Перейти к содержанию

HEUR:Trojan-Dropper.AndroidOS не удаляется даже после полной замены прошивки через Fastboot


Алексей Викторович

Рекомендуемые сообщения

Алексей Викторович

Приветствую! Возник вопрос – голову неделю ломаю. И не только голову:
Сбербанк-онлайн 14.6.0. Включил антивирус. После сканирования обнаружил HEUR:Trojan-Dropper.AndroidOS.Triada.rq MIUI Global 12.5.3 Андроид 11 (регион Великобритания стоял) путь расположения вируса: /cust/app/customized/partner-com.engloryintertech.caping_43//cust/app/customized/partner-com.engloryintertech.caping_43.apk

А дальше самое интересное:
1. Hard Reset с полным Wipe не помог.
2. Обновление по воздуху на MIUI Global 13.0.6 Андроид 12 не помогло.
3. Полная прошивка через Fastboot через разблокировку/блокировку загрузчика не помогло.

Но название вируса чуть изменилось: HEUR:Trojan-Dropper.AndroidOS.Triada.az путь тот же с названием файла.
Регион я поменял обратно на Россию. Не помогло.
Вообще не понимаю куда копать. ROOT делать и копаться ручками вырезать пока не научился. Что за бред собачий не понимаю. Может кто сталкивался?

Как вообще полная замена прошивки может не помочь не понимаю...

2022-12-23 16-00-48.PNG

2022-12-23 16-01-01.PNG

2022-12-23 16-01-13.PNG

Ссылка на сообщение
Поделиться на другие сайты

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
8 часов назад, ska79 сказал:

Может загрузчик разблокирован и пробрался зловред

Загрузчик разблокировал только для перепрошивки с последующей блокировкой загрузчика новой прошивкой с оф.сайта через fastboot. 

 

После этого никаких программ не устанавливаю кроме СберОнлайн и запускаю антивирус в нем. Жду полной проверки и снова обнаруживает вирус.

10 часов назад, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Понял. Сделаю. 

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
26.12.2022 в 12:28, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Скопировал файл. Куда можно прислать?

Проверка на VirusTotal

ESET-NOD32

A Variant Of Android/Triada.KJ

Fortinet

Android/Triada.HZ!tr

Kaspersky

HEUR:Trojan-Dropper.AndroidOS.Triada.az

ZoneAlarm by Check Point

HEUR:Trojan-Dropper.AndroidOS.Triada.az

Ссылка на сообщение
Поделиться на другие сайты

Да куда угодно, чтобы я мог скачать

 

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через

adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

 

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
7 минут назад, Umnik сказал:

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

ссылка удалена     пароль 123 

Изучил ADB впервые - интересно. Спасибо за поддержку!

 

Я удивился, что прошивку то я с официального сайта скачал свежую. И в ней такой же подарок. Не могло ведь после Fastboot что-то остаться в системе? Или могло?

17 минут назад, Umnik сказал:

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через



adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

При попытке удаления пишет Failure [not installed for 0]

Разные пути пробую - одинаково.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Ссылка удалена. Пункт 9 правил форума.
Ссылка на сообщение
Поделиться на другие сайты

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

 

41 минуту назад, Алексей Викторович сказал:

Failure [not installed for 0]

Тогда сначала спроси, какие пользователи стоят:

adb shell pm list users

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
11 минут назад, Umnik сказал:

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

Только что, Алексей Викторович сказал:

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

 

Только что, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

 

Забыл еще поделиться, что через неделю после обнаружения Зловред Касперским я получил на экране Яндекс Навигатора впервые в жизни окно о фиктивной задолженности за заправку. С чего и понял как все сошлось - и занялся вопрсосм.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
6 минут назад, ska79 сказал:

Напишите модель устройства

Xiaomi 11T pro  MIUI 13.0.6  Андроид 12  Заблокирован загрузчик

 

5 минут назад, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Users:
        UserInfo{0:Владелец:c13} running
        UserInfo{999:XSpace:801010} running

 

Failure [DELETE_FAILED_INTERNAL_ERROR]    это без --user 0

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
Только что, Umnik сказал:

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

Все перебрал. Не хочет.

Перепрошью оперативно на другую прошивку.

Результаты доложу. Пару дней.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Викторович
2 часа назад, Umnik сказал:

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

Похоже победил. Установил MIUI 13.0.6 Тайвань с того же сайта официального ( mirom.ezbox.idv.tw ), что и предыдущую Индонезию с вирусом.

Сбер ничего не находит. Отдельно Касперский тоже.

 

По ADB глянул - его нет.

 

C:\platform-tools>adb shell ls path /cust/app/customized
ls: path: No such file or directory
partner-cn.wps.moffice_eng_63
partner-com.amazon.appmanager_434_41_track
partner-com.amazon.appmanager_435_41_track
partner-com.amazon.appmanager_436_41_track
partner-com.amazon.appmanager_437_41_track
partner-com.amazon.appmanager_438_41_track
partner-com.amazon.mShop.android.shopping_41
partner-com.facebook.katana_91
partner-com.netflix.mediaclient_90
partner-com.spotify.music_159

 

спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Sv1gL
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • WyneX
      От WyneX
      Здраствуйте, столкнулся с такой проблемой, когда запускаю браузер, игру или какую-либо другую программу, вирус запускает много их копий - это  я заметил открыв диспетчер задач. Я попытался решить проблему сам, сначала я скачал Dr.web, просканировал - не помогло, сделал тоже самое, но в безопасном режиме - не помогло, снёс полностью виндовс - не помогло. Хочу уточнить, что копии открываются и в безопасном режиме. 
      CollectionLog-2024.06.11-05.26.zip
    • anonim7
      От anonim7
      Здравствуйте, вот который день мучаюсь и не знаю что делать.
      Как вирусы пробрались на компьютер понятия не имею, использовал много программ, ни одно из них не справляется. 
      Использовал следующие: RogueKiller, Dr.Web, Hitman Pro, AVZ, Kaspersky. Все запускались отлично, но некоторые из данных программ вовсе не видят вирусы, RogueKiller в свою очередь видит их все прекрасно, но искоренить их он не может.
      Долго думал переустановить Windows в связи с тем, что на компьютере нет ни каких важных файлов и т.д. На нем находятся исключительно игры.
      Помогите пожалуйста, буду признателен.
      !!! https://imgur.com/a/N6hkK1q !!!
    • safo
      От safo
      вообщем.
      история началась с того, что мне понадобилось скачать впн. решил остановить свой выбор на впн касперского и перешел на первый сайт при запросе впн касперский. домен был .ru и я решил проверить точно ли там ру, а не ком. при запросе в яндексе "официальный сайт касперский", я обнаружил что когда я перехожу на сайт, на долю секунду появляется 5015.xg4ken.com. проверился полностью касперским, нашло 3 трояна, но не это. скинул свою десятку и с полным форматированием перешел на 11 винду. настроил все, скачал нужные программы, поставил драйвера и все такое. решил глянуть, осталась ли эта проблема до сих пор. и о какое разочарование, а проблема то осталась даже с новенькой, чистенькой виндой. перерыл весь интернет, прочитал все ответы на этом форуме(был в 2020 вопрос с такой же темой), но ничего не помогло. можете помочь с этой проблемой? я уже боюсь браузером пользоваться.
      а и в дополнение скажу, что такое только с сайтом касперский. остальные вроде как загружаются без 5015.xg4ken.com
    • Nikita31Il
      От Nikita31Il
      Сканировал DrWeb вчера вируса не было, сегодня что то скачал и показывает что вирус, не лечит, пишет ошибку лечения, помогите пожалуйста.
×
×
  • Создать...