https://yadi.sk/d/EaI-sARk3Ao2MfБЭКАП ПРОШИВКИ
com.google.keyguard Android.Loki.10.origin
#21
Отправлено 25 Январь 2017 - 12:16
#22
Отправлено 25 Январь 2017 - 17:38
Android.Loki.19.origin ОБНАРУЖИВАЕТСЯ ВИРУС АНТИВИРУСНИКОМ, ПРИЛОЖЕНИЕ ПОСТОЯННО УСТАНАВЛИВАЕТСЯ САМО, КАК НАЙТИ ПРОЦЕС КОТОРЫЙ ЕГО ЗАПУСКАЕТ? КАК ВЫЛЕЧИТЬ, КРОМЕ ПЕРЕПРОШИВКИ
https://yadi.sk/d/EaI-sARk3Ao2MfБЭКАП ПРОШИВКИ
По какому пути обнаруживается данный вирус? Скиньте пжл этот детектируемый файл.
#23
Отправлено 26 Январь 2017 - 06:42
в антивирусние показывает
Android.Loki.19.origin (имя пакета: com.adroid.appkeyguard АПК: /data/app/com.android.appkeyguard-1.apk)
Android.loki.36 (/system/bin/xalco)
Android.Loki.35(/system/lib/liby.so)
#24
Отправлено 26 Январь 2017 - 10:34
flymouse, Android.loki.36, Android.Loki.35 пока не удляйте. У вас были модифицированы системные библиотеки, и если удалить эти трояны, то телефон в кирпич превратится.
Нужно в /system/lib/ заменить библиотеки libcutils, liblog, libm, libz на оригинальные, из прошивки. И права доступа у них должны быть как у старых (chmod 644 обычно).
Можете найти оригинальные либы сами, или я скину позже.
Самый безопасный способ - перепрошивка.
#25
Отправлено 26 Январь 2017 - 16:29
flymouse, Ссылка на чистые библиотеки: https://yadi.sk/d/6uVOft9s3B3XrY
Замените в /system/lib/ библиотеки libz.so, libm.so, libcutils.so и liblog.so этими файлами. После этого можно будет удалить liby.so и /system/bin/xalco
#26
Отправлено 27 Январь 2017 - 07:02
а если этот вирус был изначально в прошивке, то сброс к заводским настройкам приведет к появлению этого вируса опять?
#27
Отправлено 27 Январь 2017 - 07:17
как можно самому узнать какие библиотеки модифицированы?
#28
Отправлено 27 Январь 2017 - 12:25
flymouse,
1. Сброс к заводским настройкам в системном разделе ничего не меняет, поэтому после него ничего не изменится - если вирус был, он останется, если небыло, то не появится.
2. Что бы самому отследить изменения, нужно обладать определенными навыками, вот статья про троян, который у вас: https://news.drweb.ru/show/?i=10341&c=5&lng=ru&p=0
Модифицированы у вас те библиотеки, про которые написали выше.
#29
Отправлено 05 Апрель 2017 - 12:33
Свежачок принесли
CureIT не детектит прилично, в частности
priv-app\BQBQS-4010*
priv-app\check-1.apk
priv-app\com_android_goglemap_services.apk
priv-app\com_shz_ddl.apk
priv-app\com_zib*
priv-app\Sll800031.apk
Научилась скотина постоянно перемонтировывать /system в read-only
Удалять файлы приходится через mount -o remount,rw /system;rm com_android_goglemap_services.apk
Архив system
https://yadi.sk/d/x_RimIoT3Gg97j
Пароль virus
#31
Отправлено 05 Апрель 2017 - 12:41
Зверей сразу отправляйте в вирлаб. А из открытого доступа уберите.
Было бы неплохо лимит там увеличить
У меня архив 260 Мб
И кому оно вредит в открытом доступе?
Для удаления нужен chattr
Busybox из APK обновить не удалось
Пришлось скинуть вручную бинарник с 4pda в /system/xbin
И сделать линк ln -s busybox chattr
Сообщение было изменено Udavf: 05 Апрель 2017 - 12:45
#32
Отправлено 05 Апрель 2017 - 15:28
Вообщем почти все очистил, в /system/etc/ создаются постоянно файлы
install-recovery.sh
install-cm-recovery.sh
install_recovery.sh
Не могу понять откуда ноги растут
#33
Отправлено 05 Апрель 2017 - 15:52
Почти все вами названное успешно детектируется, причем записи довольно старые. Проверьте актуальность баз.
BQBQS-4010-76.apk - Android.Triada.123.origin
com_android_goglemap_services.apk - Android.Triada.121.origin
com_shz_ddl.apk - Android.Triada.176.origin
Добавил и станут детектироваться с ближайшим обновлением баз:
check-1.apk - Android.Triada.242.origin
e0273e55aada29807ed194e795be2ca4.apk - Android.HiddenAds.90
#34
Отправлено 05 Апрель 2017 - 18:46
Странно, сегодня скачал cureit, или у вас раздельные базы для телефона и компьютера?
#35
Отправлено 05 Апрель 2017 - 19:14
Udavf, CureIt включает в себя мобильные базы. Включите в настройках проверку архивов.
Сообщение было изменено I.Zhilyakov: 05 Апрель 2017 - 19:15
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых