ओपी ने मेरी सलाह का पालन करते हुए समस्या निवारण के आधार पर, एक सिस्टम ऐप के रूप में मालवेयर सिस्टम नाम से लॉकर
पैकेज नाम com.tihomobi.lockframe.syslocker के साथ दिखाई दिया । समस्या डिवाइस के कुछ उपयोगकर्ताओं के अनुसार , सिस्टम अपडेट के परिणामस्वरूप दिखाई देती है।
सिस्टम ऐप के साथ हमेशा की तरह, अगर आपको सेटिंग्स → ऐप्स → सिस्टम ऐप / सिस्टम ऐप / सभी एप्लिकेशन → अपराधी के तहत डिसेबल विकल्प का उपयोग करने के लिए मिलता है, तो उस ऐप को अक्षम करें, इसे बंद करें या एंड्रॉइड को रिबूट करें। समस्या तब तक हल होनी चाहिए जब तक कि आप डिवाइस रीसेट न कर दें।
समस्या निवारण # १
यहां बताया गया है कि मुझे अपराधी का पता कैसे चला। में-निर्मित Android उपकरण dumpsys अन्य बातों के साथ कौन-कौन से एप्लिकेशन है जो अन्य एप्लिकेशन द्वारा बुलाया गया था। कॉल करने वाले को कॉलिंग पैकेज कहा जाता है।
बशर्ते कि आपके पास सेटअप हो एशियाई विकास बैंक तथा यूएसबी डिबगिंग PC और Android डिवाइस में सफलतापूर्वक, निम्न कार्य करें:
- डिवाइस को पीसी से कनेक्ट रखें
- डिवाइस को रिबूट करें या उस डिफ़ॉल्ट ब्राउज़र ऐप को बंद करें
- मैलवेयर को अपना काम करने दें, यानी ब्राउज़र को स्वचालित रूप से लॉन्च किया जाए
जैसे ही ब्राउज़र लॉन्च किया जाता है, भौतिक रूप से डिवाइस के साथ कुछ भी न करें, लेकिन पीसी पर निम्नलिखित एडीबी कमांड चलाएं:
adb shell dumpsys activity activities
यहाँ ओपी के डिवाइस से आउटपुट है :
गतिविधि प्रबंधक गतिविधियाँ (गतिविधि गतिविधियाँ बंद हो जाती हैं)
प्रदर्शन # 0 (ऊपर से नीचे तक की गतिविधियाँ):
स्टैक # 1:
टास्क आईडी # 2
* TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
userId = 0 प्रभावीयूआईडी = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
आत्मीयता = android.task.browser
आशय = {अधिनियम = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9w8383884sg67y1acw3z56z90 और s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3 डी% 3 डी फ़्लो फ़्लिप करें। ब्राउज़र cmp = com.android.browser / .BrowserActivity}
realActivity = com.android.browser / .BrowserActivity
...
...
हिस्ट # 0: एक्टिविटीकार्ड {66cd59b u0 com.android.browser / .BrowserActivity t2}
packageName = com.android.browser processName = com.android.browserLaunchFromUid
= 10026 लॉन्च किया गया FromPackage = com.tihomobi.lockframe.syslocker उपयोगकर्ता II = 0
app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
आशय {अधिनियम = android.intent.action.VIEW Dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D FLG = 0x10000000 pkg = com.android.browser cmp = com.android.browser / .BrowserActivity}
आउटपुट में:
- com.android.browser आपके डिवाइस में स्टॉक एंड्रॉइड ब्राउज़र का पैकेज नाम है
- com.tihomobi.lockframe.syslocker मालवेयर ऐप का पैकेज नाम है और इसे कॉलिंग पैकेज कहा जाता है।
यदि आपको मैलवेयर मिल गया है, तो अगली समस्या निवारण से बचें और शीर्षक Nuke मैलवेयर पर जाएं ।
समस्या निवारण # २
( यहां पोस्ट किए गए एक डुप्लिकेट के जवाब में - अपराधी ऐप फ़ार्मिंग सिम्युलेटर 18 था )
कुछ परिस्थितियों में, पूर्वोक्त समस्या निवारण मदद करने में सक्षम नहीं हो सकता है, जैसे कि जब पैकेज का नाम कॉलिंग होता है, तो ब्राउज़र का पैकेज नाम खुद को डिप्स आउटपुट में दिखाया जाता है। उस मामले में, पसंद करते हैंlogcat। इस तरह सेटअप लॉगकट:
adb logcat -v लंबी, वर्णनात्मक | grep "dat = http" # आप URL से कुछ भी प्राप्त कर सकते हैं। यह विशुद्ध रूप से आप पर निर्भर है।
adb logcat -v long, वर्णनात्मक> logcat.txt # विकल्प; अगर आपके OS में grep स्थापित नहीं है। अब आपको उस फ़ाइल में खोज करने की आवश्यकता है।
अब डिवाइस को अनलॉक करें और उस URL वाले ब्राउज़र को अपने आप लॉन्च होने दें। इसके अलावा, यदि आप आउटपुट को किसी फ़ाइल में सहेज रहे हैं तो उसके Ctrlसाथ दबाएँ C।
हम जो उत्पादन चाह रहे हैं, वह इसके समान होगा:
[११-२ 03 १६: ०३: २२.५ ९ २४ ९९: ६५३६ आई / एक्टिविस्टमैनेजर]
START u0 {अधिनियम = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox /App}।
से uid 10021
...
[११-२ 03 १६: ०३: २२.६४ 34 ३४ ९९: १५२३ / मैं / गतिविधि प्रबंधक]
START u0 {अधिनियम = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.geck.BrowserApp}
से यूआईडी 10,331
दो हाइलाइट किए गए यूआईडी 10021 और 10331 देखें। उनमें से एक ब्राउजर ऐप लॉन्च करने के लिए है। तो, कैसे पता करें कि क्या है?
यदि आपने रूट एक्सेस किया है , तो बस करें:
adb shell su -c 'ls -l / data / data / | grep u0_a 21 '
adb shell su -c 'ls -l / data / data / | grep u0_a 331 '
आउटपुट इस तरह होगा:
drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:20 com.tihomobi.lockframe.syslocker
यदि आपके पास रूट एक्सेस नहीं है , तो करें:
adb shell dumpsys package > packages_dump.txt
अब अपने यूआईडी के साथ लाइन की खोज करें जैसे कि "userId = 10021" और "userId = 10331"। खोज की गई रेखा के ऊपर की रेखा आपको पैकेज का नाम देगी, और कुछ इस तरह दिख सकती है:
पैकेज [ com.android.chrome ] (172ca1a):
userId = 10021
...
पैकेज [ com.tihomobi.lockframe.syslocker ] (172ca1a):
userId = 10,331
दो पैकेज नाम com.android.chrome (क्रोम ब्राउज़र के लिए - निश्चित रूप से मैलवेयर नहीं हैं) और com.tihomobi.lockframe.syslocker हैं । पैकेज के नाम से ऐप का नाम जानने के लिए, यहां मेरे उत्तर का उपयोग करें ।
मालवेयर न्युक
अब जब आप अपराधी को जानते हैं, तो आप इसे GUI के माध्यम से अक्षम कर सकते हैं जैसा कि ऊपर कहा गया है। यदि यह संभव नहीं है, तो करें:
adb शेल pm अक्षम-उपयोगकर्ता PKG_NAME # ऐप अक्षम करता है
adb shell pm uninstall --user 0 PKG_NAME # प्राथमिक उपयोगकर्ता के लिए ऐप को हटा देता है
adb शेल एमकेजी-# को बलपूर्वक रोक देता है # एप को केवल बलपूर्वक रोकता है
उपरोक्त समस्या निवारण में आपके द्वारा नोट किए गए मैलवेयर के पैकेज के नाम के साथ PKG_NAME बदलें ।
यह ट्रिक काम आना चाहिए। इसके अलावा, आप सभी उपयोगकर्ताओं के लिए स्थायी रूप से मैलवेयर ऐप को हटाने पर भी विचार कर सकते हैं, लेकिन इसके लिए रूट एक्सेस की आवश्यकता होती है।