Здравствуйте!
На galaxy s4 gt i-9500 появился файл с мерзким названием jason.html. Storage/emulated/0/ прям в корневой. Я сначала даже значения не придал,файл не исполняемый,подумал,что одна из прог оптимизаторов-охладителей-менеджеров перемещала файлы и это следы просто,удалил. Перезагрузил трубу и вуаля, jason снова с нами. Уперся рогом,сносил раз 5 подряд и перезагружал…надоело,он удаляется,но приходит снова… и мало того,растет по чуть,но учитывая,что он html все-таки,максимум дорос до 450кб пока я спал. Он появлялся только после перезагрузки,повторюсь..сейчас когда захочет.. Вреда по сути не наносит,но просто ужасно злит меня уже пару недель.
Я начал гуглить ,но информации ,как таковой, нет про него. По кусочку,еще человек 5 в разное время за 5 лет спрашивали на форумах и без ответа. Зато постоянно выкидывает на сайты разрабов,где они выкладывают свои скрипты и т.д.,но там не особо разговорчивые. И если в поиск забивать ,начиная с названия,то почти наверняка на англоязычный сайт и сидеть там потом читать по английски еще и на сленге…в в итоге они просто скрипты обсуждают оказывается…в коде этом указываются некоторые приложения мои,модель трубы,rom,то что рутирован…key value постоянно там мелькает,что дальше будет?
Я могу его открыть,отредактировать,всё удалить или наоборот написать там тонну знаков,неважно…он все равно через некоторое время придет в первоначальный вид+вторая редакция будет. Если удалить и просто создать такой же свой,чтобы он вроде бы не заменил его,так не получается. Я его редактировал,ставил в нем read only,без записи,потом глушил через рут-приложения все текстовые проги+ из системы процессы управления редакторами,вроде "средства просмотра HTML ". В итоге я сам не могу ни открыть его,не изменить...через полчаса смотрю файл снова вырос...как так,нечем же на моем устройстве его редактировать было??
Архивировал его с паролем,создавая еще двойника его файла,все это без толку. Сегодня через рут браузер проги Rom toolbox(у меня только бесплатная ) хотел лишить его прав записи на этом уровне. Стояло rw/rw/rw...убрал галочки ,но прога выдает: changing permission was not successful. Please note that some file systems do not allow permission changes. Вроде рядом где-то уже хожу..? Снова гуглил,открыл terminal emulator в том же rom ,пытался что-то там исполнить,полдня убил. Я не программист и впервые вообще с этой строкой командной linux,тем более,может и не туда совсем полез. Я уже запасся прогами,думаю прошить телефон,но вот засада может получиться же…при бэкапе он там же пропишется,а потом снова как к себе домой будет ходить,только на лоллипоп уже… или удалится при очистке кэша и dalvik кэша?? прошиваться тоже впервые буду,поэтому уверенности нет в успехе,тем более с этим грузом в виде jason.html ..на него никто не хрюкает(Bitdefender,Trustgo Mobile Security) ,копировал его на пк и здесь проверял Bitdefender"ом...ноль эмоций.
Скидывал на несколько сайтов-сканеров ...вирусов нет пишут. Могу скинуть его даже,но это без толку просто код посмотреть если,может скажете по почерку, что хочет…ПОМОГИТЕ РАЗОБРАТЬСЯ ,БУДЬТЕ ДОБРЫ! Благодарю за внимание!!!
Я могу его выложить прям файлом html или часть кода скопировать или..? кстати,я немного обманул в тексте,не могу я его скопировать на комп,пишет требуемый ресурс занят. С телефона непосредственно скидывал ранее
этого достаточно. Лог некоторых событий,возможно это и не зловред. Больше не скажу. Попробуйте спросить на 4pda.ru/forum и полный резет для этой модели, если есть возможность.
С Sharp: хорошо,попробую. Если не зловред,то какую цель преследует,постоянно возрождаясь и собирая эти данные? Часов за 5 он несколько раз может увеличиваться, с 20кб до 250 или 400кб,а может и вообще не измениться ни разу...от каких-то моих действий отталкивается,что ли..?
Смущает часто повторяемое слово PUSH(отправка???), с рутом можно сниффер-файерволл поставить и пропалить, или на роутере или на компе, если он как точка используется. Ничего криминального не вижу, какие-то упоминания whatsapp.может всплывающие сообщения логгируются. Любое java приложение диассемблируется и можно глянуть код ,если он не сильно обфусцирован. Проще мне кажется все-таки сброс сделать,если будет подозрение на зловред.
Это смахивает уже на отправку
notifier_active,&value=2,xaid=2d55e5cee7d2a706&mcc=250&ver=10800&cn=cml_fakeicon_popups&cn2=NONE&cl=RU_ru&apilevel=17&brand=samsung&model=GT-I9500&rom=0&root=1&nettype=0&mnc=99
Опять же тут ничего такого вроде и нет,просто характеристика телефона
С Sharp: да,теперь и оно смущает) будто кто-то ставит на мне бесполезный эксперимент...слово rom появилось в коде в аккурат после его установки..то есть эта зараза считывает как-то процессы,происходящие на трубе. Сколько я ни вглядывался в цифры...ну ничего там нет секретного,действительно. Характеристики телефона, названия приложений...мелькает там install прям подряд массово,но это тоже похоже на статистику просто...
С Sharp: странно,что нигде я не нашел упоминания о таких же случаях... Реально,несколько раз всего давностью от 5 лет,на западных сайтах и без ответа...одному юзеру кинули ссылку на вики и ответ типа..это точно не документ и важно,где конкретно он появился...и все...ни слова больше. А в вики там очень много текста на тему расширения .json,.jsn которым оперируют в случаях противоправных действий. Что легко в код страницы html спрятать кодировку ,написанную с применением eval или evul и бла бла бла)) короче говоря,мне ничего не дала эта инфа
Не нашел программы,которая показала бы кем открыт файл, нужно на том форуме спрашивать. Про html/json не парьтесь. Тут не забудьте отписаться, если разберетесь, удачи. Сброс делать пока не хотите?
С Sharp: я бывал там уже недавно,но вопрос свой не излагал,а по их поиску ключевые слова повбивал...так,ни о чем..нужно залить туда вопрос с кодом,как здесь.
С Sharp: да я не буду сброс делать, наверное...я почти готов впервые прошиться) с 4.2.2 на 5.1.х. Там же и почистить-зачистить можно будет,верно? смысл..? Хотя...при рекавери если вылезет эта дрянь,то это будет вообще не айс
С Sharp: на что пал выбор? Я изначально мельком прочитал, что да как и качнул Blisspop,там человек доходчиво расписал все. А когда устанавливал TWRP еще посмотрел и призадумался...неслабый выбор прошивок)
Кстати,такой вопрос.. У меня busybox установлен,в терминале пишет версию и команды,по карйней мере. Но когда запускаются rom toolbox(в нем собрано лучшее из нескольких ,так автор писал)) он говорит ,что есть обновление,я перехожу по его предложению в busy box installer и он мне предлагает с 1.20.2 до 1.24.2. А вопрос вот в чем: нужно ли при установке что-то менять,а именно : можно поменять permissions,потом отдельно от них еще раз owner и group путь. По умолчанию идет system/xbin/busybox...и он как- то подозрительно спрашивает "а вы УВЕРЕНЫ?" А я не уверен и отмена тапаю там? Нужно менять что-то? И нужен бэкап уже готовый для busybox? Это типа набор утилит,я читал, но так и не понял,где он инсталится,в режиме бут рекавери?
С Sharp: да,я посмотрел сейчас, есть такая команда. Как понять "кем открыт"? Кто его создал/отправил/переслал мне?) прямо так и прописать? Наши продули финам((
uNdray:
Программа,которая пишет в файл jason.html ,скорее всего держит файл открытым, это команда покажет,что это за программа.
нужно выполнить от рута видимо
lsof полныйпутькjason.html
Увы и ах.
С Sharp: он заколдованные по ходу. Я его через рут браузер хотел лишить прав на w ,оставить только r ему, permisson failed говорит... Некоторые системные файлы мешают выполнению операции..во дела,я же su,почему такой глюк,зачем прога со мной заигрывает ..и не выполняет требований, так еще и загадочно "некоторые" а сейчас я пытался через эмулятор это сделать chmod 777 /sdcard тоже косяк какой-то.. -R требует прописать,мол всем кто ниже данной директории...а куда -R непонятно. Как в примере не катит и так нет и эдак
С Sharp: lsof команда покажет программу,которая мутит воду в моей системе.? Исполнил я ее,там огромнейший файл по размеру текста,количеству строк и столбцов,цифр,куча вопросительных знаков!!! Мой ящик часто мелькает в записях ,system/framework . и еще такое наблюдение... Там папки идут одна за другой и каждая по многу раз подряд,по всему содержимому папки. А папки эти com/ все что есть! Если телефон такой же,то сразу поймёшь storage/emulated/0/android/data/ и вот здесь все эти папки,по ним там и расписано через lsof .. И по всему огромному списку,по которому выдал инфу,в каждой папке напротив properties стоит deleted.. Prop -это же свойства ,если не ошибаюсь. Ничего хорошего эта информация точно в себе не несет) Я немного видел таких директорий и их свойств,чтобы утверждать,но выглядит картинка явно больной
Если задать первым аргументом ПРАВИЛЬНО путь к файлу,то будет немного строк. Но при этом файл должен быть открыт в данный момент программой-логгером. Если ничего не задавать -может и все файлы выдаст
Простой
