тую версию Kaspersky Internet Security: Антивирус и Защита и поставить 19тую. Просканировал, ни чего не нашлось. Не удивлён, но расстроен. Видимо нет у них ответа, что заставляет качать вся кую лажу из интернета.

[ANGElDRAGON]

Шарм  укажите номер запроса в поддержку, файлы можете направить Umnik у, я только предоставил инструкцию по сбору файлов, выполнять 4 шаг необязательно было

[Umnik]

Если у тебя проблема с запуском  в том, что ты не успеваешь увидеть результат выполнения команды, то напиши батник из двух строк:

adb shell pm list packages -i cn.gkedong.folder
pause

Команда pause будет ожидает Энтера

[Шарм]

ANGElDRAGON , ааа. Непоняточка вышла. ))) Что сделано,то сделано. Будем посмотреть.

Umnik , спасибо! Попробую после очередной атаки. " folder" уже зачищена касперским, другую гадость надо подождать.