Шарм Posted January 1 (edited) Всех с наступившим Новым Годом!!! Проблема такая. Тело S-Tell M540 грузит на весь экран рекламу, которую не возможно закрыть, и устанавливаются приложения. Попытки найти прошивку или рутировать успехом не увенчались. Ни как не удаётся индифицировать зловреда. Нашёл эту тему... Запустил скрипты... Вот что получаю: Спойлер Я так понимаю, что скрипты не работают с моим телом? Или что то я не так делаю может быть? Edited January 1 by Keeper-Volok Выделил в отдельную тему Share this post Link to post
Шарм Posted January 1 Разобрался с подключением тела. Оказалось в настройках подключения к компьютеру нужно выбирать не передачу файлов а внутренний накопитель. Share this post Link to post
Шарм Posted January 1 Не понял, как работать с app_killer? Запускаю из папки ( так же как и apk_grabber). Запускается окно, что то там происходит и закрывается. Каким образом запустить app_killer, что бы скрипт убил конкретно приложение KeyChain.apk, например? Share this post Link to post
Keeper-Volok Posted January 1 В 01.01.2019 в 15:06, Шарм сказал: Каким образом запустить app_killer, что бы скрипт убил конкретно приложение KeyChain.apk, например? Передать KeyChain.apk первым параметром, там же написан пример. Т.е. в командной строке после app_killer.cmd через пробел пишите имя пакета для KeyChain.apk Чтобы не писать пути, нужно сделать папку, где лежат скрипты, рабочей. Можно сделать командой "cd путь-к-папке", можно командную строку открыть из контекстного меню проводника с нажатой клавишей Shift. Share this post Link to post
Шарм Posted January 2 "app_killer.cmd" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. - Это если открыть командную строку и ввести - app_killer.cmd KeyChain.apk если же открывать app_killer.cmd из папки adb, то ввести имя приложения нет возможности! Скрипт сам что то пытается удалять и закрывается: Спойлер logcat тоже работает таким же странным образом. Запустился, что то делал и закрылся. Повторное открытие выдаёт: Спойлер Антивири не помогают! Что то в прошивке продолжает грузить файлы из интернета. Поставил Фаервол без рут-прав, режу выход всему что двигается в интернет! Но это не выход. Share this post Link to post
Keeper-Volok Posted January 3 В 02.01.2019 в 08:33, Шарм сказал: "app_killer.cmd" не является внутренней или внешней командой, исполняемой программой или пакетным файлом В 01.01.2019 в 16:41, Keeper-Volok сказал: Чтобы не писать пути, нужно сделать папку, где лежат скрипты, рабочей. Можно сделать командой "cd путь-к-папке", можно командную строку открыть из контекстного меню проводника с нажатой клавишей Shift. cd C:\Users\...ваш конкретный путь...\adb\ Про открытие через Shift в текущей папке - здесь. Эти манипуляции относятся к основам работы с Windows, не к конкретным скриптам. Какие моменты вызывают затруднение, будь то фразы "не является внутренней или внешней командой" или "cd путь-к-папке" - смело спрашивайте у поисковиков, можно найти подробное описание практически всего. Share this post Link to post
Шарм Posted January 3 Прошу прощения, но я думал если папка adb лежит в корне диска С то ни каких путей типа юзер вписывать не надо... Share this post Link to post
Keeper-Volok Posted January 3 6 часов назад, Шарм сказал: папка adb лежит в корне диска С Тогда будет C:\adb\app_killer.cmd В 02.01.2019 в 08:33, Шарм сказал: app_killer.cmd KeyChain.apk Упустил ещё из вида, в параметре передаётся не название apk-файла, а имя этого пакета, вида "домен.компания.продукт" Узнать имя пакета можно, например, при работе apk-grabber скрипта, найдя в выводе информацию о файле KeyChain.apk Share this post Link to post
Шарм Posted January 7 Спасибо, что разложили по полочкам! Удалось запустить app_killer. Правда проблему решить не удалось. Просканировал на вирус тотал все скачанные apk-grabber файлы. Ругается только на системную фота и новолаучер: Спойлер Реклама показывается через скачанное приложение, каждый раз разное. Качается системным загрузчиком. Кто инициатор, я не смог разобрать. Снимаемые логи оказались тёмным лесом., так как не могу точно определить время закачки файла. Что делать не знаю. ((( Share this post Link to post
Keeper-Volok Posted January 8 23 часа назад, Шарм сказал: Что делать не знаю. ((( Сокращать установленные приложения (удалять) по одному, до необходимого минимума проверенных издателей. Наблюдать, когда проблема уйдёт. Share this post Link to post
Шарм Posted January 8 Да, так и делаю. Но после каждой зачистки проходит не менее 12-15 часов прежде чем что начинает грузиться. И хорошо если заражённым окажется не системное приложение. Share this post Link to post
Umnik Posted January 10 Когда будет показана реклама на весь экран, нужно: 0. Снять скриншот 1. Нажать на кнопку "Недавние приложения". Если её не видно из-за полноэкранного приложения, нужно провести пальцем сверху вниз по экрану — нижние кнопки вылезут 2. Когда рекламный экран станет в виде миниатюры, нажать и удерживать палец на значке приложения в залоголовке. Обычно это левая сторона, иногда центр заголовка (в Android 9 — центр) 3. Дождаться появления меню, где можно выбрать "О приложении". В виде буквы i 4. Нажать на это меню и увидеть, что это за приложение такое 5. Удалить приложение 6. Сказать здесь, что это было такое и дать apk файл этого приложения и скриншот. Share this post Link to post
Шарм Posted January 12 (edited) В 10.01.2019 в 14:27, Umnik сказал: Когда будет показана реклама на весь экран Спасибо, что присоединились! Какое приложение показывает именно рекламу я вижу. И удалить приложение я могу. Но это приложение не вирус, а последствия его действия. Как найти само вирусное ПО, которое устанавливает все эти рекламные проги???? Вот тут Вы давали скрипт adb shell pm list packages -i com.malware.package Попытался его применить, но опять моя криворукость или тупоумие сказалось не лучшим образом. Я вписал так C:\adb\adb shell pm list packages -i cn.gkedong.folder cn.gkedong.folder - последнее установленное (буквально вчера ) не мной приложение (имя пакета). Что примечательно, скрипт граббера не скопировал это приложение (folder). Впрочем, как и все предыдущие. Видимо находятся в памяти не доступной для скрипта. Но они легко удаляются в настройках приложений. Спойлер Edited January 12 by Шарм Share this post Link to post
ANGElDRAGON Posted January 12 Шарм попробуйте воспользоваться этой статьей: https://support.kaspersky.ru/common/diagnostics/14691 Share this post Link to post
Шарм Posted January 13 ANGElDRAGON , спасибо за поддержку! Собрал, залил, написал. Теперь остаётся надеяться и ждать. Share this post Link to post
Umnik Posted January 14 On 1/12/2019 at 7:48 AM, Шарм said: C:\adb\adb shell pm list packages -i cn.gkedong.folder cn.gkedong.folder - последнее установленное (буквально вчера ) не мной приложение (имя пакета). Ну? Что ответило то? On 1/12/2019 at 11:15 PM, ANGElDRAGON said: Шарм попробуйте воспользоваться этой статьей: https://support.kaspersky.ru/common/diagnostics/14691 Угадай, что такое дампАндроидАппс? Это и есть АпкГраббер. Ребята ничего сами не писали, они прислали мне письмо с просьбой поделиться скриптом, я и поделился. Share this post Link to post
Шарм Posted January 14 8 часов назад, Umnik сказал: Ну? Что ответило то? А ни чего. Что то мелькнуло на экране и исчезло. Поэтому и спрашиваю, что не так написал... 8 часов назад, Umnik сказал: Угадай, что такое дампАндроидАппс? Это и есть АпкГраббер. Ребята ничего сами не писали, они прислали мне письмо с просьбой поделиться скриптом, я и поделился. )))))))))))) Ну что то где то так я и прикинул. Конечная компоновка может у них более доработана. Хотя может мне и показалось. Share this post Link to post
Шарм Posted January 15 Запросили данные с тела собранные AIDA64 for Android v1.58 Report. Отправил и снова ждать. Share this post Link to post
Umnik Posted January 15 15 hours ago, Шарм said: А ни чего. Что то мелькнуло на экране и исчезло. Поэтому и спрашиваю, что не так написал... Так ты запусти cmd, перейди в каталог (cd путь/к/каталогу) и оттуда запусти скрипт. Если после cd перехода не случилось, значит путь на другой букве диска. Просто напиши d:\ и нажми Enter. Или какая там у тебя буква. 15 hours ago, Шарм said: Конечная компоновка может у них более доработана. Хотя может мне и показалось. Это скрипты, упакованные вместе с адб и либами в один исполняемый файл. Я не стал ничего такого делать, т.к. на форуме люди более-менее продвинутые Но да, если есть сложности, лучше брать реализацию с сайта техподдержки, там всё сделано для удобства. Share this post Link to post
Шарм Posted January 16 17 часов назад, ANGElDRAGON сказал: Шарм полученные данные направили @Umnikу? Нет. К моменту вступления Umnik в разговор было слишком много попыток собрать, прочесть, разобраться. Какие из них отправлять не знаю. А все - смысла не имеет так загружать человека! К тому же свежак стоит собирать сразу после очередной атаки. А её ещё и ждать приходиться после зачисток. А без зачисток пользоваться аппаратом не возможно. Ну и потом отправил по Вашему направлению данные в тех поддержку... Посмотрим на результат, а там и какие то шаги предпринимать будем. 17 часов назад, Umnik сказал: Так ты запусти cmd, перейди в каталог (cd путь/к/каталогу) и оттуда запусти скрипт. Если после cd перехода не случилось, значит путь на другой букве диска. Просто напиши d:\ и нажми Enter. Или какая там у тебя буква. Понимаю, что надо делать по другому. Но лес густой, пока лбом просеку сделаешь шишек много набиваю. )))) 16 часов назад, Umnik сказал: Это скрипты, упакованные вместе с адб и либами в один исполняемый файл. Я не стал ничего такого делать, т.к. на форуме люди более-менее продвинутые Но да, если есть сложности, лучше брать реализацию с сайта техподдержки, там всё сделано для удобства. Ну я не настолько продвинут в программировании. Прошить, отремонтировать, ну на крайняк почистить (с помощью чьей нибудь). Share this post Link to post
Шарм Posted January 16 Думается мне, что ни чего не выходит у спецов. Попросили удалить 17тую версию Kaspersky Internet Security: Антивирус и Защита и поставить 19тую. Просканировал, ни чего не нашлось. Не удивлён, но расстроен. Видимо нет у них ответа, что заставляет качать вся кую лажу из интернета. Share this post Link to post
ANGElDRAGON Posted January 16 Шарм укажите номер запроса в поддержку, файлы можете направить Umnik у, я только предоставил инструкцию по сбору файлов, выполнять 4 шаг необязательно было Share this post Link to post
Umnik Posted January 17 Если у тебя проблема с запуском в том, что ты не успеваешь увидеть результат выполнения команды, то напиши батник из двух строк: adb shell pm list packages -i cn.gkedong.folder pause Команда pause будет ожидает Энтера Share this post Link to post
Шарм Posted January 18 ANGElDRAGON , ааа. Непоняточка вышла. ))) Что сделано,то сделано. Будем посмотреть. Umnik , спасибо! Попробую после очередной атаки. " folder" уже зачищена касперским, другую гадость надо подождать. Share this post Link to post