Перейти к содержанию

HEUR:Trojan-Dropper.AndroidOS не удаляется даже после полной замены прошивки через Fastboot


Рекомендуемые сообщения

Алексей Викторович
Опубликовано

Приветствую! Возник вопрос – голову неделю ломаю. И не только голову:
Сбербанк-онлайн 14.6.0. Включил антивирус. После сканирования обнаружил HEUR:Trojan-Dropper.AndroidOS.Triada.rq MIUI Global 12.5.3 Андроид 11 (регион Великобритания стоял) путь расположения вируса: /cust/app/customized/partner-com.engloryintertech.caping_43//cust/app/customized/partner-com.engloryintertech.caping_43.apk

А дальше самое интересное:
1. Hard Reset с полным Wipe не помог.
2. Обновление по воздуху на MIUI Global 13.0.6 Андроид 12 не помогло.
3. Полная прошивка через Fastboot через разблокировку/блокировку загрузчика не помогло.

Но название вируса чуть изменилось: HEUR:Trojan-Dropper.AndroidOS.Triada.az путь тот же с названием файла.
Регион я поменял обратно на Россию. Не помогло.
Вообще не понимаю куда копать. ROOT делать и копаться ручками вырезать пока не научился. Что за бред собачий не понимаю. Может кто сталкивался?

Как вообще полная замена прошивки может не помочь не понимаю...

2022-12-23 16-00-48.PNG

2022-12-23 16-01-01.PNG

2022-12-23 16-01-13.PNG

Опубликовано

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

  • Like (+1) 1
  • Спасибо (+1) 1
Алексей Викторович
Опубликовано
8 часов назад, ska79 сказал:

Может загрузчик разблокирован и пробрался зловред

Загрузчик разблокировал только для перепрошивки с последующей блокировкой загрузчика новой прошивкой с оф.сайта через fastboot. 

 

После этого никаких программ не устанавливаю кроме СберОнлайн и запускаю антивирус в нем. Жду полной проверки и снова обнаруживает вирус.

10 часов назад, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Понял. Сделаю. 

Алексей Викторович
Опубликовано
26.12.2022 в 12:28, Umnik сказал:

adb shell pm path partner-com.engloryintertech.caping → получишь путь

adb pull этот_путь D:/myDir/ → папка myDir на диске D должна существовать

 

Скинуть этот файл мне, например.

Скопировал файл. Куда можно прислать?

Проверка на VirusTotal

ESET-NOD32

A Variant Of Android/Triada.KJ

Fortinet

Android/Triada.HZ!tr

Kaspersky

HEUR:Trojan-Dropper.AndroidOS.Triada.az

ZoneAlarm by Check Point

HEUR:Trojan-Dropper.AndroidOS.Triada.az

Опубликовано

Да куда угодно, чтобы я мог скачать

 

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через

adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

 

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

Алексей Викторович
Опубликовано
7 минут назад, Umnik сказал:

Хотя всё равно скинь. Интересно глянуть будет внутри. Но это уже мой персональный интерес, к делу отношения не имеет.

ссылка удалена     пароль 123 

Изучил ADB впервые - интересно. Спасибо за поддержку!

 

Я удивился, что прошивку то я с официального сайта скачал свежую. И в ней такой же подарок. Не могло ведь после Fastboot что-то остаться в системе? Или могло?

17 минут назад, Umnik сказал:

А хотя, я глянул уже. Знаешь, тебе лучше найти другую прошивку, где вырезано вот это вообще. Потому что семейство Триада - это какой-то ад: https://securelist.ru/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/28121/

Можешь, конечно, попытаться деинсталлировать через



adb shell pm uninstall --user 0 partner-com.engloryintertech.caping

но высока вероятность, что он снова прилетит.

При попытке удаления пишет Failure [not installed for 0]

Разные пути пробую - одинаково.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Ссылка удалена. Пункт 9 правил форума.
Опубликовано

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

 

41 минуту назад, Алексей Викторович сказал:

Failure [not installed for 0]

Тогда сначала спроси, какие пользователи стоят:

adb shell pm list users

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Алексей Викторович
Опубликовано
11 минут назад, Umnik сказал:

Всё, файл можешь удалять, я забрал.

Я предполагаю, что Xiaomi просто продаёт в свои дешёвые (а может не только дешёвые) телефоны места под партнёрские приложения и даже не проверяет, чем эти приложения занимаются. В данном случае это загрузчик. Он не сам содержит полезную нагрузку (в данном случае - вредоносную), а качает и исполняет. Благо у него в ресурсах прописано довольно много мест, куда он ломится.

 

Я не знаю, как ты удалял. Но, даже если правильно вычистил, другие компоненты прошивки могли тебе доустановить сами то, чего не хватает. В том числе вот это. Я потому и не верю, что удаление через pm поможет, но подсказать команду обязан. Лучше зашить кастом без блотвари. Но тут проблема - это будет означать открытый загрузчик. А это приведёт к тому, что банковские приложения будут ругаться. Раньше так было, по крайней мере.

 

Но тут сам решай, что лучше - троян, описание которого поражает воображение или ноющие приложения, что у тебя загрузчик открыт.

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

Только что, Алексей Викторович сказал:

Все понял. Вашему авторитету доверяю абсолютно. Я попробую другую прошивку Global EU  вместо Индонезии. Может там повезет.

Удивительно, что еще несколько телефонов в семье с аналогичными прошивками - и только я словил.

Удалить через ADB не получается - еще пробую.

Спасибо!

 

Только что, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

 

Забыл еще поделиться, что через неделю после обнаружения Зловред Касперским я получил на экране Яндекс Навигатора впервые в жизни окно о фиктивной задолженности за заправку. С чего и понял как все сошлось - и занялся вопрсосм.

Опубликовано

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

Алексей Викторович
Опубликовано
6 минут назад, ska79 сказал:

Напишите модель устройства

Xiaomi 11T pro  MIUI 13.0.6  Андроид 12  Заблокирован загрузчик

 

5 минут назад, Umnik сказал:

Тогда сначала спроси, какие пользователи стоят:

 


adb shell pm list users

 

Число до первого двоеточия - пройди по ним по всем. Но обычно там 0 только. Если и правда только 0, то попробуй без --user 0, но это хуже вариант.

Users:
        UserInfo{0:Владелец:c13} running
        UserInfo{999:XSpace:801010} running

 

Failure [DELETE_FAILED_INTERNAL_ERROR]    это без --user 0

Опубликовано

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

Алексей Викторович
Опубликовано
Только что, Umnik сказал:

А, 999 ещё откуда-то. Видимо это какая-то фишка прошивки. Так что стоит --user 999 тоже.

Все перебрал. Не хочет.

Перепрошью оперативно на другую прошивку.

Результаты доложу. Пару дней.

Алексей Викторович
Опубликовано
2 часа назад, Umnik сказал:

Да, есть надежда, что они не во все регионы встраивают. Проверить можно.

Похоже победил. Установил MIUI 13.0.6 Тайвань с того же сайта официального ( mirom.ezbox.idv.tw ), что и предыдущую Индонезию с вирусом.

Сбер ничего не находит. Отдельно Касперский тоже.

 

По ADB глянул - его нет.

 

C:\platform-tools>adb shell ls path /cust/app/customized
ls: path: No such file or directory
partner-cn.wps.moffice_eng_63
partner-com.amazon.appmanager_434_41_track
partner-com.amazon.appmanager_435_41_track
partner-com.amazon.appmanager_436_41_track
partner-com.amazon.appmanager_437_41_track
partner-com.amazon.appmanager_438_41_track
partner-com.amazon.mShop.android.shopping_41
partner-com.facebook.katana_91
partner-com.netflix.mediaclient_90
partner-com.spotify.music_159

 

спасибо!

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • renekka_s
      Автор renekka_s
      Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
      1. AVZ не открывался до переименования как и Autoruns
      2. Dr.web дважды сканировал и находил троян, удалял - не помогало
      3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.



      В логе dr.web была строчка про
      ProgramData\fqupxqtgiuun.exe
      powercfg.exe
      conhost.exe.
      лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   

      HKLM\System\CurrentControlSet\Services
      Addition.txtShortcut.txt
      wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
      FMGEEOFG
      ImagePath:
      C:\ProgramData\fqupxqtgiuun.exe

      с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

      Имя_службы: FMGEEOFG
              Тип                  : 10  WIN32_OWN_PROCESS
              Тип_запуска          : 2   AUTO_START
              Управление_ошибками  : 1   NORMAL
              Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
              Группа_запуска       :
              Тег                  : 0
              Выводимое_имя        : FMGEEOFG
              Зависимости          :
              Начальное_имя_службы : LocalSystem

      хз что делать в общем. я не разбираюсь и понять не могу как исправить.
      avz_log.txtFRST.txt
    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
×
×
  • Создать...