Tablet ohne Marke, mit Virus wiederherstellen?

[Crank436]

Hallo,

Mein Opa hat mich gebeten, dass ich mir mal sein Tablet anschaue. Das Problem dabei ist nämlich, dass es ständig irgendwelche Apps von selbst installiert und Werbung anzeigt. Ich hab dann mal Avira runtergeladen und einen Scan laufen lassen. Avira findet Malware in einer App namens "Hardware Check" welche man nicht deinstallieren kann, und in "SDK Client". Wenn ich die Malware entferne, das Tablet neu starte und den Scan nochmals ausführe ist die Malware einfach wieder da. Ich persönlich habe noch nie Android verwendet, aber irgendwas stimmt doch da nicht oder?
Was mich auch noch wundert ist, dass weder auf dem Tablet noch auf der Verpackung ein Hersteller steht.
Außerdem kann ich das Gerät nicht aktualisieren. Laut "Über das Tablet" ist Android 4.4.2 installiert. Es gibt außerdem den Menüpunkt Wireless Update, jedoch bekomme ich immer die Fehlermerldung "Cannot connect to the network. Retry?".

Wie gehe ich bei diesem Problem nun vor? Wenn ich das Gerät über die Einstellungen auf den Werkszustand zurücksetze besteht das Problem mit der Werbung und den Apps die ständig aus dem Nichts auftauchen weiterhin.

Falls das im falschen Bereich steht tuts mir leid, ich wusste nicht genau wohin damit. Wenns geht dann bitte verschieben

 

[Sunny]

Hallo und guten Abend @Crank436
Du könntest dir mal den Stubborn Trojan Killer von playstore holen und laufen lassen.
In der Zwischenzeit kannst du mal in den Einstellungen unter "über das Telefon/Tablet" schauen was du für ein Gerät vor dir hast.
Berichte dann bitte.....

Spoiler: Screenshot

(habe mich da nicht klar ausgedrückt) sorry, also welches build, welcher kernel usw.

LG
Sunny76

 

[Crank436]

Hab die App probiert: Nach dem Scan wird ein "General Trojan" gefunden (wie bei Avira in SDK Client). Sobald ich auf KILL drücke stürzt das Gerät mit einem Android Schriftzug ab. Kurze Zeit später startet es wieder und in der App steht: "Killing process failed last time, better scan now". Wenn man erneut scant passiert wieder das gleiche.

Hab ein Foto von "Über das Tablet" in den Anhang.

Danke für die schnelle Antwort

 

[Sunny]

Habe es gefunden, ist ein:
"MR Tab MT 1002 dual core mit 1,5GHZ und 1GB RAM.....
Aber das hilft uns nicht weiter.
Es ist ein....sehr günstiges Tablet aus Indien. Ich konnte leider keine Software auf die schnelle für eine neu Installation finden.
Das soll nicht heißen das es keine gibt. Dauert nur ein bisschen etwas zu finden.
Aber leider habe ich damit 80% schlechte Erfahrungen gemacht.
Also bleibt als sicherste (und einzige) Lösung da die Software vom Playstore nix gebracht hat ein manuelles entfernen. Dazu brauchen wir aber Root Zugriff. Dennoch Root zu bekommen ohne die passende Software wird sehr schwer bis unmöglich (für mich) .....da muss ich passen.
LG
Sunny76

 

[magnar]

Hier scheint nur ein kompletter Reflash mit Neupartitionierung und -Formatierung zu helfen. Die Malware hat offensichtlich das Userland und wahrscheinlich auch den Bootloader infiziert.

 

[moidept]

Könnte es eventuell ausreichen, über das recovery ein "wipe data factory reset" zu machen?
[doublepost=1479974384,1479974277][/doublepost]Und dann noch mal schauen ob der "General Trojan" noch vorhanden ist.
[doublepost=1479974525][/doublepost]

Nach dem Scan wird ein "General Trojan" gefunden

Kannst du Exakte Bezeichnung nennen?

 

[mausbock]

Mein Papa hatte auch mal so nen Billigtablet aus der tschechischen Grenzregion. Die Teile werden von vornherein mit diesem Werbemüll vollgestopft. Wir haben immer wieder versucht, das einigermaßen zu entfernen. Eine werbefreie Firmware ist praktisch nicht zu finden. Schlussendlich wurde dann ein ordentliches Tablet gekauft.
Wer billig kauft, kauft zweimal.

 

[Sunny]

@mausbock
Genau deswegen lass ich die Finger davon. Etwas zu finden das auf dieses Tab passt wird schwer. Und wenn dann ist es vermutlich auch wieder ne verseuchte Hindu, China oder sonstwas Version.
LG
Sunny76

 

[magnar]

Könnte es eventuell ausreichen, über das recovery ein "wipe data factory reset" zu machen?
[doublepost=1479974384,1479974277][/doublepost]Und dann noch mal schauen ob der "General Trojan" noch vorhanden ist.
[doublepost=1479974525][/doublepost]
Kannst du Exakte Bezeichnung nennen?

Der Factory-Reset nutzt den infizierten Bootloader, welcher nach dem Reboot und Onlinegang den Trojaner aus einem Botnet nachlädt.

 

[moidept]

Wenn dieses Tablet nicht zu Teuer war, (auch wenn es sich Hart anhört), würde ich mich davon Trennen.
Ist zwar keine Lösung in dem sinne, aber wer soll diesem Gerät noch vertrauen schenken...

 

[Sunny]

@moidept
Lieber ein Ende mit Schrecken als ein Schrecken ohne Ende [emoji3]
Wer weiß ob das Ding nicht heimlich noch Nutzerdaten nach Indien schickt oder sonstwohin

 

[moidept]

Genau das war auch meine Intention.

 

[rudolf]

Bei Android 4.4.2 kannst du doch mal probieren mit der framaroot App zu rooten. Klappt das, dann kannst du mit derRoot Uninstaller App die bösewichte wegputzen.

 

[Crank436]

Vielen dank für die zahlreichen Antworten
Ich hatte leider viel zu tun und kam vorher noch nicht dazu es mir anzuschauen.

@magnar Ist das ohne die passende Software überhaupt möglich?

@moidept Hab mal alles was die App ausgespuckt hat in den Anhang. Außerdem erscheint während des Scans ein roter Totenkopf bei Root Nik Trojan.

@all Ich bin natürlich ganz eurer Meinung, versteht mich nicht falsch. Aber meinem Opa ist das (leider) nicht so wichtig. Er meint er klickt lieber die Werbung weg bevor er Geld in ein neues Gerät investiert. Und als ich meinte, dass möglicherweise Private Daten verschickt werden, meinte er nur das da eh nicht wirklich was privates drauf ist... Aber irgendwie würde ich ihm schon gerne helfen.

@rudolf Hab ich probiert, leider bekomme ich bei allen exploits die selbe Fehlermeldung: "Failed ... Try another exploit if available (Error #9)"

 

[Cynob]

Hab den Thread gerade erst gesehen - Android 4? Ich wüsste da vll was ( also ich spiel zur Zeit viel mit aktuellen Exploits rum um Android 6 zu knacken ( was dank SELinux noch nicht so gefruchtet hat)
SELinux gibts aber erst seit 5.x - also müssten die Exploits funzen Man bekommt zwar nicht dauer- root aber man müsste den Trojaner entfernen können.
Das ganze ist/wär aber proof of concept - also keine 1Klick Lösung und keine Garantie das es geht

Zuerst musst du die adb über die Entwickleroptionen anschalten können und das Gerät mit dem PC verbinden - geht das?

 

[Crank436]

Ich denke mit adb ist USB-Debugging gemeint oder? Das konnte ich auf dem Tablet aktivieren. Habs dann mit Windows verbunden und es wurde installiert.

Das Gerät hieß während der Installation "mt65xx android phone" und danach "YunOS ACB Interface".

Auf dem Tablet in den Benachrichtigungen steht auch USB Debugging

 

[Cynob]

ok inwieweit kannst du programmieren? ich mein ich kann jetzt nur links posten oder weeeit ausholen wie ists dir lieber?

 

[Crank436]

Bin im ersten Semester Informatik, kann nur etwas Java schreiben. Also wäre weit ausholen wahrscheinlich besser

 

[Cynob]

ich mach das nur als Hobby - Beruflich mach ich eigentlich was ganz anderes.
Naja zurück zum Thema:

hier hab ichs schonmal beschrieben wie man den Bug ausnutzt Sony Xperia TA-Backup/Restore-Tool für Linux/Mac

Im Prinzip benutzt du den exploit im Kernel um die run-as in /system/bin mit ner gepatchten auszutauschen - die darf mit root rechten laufen.
Vielleicht kann man somit bei Android 4 auf /data zugreifen um die Software loszuwerden.

Ich könnts versuchen dir zu kompilieren - kann aber schlecht testen obs geht da mein Zielsystem Android 6.0.1 undn 64bit Prozessor ist.

 

[Crank436]

Hab mir jetzt ein paar mal durchgelesen was in dem Link steht. Um ehrlich zu sein blick ich da nicht wirklich durch.
Angenommen zu kompilierst mir das, wie gehe ich dann vor?