Пришлите еще содержимое раздела /sbin
Запустил проверку про версией, пишет еще полтора часа.
Отправлено 16 Апрель 2019 - 17:26
Пришлите еще содержимое раздела /sbin
Запустил проверку про версией, пишет еще полтора часа.
Отправлено 16 Апрель 2019 - 18:10
Wiking007, в прошивке:
/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin
/system/priv-app/CallerIdSearch - Android.Mobifun.14
/system/priv-app/RockClient - Android.HiddenAds.256
Лучше получить рут, затем удалить эти приложения, потом сделать полную проверку антивирусом, на случай если они успели что либо загрузить.
Отправлено 16 Апрель 2019 - 18:16
Про версия нашел 9 вирусов и все удалил, но буквально сразу прилетел еще вирус(
https://drive.google.com/open?id=1crbwy_FUEwdPKaKPdbF8On6aY6XHix3U
Отправлено 16 Апрель 2019 - 18:30
Wiking007, как вариант, можно после того как удалите вирусы - сбросить к заводским, удаленные приложения не должны развернуться после сброса (не из чего). Тут и будет видно, ставится новое или нет. Но это уже добивающий удар, предполагаю.
Отправлено 16 Апрель 2019 - 18:44
/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin/system/priv-app/CallerIdSearch - Android.Mobifun.14
/system/priv-app/RockClient - Android.HiddenAds.256
Это все уже давно удалено.
Отправлено 16 Апрель 2019 - 18:58
Wiking007, как вариант, можно после того как удалите вирусы - сбросить к заводским, удаленные приложения не должны развернуться после сброса (не из чего). Тут и будет видно, ставится новое или нет. Но это уже добивающий удар, предполагаю.
Если приложения ставятся сами собой то сброс к заводским настройкам уже помочь не сможет. Т.к. сброс не затрагивает системный раздел.
Отправлено 16 Апрель 2019 - 19:05
Эти 3 вируса есть в чистой прошивке, но у меня на телефоне они удалены. Вероятно они не главная беда, скорее что то легальное тянет, не вирус(
Отправлено 16 Апрель 2019 - 19:14
/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin/system/priv-app/CallerIdSearch - Android.Mobifun.14
/system/priv-app/RockClient - Android.HiddenAds.256
Это все уже давно удалено.
Это то что изначально было в прошивке. Триаду скорее всего подцепили в процессе эксплуатации телефона или ее загрузил один из этих троянцев, поэтому перепрошивка может помочь. Пришлите содержимое раздела /sbin.
Отправлено 16 Апрель 2019 - 19:17
Раздел /sbin и скриншоты того, что нашел антивирус про версии с рутом.
https://drive.google.com/open?id=1crbwy_FUEwdPKaKPdbF8On6aY6XHix3U
Отправлено 16 Апрель 2019 - 20:18
Wiking007,
\sbin\bood infected with Android.Triada.3498
\sbin\skernel infected with Android.Triada.3499
Это они качают приложения и отображаются как System в приложении для перехвата трафика.
Завтра с обновлением баз они должны начать детектится. Нужно сделать полную проверку в Pro версии и удалить эти файлы через антивирус.
Можете попробовать удалить ее сами, но может не получиться. У троянца скорее всего есть резервные копии и он может из них сразу восстанавливаться. Если в итоге не получится полностью удалить этот троянец, то завтра напишу инструкцию по удалению. Вот инструкция по удалению похожих троянцев: https://forum.drweb.com/index.php?showtopic=323895&p=796831
Изначально в прошивке этого троянца нет. Поэтому перепрошивка тоже должна помочь.
Сообщение было изменено Sergey Bespalov: 16 Апрель 2019 - 20:25
Отправлено 17 Апрель 2019 - 10:49
Удалил эти файлы, после перезагрузки они восстановились, удалил опять. Антивирусом проверил, ничего. Оставил на ночь перехват трафика. Около часу ночи услышал, как сработал антивирус, засветился экран и долго не гас, пришлось вставать и смотреть) На экране была реклама на весь экран, когда ее закрыл, то увидел, что com.buddyliky.copr.share просит рут доступ, я отказал, утром опять на весь экран реклама, в папке /sbin нет тех двух файлов. Перехват пакетов захватил почти полторы тысячи запросов, еще не разбирал что там.
Отправлено 17 Апрель 2019 - 11:52
Wiking007, А процессы троянцев висят? в терминале:
ps | grep bood
ps | grep skernel
Антивирусом проверил, ничего.
- полная проверка pro версией? Если будете делать снова проверку, обновите на всякий случай базы вручную.
Нужно сделать полную проверку про версией с предоставлением рута антивирусу что бы найти его резервные копии в других разделах.
Отправлено 17 Апрель 2019 - 12:00
В терминале на команды ничего не пишет. Проверка была Про версией с рут доступом. Сейчас постоянно вылазит ошибка В приложении "cnn.flush.vichs.dms.acty" произошла ошибка.
Отправлено 17 Апрель 2019 - 12:17
Wiking007, а само приложение cnn.flush.vichs.dms.acty удалено?
при полной проверки нашлись Android.Triada.3498, Android.Triada.3499?
Должно быть по такому же пути как и раньше /system/priv-app/Vich8600018.apk
Сообщение было изменено Sergey Bespalov: 17 Апрель 2019 - 12:20
Отправлено 17 Апрель 2019 - 12:29
Сделал скриншоты, как выглядит реклама, 2 вируса найденные ночью, ошибка и 2 вируса в папке Temp найденные только что. Vich8600018.apk удалил вручную вчера еще.
Сообщение было изменено Wiking007: 17 Апрель 2019 - 12:31
Отправлено 17 Апрель 2019 - 12:37
Немного просмотрел логи, примерно когда ночью сработал антивирус System скачал несколько мегабайт.
Отправлено 17 Апрель 2019 - 12:59
Wiking007, если выдается подобная ошибка, значит троянец /system/priv-app/Vich8600018.apk скорее всего был восстановлен после удаления. Вы проверили что сейчас его нет?
Отправлено 17 Апрель 2019 - 13:19
Ошибка вылазит если удалить Vich8600018.apk вручную, если перегрузить телефон ошибка пропадает иногда он сам перегружается. Только что проверил антивирусом, Vich8600018.apk наместе и оба файла наместе в папке /sbin и в папке temp файл появился.
https://drive.google.com/open?id=15ByZUR4Q7XJGVFxBebRUfFeiWm0aB9kW 4 файла найденные в папке data-local-temp/
Отправлено 17 Апрель 2019 - 13:59
Удалил эти 4 вируса в антивирусе, при удалении Vich написало, ошибка при удалении, сам apk не удалился, удалил вручную и сразу выскочило сообщение с ошибкой.
Если перегрузить телефон, bood и skernel опять появляются.
Отправлено 17 Апрель 2019 - 14:09
Wiking007,
Скиньте список запущенных процессов
в терминале вбиваете:
su
ps > /sdcard/Download/procs.txt
список процессов должен сохраниться в файл "procs.txt".
0 пользователей, 1 гостей, 0 скрытых