67 ответов в этой теме

[PrinceOFF]

Здравствуйте, прошу помощи!

 

Сегодня начал самопроизвольно загружаться файл 10001_1.jar на телефон. Dr.Web Security Space при сканировании выявил две проблемы - Philips Launcher, который изначально предустановлен в системе и иногда гадит всякой рекламой (как его удалить, кстати?) и Android.Triada.63, который, судя по всему, при включении интернета загружает файл 10001_1.jar в папку на карте памяти /storage/storage0/thirdapp/ При удалении этой папки, она автоматически появляется снова, куда и загружается вышеуказанный jar-файл если включить интернет-соединение.

 

Что я сделал:

1. Сделал сброс на заводские настройки - не помогло.

2. Установил KingRoot и получил root-права.

3. Установил Root Explorer, который, тем не менее, может зайти не во все папки (например, в /sbin не заходит, просит какую-то усовершенствованную версию программы).

3. Установил Эмулятор терминала.

 

Прошу помощи, какие действия дальше?

 

 

Смартфон Philips V377, android 5.1

[Sergey Bespalov]

PrinceOFF, Android.Triada.63 детектится в разделе /system? Попробуйте удалить ее с помощью Dr.Web Security Space, предоставив ему root.
Если есть детект в launcher, то нужно установить сторонний лаунчер из google play и сделать его лаунчером по умолчанию, после чего удалить детектируемый файл. После удаления системного ланчера нельзя сбрасывать к заводским настройкам т.к. после этого телефон не будет загружаться. Можно копировать сторонний лаунчер в /system/app, тогда будет можно.
Можно посмотреть чистую прошивку на 4pda, филипсы легко прошиваются. https://4pda.ru/forum/index.php?showtopic=709585

[PrinceOFF]

PrinceOFF, Android.Triada.63 детектится в разделе /system?

Извините, не понял что значит детектируется?

Угроза обнаруживается только в виде того jar-файла, который я указал выше. Никаких других определений Dr.Web Security Space не находит... Хотя они есть где-то, если после удаления джаровского файла он опять загружается...

 

 

предоставив ему root.

Каким образом это сделать? В настройках не нашел такой опции.

Сообщение было изменено PrinceOFF: 02 Май 2017 - 21:18

[PrinceOFF]

 

 

Можно посмотреть чистую прошивку на 4pda, филипсы легко прошиваются. https://4pda.ru/forum/index.php?showtopic=709585

Если прошить телефон другой прошивкой, то де-факто от вируса я избавлюсь, верно я понимаю?

P.S. правда, это не застрахует от того, что этот вирус опять словится...

Сообщение было изменено PrinceOFF: 02 Май 2017 - 21:24

[Sergey Bespalov]

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

Скопируйте файлы по этой инструкции.

[Александр Брусков]

Коллеги, позавчера в это же время столкнулся с аналогичной проблемой...на таком же телефоне.

Есть шанс вылечиться от этого вируса?

Сообщение было изменено Александр Брусков: 04 Май 2017 - 09:23

[Александр Брусков]

 

 

 

Можно посмотреть чистую прошивку на 4pda, филипсы легко прошиваются. https://4pda.ru/forum/index.php?showtopic=709585

Если прошить телефон другой прошивкой, то де-факто от вируса я избавлюсь, верно я понимаю?

P.S. правда, это не застрахует от того, что этот вирус опять словится...

 

Как ваш телефон на данный момент?

[Sergey Bespalov]

Александр Брусков, PrinceOFF, Необходимо найти кто изначально качает троян. Нужно просмотреть приложения установленные у вас, для этого я выложил инструкцию выше.
Если у вас детектится троян в Philips Launcher

то

1. Скачайте сторонний лаунчер. Например google start https://play.google.com/store/apps/details?id=com.google.android.launcher&hl=ru
2. Нажмите home, выбираете новый лаунчер, "использовать всегда"

3. Получаете рута с помощью kingroot https://4pda.ru/forum/index.php?showtopic=571948

4. С помощью менеджера файлов с поддержкой рута (root explorer) удалить папку лаунчера из/system/app или /system/priv-app (точный путь к трояну пишется в антивирусе, при детекте)
5. Шаг не обязательный, но желательный, что бы небыло проблем в будущем. Закинуть apk другого лаунчера в /system/app, сам apk будет находится по примерно такому пути: /data/app/com.google.android.launcher/base.apk , можно копировать всю папку.

[qwerty15]

Александр Брусков, PrinceOFF, Необходимо найти кто изначально качает троян. Нужно просмотреть приложения установленные у вас, для этого я выложил инструкцию выше.
Если у вас детектится троян в Philips Launcher

то

1. Скачайте сторонний лаунчер. Например google start https://play.google.com/store/apps/details?id=com.google.android.launcher&hl=ru
2. Нажмите home, выбираете новый лаунчер, "использовать всегда"

3. Получаете рута с помощью kingroot https://4pda.ru/forum/index.php?showtopic=571948

4. С помощью менеджера файлов с поддержкой рута (root explorer) удалить папку лаунчера из/system/app или /system/priv-app (точный путь к трояну пишется в антивирусе, при детекте)
5. Шаг не обязательный, но желательный, что бы небыло проблем в будущем. Закинуть apk другого лаунчера в /system/app, сам apk будет находится по примерно такому пути: /data/app/com.google.android.launcher/base.apk , можно копировать всю папку.

 

здравствуйте! позавчера появилась точно такая же проблема. что было сделано мной:

1. установка dr. web для обнаружения вируса

2. установка kingroot, все прошло успешно

3. установка root explorer

 

однако удалить файл невозможно через root explorer и невозможно через terminal, так как выскакивают сообщения "системный файл" или "файл доступен только для чтения". тем не менее, рут есть. что делать - не понимаю. написано где-то, что можно перемонтировать файл в самом root explorer через кнопку -RW, но у меня нет такой кнопки (новейшая версия приложения). пишут, что можно сделать то же самое через terminal, но я не могу найти конкретной команды для этого (и вообще не понимаю, что значит "перемонтировать" файл") . пожалуйста, посоветуйте что-нибудь. 

 

p.s. та же самая проблема с невозможностью изменить системную папку возникает при попытке перенести apk файл стороннего лаунчера

[Arakka]

Добрый день,

полностью аналогичная проблема! Скачивается файл 10001_1.jar в папку на карте памяти /storage/storage0/thirdapp/ или/и в такую же папку на устройстве. ДрВеб Securite Space Pro вопит о найденом вирусе android.triada.63, спокойно его убивает, файл тут же (или не тут же) скачивается туда же снова, иногда в ту же секунду, иногда через день... Нигде ничего больше сканер не находит, другие антивиры не находят ничего вообще. Нигде больше вирусов не детектится. Кроме Kingo Root и терминала больше ничего не стоит, сбрасывал до заводских настроек в Recovery mode, вирус появляется снова. Файл могу удалить обычным менеджером фалов с правами суперюзера, но толку?!

Причем тут лаунчер я не понял, антивир в нем вирусов не находит!!! Вот если б в нем детектился вирус - и разговор был бы другой. 

К сожалению на мой аппарат прошивки нет, и вряд ли появится. Хотелось бы вылечиться

Сообщение было изменено Arakka: 04 Май 2017 - 16:24

[DimonSB]

Товарищи, у меня такая же проблема и у меня тоже телефон philips Xenium V377

[Sergey Bespalov]

Arakka, нужно найти что за приложение скачивает этот файл. Для этого:

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

[qwerty15]

привет еще раз всем товарищам по несчастью! я еще немного покопалась в инете, в итоге, кажется, смогла устранить проблему. может, она снова появится - не знаю, но я смогла удалить файл PhilipsLauncher.apk, хотя до этого у меня никак не получалось это сделать. я даже перезагрузила телефон, чтобы проверить еще раз - ничего не появилось снова, рекламные баннеры в затишье.

 

в общем, я ко всем предыдущим действиям (установка dr. web для обнаружения вируса и установка kingroot) добавила только установку total commander на андроид, который помог удалить PhilipsLauncher.apk в директории /system/priv-app/PhilipsLauncher. для уверенности снова проверила весь телефон - ничего не находит! надеюсь, кому-то этот способ тоже поможет. только имейте в виду, что я не специалист, выполняла действия методом подбора, поэтому не могу знать наверняка. но будем надеяться, что вирус не вернется. 

 

еще хочу заметить, что не делала ресет телефона, потому что почитала, что этот способ не помогает. 

[Arakka]

Сделал, вот ссылки на архивы:

https://yadi.sk/d/xBvJfx0s3Hfs7R

При архивировании папки /system/ RAR ругался что у него нет доступа к некоторым подпапкам, "Не удалось прочесть содержимое

/system/lost+found/*

/system/bin/6620_louncher

и т.д. 

permission denied

Это нормально?

[kovalskyi]

Здравствуйте. Аналогичная проблема. Прошу помогите. У меня lenovo p1c58. Android 6. Права root получить не получилось. Как избавиться от этой напасти???

[fractal.hunter]

Смартфон Philips V377, android 5.1 Та же проблема: самоскачивающийся 10001_1.jar  и Philips Launcher инфицирован Android.triada.63. Root права получить не удалось. Пытался удалить вся папку /system/priv-app/PhilipsLauncher и она не удалилась, но из неё удалились какие-то файлы, после этого удалил снова 10001_1.jar и он перестал скачиваться снова. До попытки удаления папки он скачивался сразу же. qweerty15, спасибо, твой способ сработал.

Сообщение было изменено fractal.hunter: 04 Май 2017 - 21:55

[rnt]

Всем доброй ночи!

Philips V377. Проблема та же: баннеры, и скачивающийся постоянно 10001_1.jar.

Среди баннеров проскочил один с таким содержанием:

"Ваше ПО необходимо срочно обновить, иначе в течении 1 дня телефон заблокируется" - примерно такой текст с тремя кнопками (ОК, Отмена, крестик). Что насторожило - то, что во время отображения сообщения, телефон вибрировал. Я нажал "крестик" (типа закрыл, какое событие там отработало хз)

Никаких левых прог нет на телефоне. РУТа нет.

Грохнул Viber и игрушку (надо было место для ДрВеба).

Нагуглил эту тему.

Зашел в "Приложения". Нашел Philips Launcher. Убрал галку "Включить уведомления", нажал "Остановить", "Стереть данные", "Очистить кэш".

Проверил включив-выключив вафлю пару раз. Баннеров не оказалось.

Ребутнул тел. Еще два раза попробовал вкл-выкл вафли. Баннеров нет. На радостях поставил viber. - через 2 сек после установки баннер. Ну епт!

Опять грохнул вайбер. Опять зашел в "Приложения". Нашел Philips Launcher. Убрал галку "Включить уведомления", нажал "Остановить", "Стереть данные", "Очистить кэш".

Пока тихо.

Поставил-таки Др.Веб Лайт. Прогнал по полной. Ругнулся 1 раз:

not a virus Adware.Lqsoft.1 (Рекламные программы)

/system/priv-app/PhilipsLauncher/PhilipsLauncher.apk.

 

вот. Жмем "подробности":

ДрВеб определил системное приложение /system/priv-app/PhilipsLauncher/PhilipsLauncher.apk как угрозу, тк некоторые его функции характерны для вредоносных программ. Стандартные средства не применимы для сист.приложений.

 

Подожду пару дней. Если проблема повторится - буду делать как qwerty15.

Буду следить за темой.

[qwerty15]

Всем доброй ночи!

Philips V377. Проблема та же: баннеры, и скачивающийся постоянно 10001_1.jar.

Среди баннеров проскочил один с таким содержанием:

"Ваше ПО необходимо срочно обновить, иначе в течении 1 дня телефон заблокируется" - примерно такой текст с тремя кнопками (ОК, Отмена, крестик). Что насторожило - то, что во время отображения сообщения, телефон вибрировал. Я нажал "крестик" (типа закрыл, какое событие там отработало хз)

Никаких левых прог нет на телефоне. РУТа нет.

Грохнул Viber и игрушку (надо было место для ДрВеба).

Нагуглил эту тему.

Зашел в "Приложения". Нашел Philips Launcher. Убрал галку "Включить уведомления", нажал "Остановить", "Стереть данные", "Очистить кэш".

Проверил включив-выключив вафлю пару раз. Баннеров не оказалось.

Ребутнул тел. Еще два раза попробовал вкл-выкл вафли. Баннеров нет. На радостях поставил viber. - через 2 сек после установки баннер. Ну епт!

Опять грохнул вайбер. Опять зашел в "Приложения". Нашел Philips Launcher. Убрал галку "Включить уведомления", нажал "Остановить", "Стереть данные", "Очистить кэш".

Пока тихо.

Поставил-таки Др.Веб Лайт. Прогнал по полной. Ругнулся 1 раз:

not a virus Adware.Lqsoft.1 (Рекламные программы)

/system/priv-app/PhilipsLauncher/PhilipsLauncher.apk.

 

вот. Жмем "подробности":

ДрВеб определил системное приложение /system/priv-app/PhilipsLauncher/PhilipsLauncher.apk как угрозу, тк некоторые его функции характерны для вредоносных программ. Стандартные средства не применимы для сист.приложений.

 

Подожду пару дней. Если проблема повторится - буду делать как qwerty15.

Буду следить за темой.

 

можете попробовать уже сейчас на форуме 4pda писали, что способ очистки кэша в PhilipsLauncher не помог, но я попробовала, а спустя время начинается та же ерунда, сколько бы раз я ни чистила и ни убирала галку "не показывать уведомления". честно говоря, я и в своем способе не до конца уверена, так как на том же 4pda писали, что вовсе не в лаунчере беда. но у меня другой стоит, поэтому мне не жалко было удалить этот PhilipsLauncher, заодно впервые попробовала рут-права. до нынешнего момента с утра у меня полет нормальный, баннеров все еще не было. 

Сообщение было изменено qwerty15: 04 Май 2017 - 22:07

[qwerty15]

Смартфон Philips V377, android 5.1 Та же проблема: самоскачивающийся 10001_1.jar  и Philips Launcher инфицирован Android.triada.63. Root права получить не удалось. Пытался удалить вся папку /system/priv-app/PhilipsLauncher и она не удалилась, но из неё удалились какие-то файлы, после этого удалил снова 10001_1.jar и он перестал скачиваться снова. До попытки удаления папки он скачивался сразу же. qweerty15, спасибо, твой способ сработал.

я надеюсь, вы не всю папку system удалили, а только папку PhilipsLauncher!    у меня, как ни странно, папка целиком удаляться не хотела даже через total commander, но apk файл удалился без проблем. 

[fractal.hunter]

 

Смартфон Philips V377, android 5.1 Та же проблема: самоскачивающийся 10001_1.jar  и Philips Launcher инфицирован Android.triada.63. Root права получить не удалось. Пытался удалить вся папку /system/priv-app/PhilipsLauncher и она не удалилась, но из неё удалились какие-то файлы, после этого удалил снова 10001_1.jar и он перестал скачиваться снова. До попытки удаления папки он скачивался сразу же. qweerty15, спасибо, твой способ сработал.

я надеюсь, вы не всю папку system удалили, а только папку PhilipsLauncher!    у меня, как ни странно, папка целиком удаляться не хотела даже через total commander, но apk файл удалился без проблем. 

 

Нет не всю system,   только папку PhilipsLauncher. Тоже вся не удалилась и apk файл тоже не удалился, но какие-то файлы из неё улетели.  Сделал полную проверку Dr.Web'ом - ничего не нашел. Перезагрузил телефон - снова та же история.