Jump to content

Recommended Posts

Posted (edited)

Всех с наступившим Новым Годом!!!

Проблема такая. Тело S-Tell M540 грузит на весь экран рекламу, которую не возможно закрыть, и устанавливаются приложения. Попытки найти прошивку или рутировать успехом не увенчались. Ни как не удаётся индифицировать зловреда.

Нашёл эту тему... Запустил скрипты... Вот что получаю:

Спойлер

1163462213_.jpg.51dec79fc8cfc8900fe6dad1fb630702.jpg

1624776069_1.jpg.5b5bb7766987cd473022447ef13d8178.jpg

Я так понимаю, что скрипты не работают с моим телом? Или что то я не так делаю может быть?

Edited by Keeper-Volok
Выделил в отдельную тему

Share this post


Link to post

Разобрался с подключением тела. Оказалось в настройках подключения к компьютеру нужно выбирать не передачу файлов а внутренний накопитель.

Share this post


Link to post

Не понял, как работать с app_killer? Запускаю из папки ( так же как и apk_grabber). Запускается окно, что то там происходит и закрывается. Каким образом запустить app_killer, что бы скрипт убил конкретно приложение KeyChain.apk, например?



 

 

Share this post


Link to post
В 01.01.2019 в 15:06, Шарм сказал:

Каким образом запустить app_killer, что бы скрипт убил конкретно приложение KeyChain.apk, например?

Передать  KeyChain.apk первым параметром, там же написан пример.
Т.е. в командной строке после app_killer.cmd через пробел пишите имя пакета для KeyChain.apk

Чтобы не писать пути, нужно сделать папку, где лежат скрипты, рабочей.
Можно сделать командой "cd путь-к-папке", можно командную строку открыть из контекстного меню проводника с нажатой клавишей Shift.

Share this post


Link to post

"app_killer.cmd" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. - Это если открыть командную строку и ввести - app_killer.cmd  KeyChain.apk

если же открывать app_killer.cmd из папки adb, то  ввести имя приложения нет возможности! Скрипт сам что то пытается удалять и закрывается:

Спойлер

617065522_1.jpg.6592e923ccfb6d6757e041d8dd9085f3.jpg

60148165_2.jpg.27def52c32f43fa8180ed1140153ceea.jpg

logcat тоже работает таким же странным образом. Запустился, что то делал и закрылся. Повторное открытие выдаёт:

Спойлер

logcat.jpg.13a689629dec35dc7e800d744807b7c0.jpg

Антивири не помогают! Что то в прошивке продолжает грузить файлы из интернета. Поставил Фаервол без рут-прав, режу выход всему что двигается в интернет! Но это не выход.

Share this post


Link to post
В 02.01.2019 в 08:33, Шарм сказал:

"app_killer.cmd" не является внутренней или внешней командой, исполняемой программой или пакетным файлом

 

В 01.01.2019 в 16:41, Keeper-Volok сказал:

Чтобы не писать пути, нужно сделать папку, где лежат скрипты, рабочей.
Можно сделать командой "cd путь-к-папке", можно командную строку открыть из контекстного меню проводника с нажатой клавишей Shift.

cd C:\Users\...ваш конкретный путь...\adb\

Про открытие через Shift в текущей папке - здесь.

Эти манипуляции относятся к основам работы с Windows, не к конкретным скриптам.
Какие моменты вызывают затруднение, будь то фразы "не является внутренней или внешней командой" или "cd путь-к-папке" - смело спрашивайте у поисковиков, можно найти подробное описание практически всего.

Share this post


Link to post

Прошу прощения, но я думал если папка adb лежит в корне диска С то ни каких путей типа юзер вписывать не надо...

Share this post


Link to post
6 часов назад, Шарм сказал:

папка adb лежит в корне диска С

Тогда будет C:\adb\app_killer.cmd

В 02.01.2019 в 08:33, Шарм сказал:

app_killer.cmd  KeyChain.apk

Упустил ещё из вида, в параметре передаётся не название apk-файла, а имя этого пакета, вида "домен.компания.продукт"
Узнать имя пакета можно, например, при работе apk-grabber скрипта, найдя в выводе информацию о файле 
KeyChain.apk

Share this post


Link to post

Спасибо, что разложили по полочкам! Удалось запустить app_killer. Правда проблему решить не удалось. Просканировал на вирус тотал все скачанные apk-grabber файлы. Ругается только на системную фота и новолаучер:

Спойлер

1531053408_.thumb.jpg.8dcbccc0c0976e402435f4cd7f0b4344.jpg452502764_.thumb.jpg.b313f774a38e5050088efc08a4a6dfea.jpg

 

Реклама показывается через скачанное приложение, каждый раз разное. Качается системным загрузчиком. Кто инициатор, я не смог разобрать. Снимаемые логи оказались тёмным лесом., так как не могу точно определить время закачки файла.

Что делать не знаю. (((

Share this post


Link to post
23 часа назад, Шарм сказал:

Что делать не знаю. (((

Сокращать установленные приложения (удалять) по одному, до необходимого минимума проверенных издателей.

Наблюдать, когда проблема уйдёт.

Share this post


Link to post

Да, так и делаю. Но после каждой зачистки проходит не менее 12-15 часов прежде чем что начинает грузиться. И хорошо если заражённым  окажется не системное приложение.

Share this post


Link to post

Когда будет показана реклама на весь экран, нужно:

0. Снять скриншот

1. Нажать на кнопку "Недавние приложения". Если её не видно из-за полноэкранного приложения, нужно провести пальцем сверху вниз по экрану — нижние кнопки вылезут

2. Когда рекламный экран станет в виде миниатюры, нажать и удерживать палец на значке приложения в залоголовке. Обычно это левая сторона, иногда центр заголовка (в Android 9 — центр)

3. Дождаться появления меню, где можно выбрать "О приложении". В виде буквы i

4. Нажать на это меню и увидеть, что это за приложение такое

5. Удалить приложение

6. Сказать здесь, что это было такое и дать apk файл этого приложения и скриншот.

Share this post


Link to post
В 10.01.2019 в 14:27, Umnik сказал:

Когда будет показана реклама на весь экран

Спасибо, что присоединились!

Какое приложение показывает именно рекламу я вижу. И удалить приложение я могу. Но это приложение не вирус, а последствия его действия. Как найти само вирусное ПО, которое устанавливает все эти рекламные проги????

Вот тут Вы давали скрипт 

adb shell pm list packages -i com.malware.package

Попытался его применить, но опять моя криворукость или тупоумие сказалось не лучшим образом.

Я вписал так

C:\adb\adb shell pm list packages -i cn.gkedong.folder

cn.gkedong.folder - последнее установленное (буквально вчера ) не мной приложение (имя пакета).

Что примечательно, скрипт граббера не скопировал это приложение (folder). Впрочем, как и все предыдущие. Видимо находятся в памяти не доступной для скрипта. Но они легко удаляются в настройках приложений.

Спойлер


Screenshot_20190112-072001.png

Screenshot_20190112-073134.png

систем бин.jpg

 

 

Edited by Шарм

Share this post


Link to post

ANGElDRAGON , спасибо за поддержку! Собрал, залил, написал. Теперь остаётся надеяться и ждать.

Share this post


Link to post
On 1/12/2019 at 7:48 AM, Шарм said:

C:\adb\adb shell pm list packages -i cn.gkedong.folder

cn.gkedong.folder - последнее установленное (буквально вчера ) не мной приложение (имя пакета).

Ну? Что ответило то?

On 1/12/2019 at 11:15 PM, ANGElDRAGON said:

Шарм попробуйте воспользоваться этой статьей: https://support.kaspersky.ru/common/diagnostics/14691

Угадай, что такое дампАндроидАппс? :) Это и есть АпкГраббер. Ребята ничего сами не писали, они прислали мне письмо с просьбой поделиться скриптом, я и поделился.

Share this post


Link to post
8 часов назад, Umnik сказал:

Ну? Что ответило то?

А ни чего. Что то мелькнуло на экране и исчезло. Поэтому и спрашиваю, что не так написал...

 

8 часов назад, Umnik сказал:

Угадай, что такое дампАндроидАппс? :) Это и есть АпкГраббер. Ребята ничего сами не писали, они прислали мне письмо с просьбой поделиться скриптом, я и поделился.

)))))))))))) Ну что то где то так  я и прикинул. Конечная компоновка может у них более доработана. Хотя может мне и показалось.

Share this post


Link to post

Запросили данные с тела собранные  AIDA64 for Android v1.58 Report. Отправил и снова ждать.

Share this post


Link to post
15 hours ago, Шарм said:

А ни чего. Что то мелькнуло на экране и исчезло. Поэтому и спрашиваю, что не так написал...

Так ты запусти cmd, перейди в каталог (cd путь/к/каталогу) и оттуда запусти скрипт. Если после cd перехода не случилось, значит путь на другой букве диска. Просто напиши d:\  и нажми Enter. Или какая там у тебя буква.

15 hours ago, Шарм said:

Конечная компоновка может у них более доработана. Хотя может мне и показалось.

Это скрипты, упакованные вместе с адб и либами в один исполняемый файл. Я не стал ничего такого делать, т.к. на форуме люди более-менее продвинутые :) Но да, если есть сложности, лучше брать реализацию с сайта техподдержки, там всё сделано для удобства.

Share this post


Link to post
17 часов назад, ANGElDRAGON сказал:

Шарм полученные данные направили @Umnikу?

Нет. К моменту вступления Umnik в разговор было слишком много попыток собрать, прочесть, разобраться. Какие из них отправлять не знаю. А все - смысла не имеет так загружать человека! К тому же свежак стоит собирать сразу после очередной атаки. А её ещё и ждать приходиться после зачисток. А без зачисток пользоваться аппаратом не возможно. Ну и потом отправил по Вашему направлению данные в тех поддержку... Посмотрим на результат, а там и какие то шаги предпринимать будем.

17 часов назад, Umnik сказал:

Так ты запусти cmd, перейди в каталог (cd путь/к/каталогу) и оттуда запусти скрипт. Если после cd перехода не случилось, значит путь на другой букве диска. Просто напиши d:\  и нажми Enter. Или какая там у тебя буква.

Понимаю, что надо делать по другому. Но лес густой, пока лбом просеку сделаешь шишек много набиваю. ))))

 

16 часов назад, Umnik сказал:

Это скрипты, упакованные вместе с адб и либами в один исполняемый файл. Я не стал ничего такого делать, т.к. на форуме люди более-менее продвинутые :) Но да, если есть сложности, лучше брать реализацию с сайта техподдержки, там всё сделано для удобства.

Ну я не настолько продвинут в программировании. Прошить, отремонтировать, ну на крайняк почистить (с помощью чьей нибудь).

 

Share this post


Link to post

Думается мне, что ни чего не выходит у спецов.

Попросили удалить 17тую версию Kaspersky Internet Security: Антивирус и Защита и поставить 19тую. Просканировал, ни чего не нашлось. Не удивлён, но расстроен. Видимо нет у них ответа, что заставляет качать вся кую лажу из интернета.

Share this post


Link to post

Если у тебя проблема с запуском  в том, что ты не успеваешь увидеть результат выполнения команды, то напиши батник из двух строк:

adb shell pm list packages -i cn.gkedong.folder
pause

Команда pause будет ожидает Энтера

Share this post


Link to post

ANGElDRAGON , ааа. Непоняточка вышла. ))) Что сделано,то сделано. Будем посмотреть.

Umnik , спасибо! Попробую после очередной атаки. " folder" уже зачищена касперским, другую гадость надо подождать.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.