Kısa süre önce yeni bir Android akıllı telefon aldım. Kurduktan ve üzerine kişilerimi yükledikten sonra bunun olacağını düşündüm.

Birkaç gün sonra, telefonun kilidini her açtığımda, varsayılan tarayıcıyı açıp bazı spam web sitesini açması birkaç saniye sürüyor. Neye sebep olduğunu görmeye çalıştım. Güvenebileceğimi bilmediğim tüm uygulamaları kaldırdım, ancak sorun devam etti. Bir süre çözmeye çalıştıktan sonra vazgeçtim ve telefonu fabrika ayarlarına sıfırladım. Şimdi varsayılana sıfırladıktan sonra, sorun tekrar ortaya çıkmadan önce yaklaşık bir hafta boyunca sorunsuz olarak çalıştı.

Neden olup olmadıklarını görmek için bazı uygulamaları kaldırmaya çalıştım, ancak bunu yaptıktan sonra hiçbir şey değişmedi. Ancak ben wifi kapatırsanız bile tarayıcı açmaya çalışmayacağını fark ettim (bir paket yok çünkü mobil veri denemedim). Bu bana ağdaki bir şeyle ilgili olabileceğini hissettiriyor ama aynı ağda en az 6 android telefon olduğunda neden sadece bu telefonun sorunu olacağını açıklamıyor.

Umarım bu sorunun nedenini bulmama ve çözmeme yardımcı olabilecek biri vardır.

TL; DR Telefonumun kilidini açarken tarayıcıyı açar ve bir spam web sitesi açmaya çalışır. Ama sadece wifi bağlı iken bunu yapar.

Şimdiye kadar denediğim şeyler:

• Fabrika ayarlarına sıfırlama (yalnızca sınırlı bir süre için yardımcı oldu)
• Tarayıcı önbelleğini ve ilgili tüm verileri temizleme
• Güvenilir olduğunu bilmediğim herhangi bir uygulamayı kaldırma
• Ne tetikler bulmaya çalışıyor (bir tür internet bağlantısı gerekli gibi görünüyor ??)

Cihaz Doogee Shoot 1'dir. Tarayıcıya gelince, varsayılan Android tarayıcı olarak ayarlanmıştır, ancak varsayılanı değiştirirsem Chrome'u da kullanır. Sadece varsayılan olarak ayarlanmış tarayıcıyı kullanıyor gibi görünüyor.

Önerilerimi izleyen sorun giderme OP'sine dayanarak, suçlu, com.tihomobi.lockframe.syslocker paket adıyla System Locker adında bir kötü amaçlı yazılım olarak bir sistem uygulaması gibi görünüyordu . Sorun , cihazın bazı kullanıcıları için bir sistem güncellemesinin sonucu gibi görünüyor .

Bir sistem uygulamasıyla her zamanki gibi, Ayarlar → Uygulamalar → Sistem uygulamaları / Tüm uygulamalar → suçlu altındaki Devre dışı bırak seçeneğini kullanırsanız, elbette ki bu uygulamayı devre dışı bırakın, zorla durdurun veya Android'i yeniden başlatın. Siz cihazı fabrika ayarlarına sıfırlayana kadar sorunun çözülmesi gerekir.

Sorun Giderme # 1

Suçluyu nasıl buldum. Dahili Android aracı dumpsys diğer şeylerin yanı sıra hangi uygulamanın diğer uygulama tarafından çağrıldığını gösterir. Arayan kişiye Çağrı Paketi denir.

Kurulumunuz olması koşuluyla adb ve USB hata ayıklama PC ve Android cihazında başarıyla şunları yapın:

1. cihazı PC'ye bağlı tutun
2. cihazı yeniden başlatın veya varsayılan tarayıcı uygulamasını zorla durdurun
3. Kötü amaçlı yazılımın işini yapmasına izin verin, yani tarayıcıyı otomatik olarak başlatın

4. tarayıcı başlatıldığında, cihazla fiziksel olarak hiçbir şey yapmayın, ancak PC'de aşağıdaki adb komutunu çalıştırın:

   adb shell dumpsys activity activities
   

İşte OP cihazından çıktı :

FAALİYET MÜDÜRÜ FAALİYETLERİ (dumpsys etkinlik faaliyetleri)
Ekran # 0 (yukarıdan aşağıya etkinlikler):
  Yığın # 1:
    Görev kimliği # 2
    * Görev Kaydı {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 effectUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      afinite = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 ve anahtar = 9wl83884sg67y1acw3z56z90 & s4 =% 8 2FdNwcNuQFEjjaucho5IqA% 3D% 3D flg = 0x10000000 pkg. tarayıcı cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Tarih # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Niyet {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = com100.000.kg.kg.kg cmp = com.android.browser / .BrowserActivity}

Çıktıda::

• com.android.browser cihazınızdaki stok Android tarayıcısının paket adıdır
• com.tihomobi.lockframe.syslocker , kötü amaçlı yazılım uygulamasının paket adıdır ve arama paketi olarak adlandırılır.

Kötü amaçlı yazılımı bulduysanız, bir sonraki sorun giderme işleminden kaçının ve Kötü amaçlı yazılımları nuke başlığına atlayın .

Sorun Giderme # 2

_{( Burada yayınlanan bir kopyaya yanıt olarak - suçlu uygulaması Tarım Simülatörü 18 idi )}

Belirli durumlarda, paket adı çağrıldığında tarayıcının kendisinin dumpsys çıktısında gösterilen paket adı olduğu gibi yukarıda belirtilen sorun giderme yardımcı olmayabilir. Bu durumda, tercih edinlogcat. Logcat'i şu şekilde ayarlayın:

adb logcat -v uzun, açıklayıcı | grep "dat = http" # URL'den herhangi bir şeyi grep edebilirsiniz. Tamamen size kalmış.
adb logcat -v uzun, açıklayıcı> logcat.txt # alternatif; İşletim sisteminizde grep yüklü değilse. Şimdi bu dosyada arama yapmanız gerekiyor.

Şimdi cihazın kilidini açın ve bu URL'ye sahip tarayıcının otomatik olarak başlatılmasına izin verin. Ayrıca, basın Ctrlile Cbir dosyaya çıktı tasarrufu eğer.

Aradığımız çıktı şuna benzer:

[11-27 16: 03: 22.592 3499: 6536 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

kimden uid 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

itibaren uid 10331

Vurgulanan iki UID 10021 ve 10331'e bakın. Bunlardan biri (sizin durumunuzda farklı olacaktır) başlatılan tarayıcı uygulaması içindir ve bunlardan biri bu URL'yi isteyen kötü amaçlı yazılım uygulamasıdır. Peki, ne olduğunu nasıl bulabilirim?

Kök erişiminiz varsa şunları yapmanız yeterlidir:

adb kabuk su -c 'ls -l / veri / veri / | grep u0_a 21 '
adb kabuk su -c 'ls -l / veri / veri / | grep u0_a 331 '

Çıktı şöyle olacaktır:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Kök erişiminiz yoksa şunları yapın:

adb shell dumpsys package > packages_dump.txt

Şimdi UID'lerinizle "userId = 10021" ve "userId = 10331" gibi satırı arayın. Aranan satırın yukarısındaki satır size paket adını verir ve şöyle görünebilir:

Paket [ com.android.chrome ] (172ca1a):
    userId = 10021
...
Paket [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

İki paket adı com.android.chrome (Chrome tarayıcı için - kesinlikle kötü amaçlı yazılım değildir) ve com.tihomobi.lockframe.syslocker'dır . Uygulamanın adını paket adından öğrenmek için cevabımı burada kullanın .

Kötü amaçlı yazılımları nuke

Suçluyu artık bildiğinize göre, yukarıda belirtildiği gibi GUI aracılığıyla devre dışı bırakabilirsiniz. Bu mümkün değilse şunları yapın:

adb shell pm devre dışı bırakan kullanıcı PKG_NAME #, uygulamayı devre dışı bırakır
adb shell pm uninstall --user 0 PKG_NAME #, birincil kullanıcı için uygulamayı kaldırır
adb shell am-stop PKG_NAME # yalnızca uygulamayı zorla durdurur

Yukarıdaki sorun giderme bölümünde not ettiğiniz kötü amaçlı yazılımın paket adını PKG_NAME ile değiştirin .

Hile yapmalı. Ayrıca, kötü amaçlı yazılım uygulamasını tüm kullanıcılar için kalıcı olarak kaldırmayı da düşünebilirsiniz, ancak bu root erişimi gerektirir.

Sorunu çözmek için biraz daha fazla bilgiye ihtiyacım vardı, ancak olası sorunları bulmaya çalışacağım. Hangi tarayıcı? Hangi telefon modeli? Resmi kaynaklardan mı satın alındı?

Teorik olarak fabrika ayarlarına sıfırlama size bu konuda yardımcı olmalıydı. Olmadığı için, bir tür reklam yazılımı alabileceğiniz birkaç yer daha var. Öncelikle, bazı uygulamaları kaldırmayı mı söylediniz? Özellikle hangi uygulamalar? Belirli bir yazılım yüklendikten sonra ortaya çıktı mı?

WiFi'niz mi yoksa halka açık bir tane mi kullanıyorsunuz? Herkese açık olan ise, genellikle şirketler uygulama yükleme ve reklam isteklerini wifi üzerinden nispeten sık gönderir. Eğer yoğun bir bölgede / yakınında yaşıyorsanız, bu sadece kendi ürün tanıtımı için kullanan biri olurdu sürpriz olmaz. Farklı wifi veya başka birinin wifi kullanmayı deneyin, sorunun devam edip etmediğine bakın. Eğer değilse. Bu, kullandığınız ağla ilgili bir sorundur, yani büyük olasılıkla değiştirmeniz gerekecektir. Bu konuda size yardımcı olması için sağlayıcınızla iletişime geçmeyi deneyebilirsiniz (Daha önce böyle bir sorun vardı, ISS sağlayıcılarım desteğe başvurduktan sonra bana yardımcı oldu). Ayrıca, mobil ağın aynı sorunu gösterip göstermediğine bakın. Değilse, seçeneğiniz şu anda kullanmakta olduğunuz ağı değiştirmek olacaktır.