Frage zum Flash wegen Schädlingen

[cska133]

Hallo,

Wenn man ein Mobilesgerät über Windows (also nicht über dad Boot Menu des Gerätes) flasht,wird die alte ROM, die aktuell drauf ist, überschrieben bzw gelöscht? Oder bleibt sie noch drauf? Ich habe die ROM als .pac Datei, diese sollte ich mittels SP Research Tool und die entsprechenden Treiber flashen. Auf der aktuellen ROM sind in der priv-apps infizierte Systemdateien u.a. in der Einstellungen.apk und diese kann ich löschen. Also wenn ich eine neue firmware flashe, werden die alten Dateien (und eben die infizierten) gelöscht?
Root habe ich in moment nicht. Ändert Root was an dem Flash Prozess und dem Ergebnis nach dem Flashen?

 

[Sunny]

wird die alte ROM, die aktuell drauf ist, überschrieben bzw gelöscht?

Theoretisch ja.
Aber wenn dein System "infiziert" war, würde ich dir auf jeden Fall eine "saubere Installation" empfehlen, soll heißen, wenn es irgendwie geht, würde ich System und vor allem Data vor der neu Installation formatieren.

Ändert Root was an dem Flash Prozess und dem Ergebnis nach dem Flashen?

Je nach Gerät kannst du dann am Handy selber flashen, also mit einer TWRP am besten, hat jetzt nicht unbedingt etwas mit Root an sich zu tun, mehr mit einem offenen Bootloader, gibt dir aber etwas mehr "Kontrolle" beim flashen und die Möglichkeit einfacher Backups zu erstellen.
Rooten solltest du dein Handy nur wenn du weißt was du tust und dir der Risiken auch bewusst bist.
Kommt halt auch immer darauf an, um was für ein Handy es sich handelt.

 

[cska133]

Billiges chinesisches Noname Zeug - wird eigentlich benutzt werden um zu Skypen und Vibern wenn ich im Urlaub bin. Als Telefon wird es nicht verwendet da keine Sim.

Der neue ROM, der ich gefunden habe, ist eine höhere Version und meldet bei Eset und Kaspersky im Windows erneut Alarm, allerdings nicht in settings.apk. Jemand aus dem Malwarebytes Suport hat mir gesagt, dass so ein vergleich nicht aussagekräftig ist, denn die Antivirus Programme habrn unter Windows und Android verschiedene Signaturen. Also werde ich den ROM entpacken und die APKs via Blutooth oder anders vom Laptopn auf das mobile Gerät übertragen und dort mit Android Antivirus Anwendungen scannen.
Ist meine Logik richtig?

Aber wenn dein System "infiziert" war, würde ich dir auf jeden Fall eine "saubere Installation" empfehlen, soll heißen, wenn es irgendwie geht, würde ich System und vor allem Data vor der neu Installation formatieren.

Wie kann man das Telefon formatieren?

 

[funkenwerner]

deine Logik ist nicht ganz richtig, aber die Antwort steht in deinen letzten Post hier Windoof und Android sind 2 Paar Schuhe und nicht vergleichbar, Virenschutz und scann bei Android unnötig, wenn dann gibt es Maleware etc, aber keine Viren, logisch das da WindoofVirenscanner schreit würde ich aber mal Igno...

Ok zum Rest, schau das du TWRP drauf bringst, dann ist alles Einfacher, auch das Formatieren, aber ob dies bei einem NoName geht?

 

[Sunny]

Wie kann man das Telefon formatieren?

Eigentlich damit: SP Research Tool
Dir könnte aber besser geholfen werden, wenn du mir zum einen sagst was für ein Handy es denn nun ist.
Auch den Link zum ROM Download zwecks Scannen hätte ich gerne.

logisch das da WindoofVirenscanner schreit

Genau, drum ist es sinnvoll das ganze mit den richtigen Tools zu machen.
Auf einen Windows Scanner würde ich mich da auch nicht verlassen!

gibt es Maleware etc, aber keine Viren

Naja, das Verhalten wird immer ähnlicher und die Taktiken immer ausgeklügelter.
Linux, Mac und Apple Phones sind mittlerweile ja auch (fast) genauso anfällig wie Windows.
Ob man sie nun Viren oder Malware nennt, ist da eigentlich fast schon egal, das Ergebnis ist das selbe!!

 

[nik]

Auf der aktuellen ROM sind in der priv-apps infizierte Systemdateien u.a. in der Einstellungen.apk

Interessant wäre neben der Antwort auf Sunnys Frage noch, wie du das festgestellt hast.

meldet bei Eset und Kaspersky im Windows erneut Alarm,

Hier wäre das Ergebnis auch interessant, um das entsprechend bewerten zu können. So wäre auch denkbar, dass die beiden Malwarescanner nur Probleme mit dem genutzten Packer hatten, aber gar keinen Schadcode gefunden haben.

Viren oder Malware nennt, ist da eigentlich fast schon egal, das Ergebnis ist das selbe!!

Im allgemeinen Sprachgebrauch mag das stimmen, Malware oder Schadsoftware ist als allgemeiner Oberbegriff richtiger, da Computerviren nur eine Teilmenge der Schadsoftware ist und in den meißten Fällen auch noch falsch genutzt wird.

 

[Sunny]

Malware oder Schadsoftware ist als allgemeiner Oberbegriff richtiger...

Dem ist nichts hinzu zu fügen

 

[cska133]

Also mein Phone ist UTOK Q55.
Das Gerät habe ich natürlich mit Malwarebytes für Android scannen lassen und es wurde folgendes gefunden:

****
* packagename: com.android.tools.msrv
* is application: yes (system)
* malware vendor: Android/Adware.Ewind.mb
****
* packagename: com.android.livcat.d
* is application: yes (system)
* malware vendor: Android/Adware.Xinyinhe
****
* packagename: com.android.ashowchain.a
* is application: yes (system)
* malware vendor: Android/Backdoor.Ztorg.a
****
* packagename: com.adups.fota.sysoper
* is application: yes (system)
* malware vendor: Android/PUP.Riskware.Autoins.Fota
****
* packagename: com.android.settings
* is application: yes (system)
* malware vendor: Android/Trojan.Agent.PG
****
* packagename: com.android.tools.callassistant
* is application: yes (system)
* malware vendor: Android/Trojan.HiddenAds.IP
****

Alle bis auf Settings.apk und Fotaprovider.apk habe ich deaktiviert, bei diesen 2 geht da nicht.
Dann habe ich nach neuen ROMs gesucht.
Den neuen ROM habe ich von hier UTOK Q55 firmware - Firmware. Es gibt auch neuere Version auf needrom.com https://www.needrom.com/download/utok-q55/, aber da darf ich nicht downloaden. Premium Mitglied...vielleicth kann da jemand helfen.

Nee, nicht WindowsVirenscanner, sondern ich habe die neue ROM auf dem Laptop durch ESET und KAspersky Online Scanner laufen lassen. Ich habe den ROM gepackt scannen lassen und auch entpackt - beide haben folgendes gemeldet.

\SYSTEM\app\Gallery2\Gallery2.apk    Variante von Android/Xinyinhe.N potenziell unerwünschte Anwendung
\SYSTEM\priv-app\CallerIdSearch\CallerIdSearch.apk    Variante von Android/Agent.QH Trojaner

Eigentlich damit: SP Research Tool

Zum Flashen belehre ich mich aus dieser Quelle How to flash stock firmware for Android smartphone - Firmware , dann eben mit der SP ResearchTool da ich eine .pac datei habe. Also das was @Sunny sagt, dieses Tool formatiert auch während des Flash Vorgangs , oder muss man da was extra machen?

Ok zum Rest, schau das du TWRP drauf bringst, dann ist alles Einfacher, auch das Formatieren, aber ob dies bei einem NoName geht?

Also TWPR sagt mir nichts ;-/


Soll ich wie gesagt die APK Daten des neuen ROM von Windows auf mob.Gerät übertragen und dort mit Malwarebytes scannen , um zu sehen ob es mehr findet?

Oder wie sind euche Ratschläge?

danke

 

[Sunny]

Oder wie sind euche Ratschläge?

Erst einmal Finger weg von diesem ROM, schaut in der Tat nicht gut aus.
Ich lass das mal Checken, würde da aber schon mal nach einer Alternative suchen.

Gib mir bisschen Zeit, ich Poste das ergebnis hier sobald ich was genaueres weiß.

 

[cska133]

Erst einmal Finger weg von diesem ROM, schaut in der Tat nicht gut aus.

na toll

 

[nik]

Du kannst zumindest die neue ROM flashen und anschließend einen Scan mit Malwarebytes drüber laufen lassen.
Ich rate dir aber, bis auf weiteres keine persönlichen Daten (Logindaten, etc.) auf dem Smartphone einzugeben.

 

[Sunny]

@cska133
Vorschlag, da bei mir sämtliche Alarm Glocken klingeln wenn ich auch nur versuche da was runter zu laden....
Mit Apk Extractor | F-Droid - Free and Open Source Android App Repository kannst du dir die System Apks aus dem ROM extrahieren, dann anschließend die System Apks mit https://www.htbridge.com/mobile/ einzeln analysieren.

 

[cska133]

meinst du die aus dem neuen ROM? Ist das nicht das gleiche als wenn ich die ZIP entpacke, dort sehe ich im Windows explorer die einzelnen Apks. OK, die .pac Datei ist archiviert ja.

Vorschlag, da bei mir sämtliche Alarm Glocken klingeln wenn ich auch nur versuche da was runter zu laden....

meinst du da meldet sich ein AV Programm?

Ich rate dir aber, bis auf weiteres keine persönlichen Daten (Logindaten, etc.) auf dem Smartphone einzugeben.

naja, ich muss mich ja mindestens bei Play Store anmelden und dann will ich eventuell Skype und Viber nutzen. Das sind schon Logindaten

dann anschließend die System Apks mit https://www.htbridge.com/mobile/ einzeln analysieren.

was soll da anders sein als wenn ich mit Kaspersky oder Malwarebytes scanne? oder meinst du am Laptop scannen?

 

[nik]

Play Store anmelden und dann will ich eventuell Skype und Viber nutzen

das kannst du ja machen, wenn dein Smartphone Schadsoftwarefrei ist.
Wenn du vorher deine Login-Daten auf dem Smartphone nutzt, musst du davon ausgehen, dass diese in die Hände von Dritten geraten sind und solltest sie entsprechend erneuern, um einem Missbrauch vorzubeugen.

 

[cska133]

na dann kann ich es für gar nicht verwenden.
Und ich weiß nicht ob dieser ROM schlimmer ist als der aktuelle? Kann ich nach dem Flashen zurück zum jetztigen ROM wiederherstellen und wie?

 

[Sunny]

was soll da anders sein als wenn ich mit Kaspersky oder Malwarebytes scanne?

Weil die von mir oben verlinkte Webseite auf Mobile Apk spezialisiert sind.

meinst du da meldet sich ein AV Programm?

So in der Richtung.

Wenn du vorher deine Login-Daten auf dem Smartphone nutzt, musst du davon ausgehen, dass diese in die Hände von Dritten geraten sind und solltest sie entsprechend erneuern, um einem Missbrauch vorzubeugen.

Ich würde diesen Rat von @nik unbedingt befolgen.
Mir persönlich wäre es aber wirklich zu riskant irgendwelche Login Daten diesem ROM an zu vertrauen.

 

[cska133]

na dann schmeiße ich das Ding weg.
Was kann man denn ohne Playstore und ohne SIM karte mit dem Phone machen?

 

[nik]

na dann kann ich es für gar nicht verwenden.

du sollst ja auch nur einen Test darauf durchführen, um herauszufinden, ob in der vermeintlic offiziellen ROM Schadsoftware vorhanden ist.

Und ich weiß nicht ob dieser ROM schlimmer ist als der aktuelle?

Was soll da noch schlimmer sein? Es ist letztendlich egal, ob da einer oder 5 Trojaner drauf sind. Ab dem ersten ist das Smartphone nicht mehr vertrauenswürdig und sollte gar nicht genutzt werden.

Du kannst dich alternativ natürlich auch an den Support von utok wenden und fragen, ob sie dir einen Download für eine passende Firmware zur Verfügung stellen.
[doublepost=1542911888,1542911759][/doublepost]

na dann schmeiße ich das Ding weg.

Weil? Wenn du das andere Image einspielst, und das in Ordnung ist, kannst du es doch nutzen.
Es geht doch nur darum, erst mal zu prüfen, ob das andere Image vertrauenswürdig ist.

 

[cska133]

Kann ich nach dem Flashen zurück zum jetztigen ROM wiederherstellen und wie?

Du kannst dich alternativ natürlich auch an den Support von utok wenden und fragen, ob sie dir einen Download für eine passende Firmware zur Verfügung stellen.

Utok und Support... haha, hab ich nicht gesehen

Es geht doch nur darum, erst mal zu prüfen, ob das andere Image vertrauenswürdig ist.

aber wie kann ich Malwarebytes ohne Playstore installieren? Ach , ich muss seine APK sichern und extern installieeren, oder?

 

[nik]

nach dem Flashen zurück zum jetztigen ROM wiederherstellen

Nur wenn dir die Version zum Flashen vorliegt oder du ein entsprechendes Backup hast, was ohne TWRP nicht trivial ist.
Aber wieso willst du das überhaupt? Mit der Schadsoftware in der ROM, solltest du sie besser gar nicht nutzen.

ich muss seine APK sichern und extern installieeren

z.B. oder du lädst dir die APK von einem Dienst wie apkmirror.