46 ответов в этой теме

[MIB39]

Добрый день.

Поймал злобного вирусяку.

Антивирусы его не видят.

Через месяц после сброса настроек выскакивает сообщение типа Hi please "любое приложение вактивное" recomended и так далее.

Вылазит в виде popup меню на весь экран.

 

Теперь еще напасть.

Браузеры постоянно перенаправляют на kimia.es дальше не успеваю посмотреть с последующим редиректом на приложение в маркете или страницу. Пару раз пытался меня подписать на MTS подписки.

Как найти эту дрянь понятия не имею.

Пробовал все сканеры, сброс настроек, формат флешек.

Отключал яву.

Телефон ARK M7 андроид 5.1

 

Скрин приложил.

Может подскажете в каком направлении идти

 

Прикрепленные файлы:

•  DSzSbIFuEfw.jpg   40,88К   0 Скачано раз

[MIB39]

adserver.kima.es/get/iad/1-2110-1a22f4ea51dc41e4293dc9b6cf9ced82?cl=WW_MS_Link2&af=default&info=data&subid=5ф2797ваффа9у3а6834вии04ф45с6066

 

Кинуло последний раз сюда!

Кто читает не переходите по ссылке - вирусяка

[l.e.e.]

А Доктор Веб нам интереснее увидеть.. Он тоже не видит ?

[Ivan Purlats]

Проведите полное сканирование с помощью DrWeb.

Если он ничего не найлет посмотрите через любой файловый менеджер даты создания файлов в папках /system/% на отличные от остальных.

Если таковые найдутся - пришлите нам на проверку и укажите в этой теме номер обращения.

Также, если есть какие-либо еще подозрительные приложения на вашем телефоне, в которых вы не уверены, пришлите их нам на проверку.

[MIB39]

Нет не видит.

Восстановление системы из под андроида не помогает.

Удалил хард ресетом (вроде) пока полет нормальный.

Вставил SD не формаченную и сразу все поновой.

[MIB39]

Если вам поможет могу файлы с флехи скинуть.

Как только ее вставлял сразу понеслось по новой.

Инфицировать телефон могу, зная механизм удаления, но просто надоедает все переставлять.

[MIB39]

Есть два файла с точкой.

Естественно ведро их не видит

.dog_watch

.srcMid

[Ivan Purlats]

Если вам поможет могу файлы с флехи скинуть.

Как только ее вставлял сразу понеслось по новой.

Инфицировать телефон могу, зная механизм удаления, но просто надоедает все переставлять.

 

Пришлите те файлы с карточки, которые считаете опасными на анализ, чтобы мы могли добавить их в базы, если они действительно несут вирусный функционал.

[MIB39]

Может я вам все скину и вы посмотрите???
В ЛС киньте емайл вы всяк больше поймете

[Ivan Purlats]

Может я вам все скину и вы посмотрите???
В ЛС киньте емайл вы всяк больше поймете

Так я и предложил вам отправить это в нашу службу анализа.

 

Или залейте файл\файлы на любой файлообменник и пришлите мне ссылку в ЛС

[info44web]

Есть пути решения? У меня в точности такая же ситуация. Редиректы при открытии обраузеров на adserver.kimia.es
Ничего не помогает.
Тоже ark benefit m7

[phantom83]

Как и рекомендовали ТС - обращайтесь в вир лаб, отослав туда с КП подозрительные файлы, например недавно созданные

[Ivan Purlats]

Есть пути решения? У меня в точности такая же ситуация. Редиректы при открытии обраузеров на adserver.kimia.es
Ничего не помогает.
Тоже ark benefit m7

Также проведите полное сканирование устройства, так как быстрое сканирование не проверяет system папки.

[info44web]

Мне сложно заподозрить какие либо файлы, так как раньше не пользовался никогда android.
В папке system все фалы и папки созданы 29.10.15 либо 01.01.70.
Эта проблема появилась уже где-то месяц назад, поэтому выявить подозрительные новые файлы вне папки system не могу. Кучу нового уже установлено и обновлено.

Полное сканирование dr web делал уже не раз. Ничего не находит.

[phantom83]

01.01.70.

а это уже подозрительно

[info44web]

Там сотни файлов таких, в разных папках. Даже папки есть такие. Думаю это тотал коммандер так видет, попробую посмотреть другим файловым менеджером

[demagog2]

Собственно аналогичная ситуация.

Malware bytes обнаруживает Adnroid/Trojan.Guerilla.b в /system/priv-app/SystemFota_ARK/SystemFota_ARK.apk

"Беспроводное обновление".

Похоже, что вирус идет в стоковой прошивке.

[demagog2]

Результат сканирования вирустотал: https://www.virustotal.com/ru/file/6acd9db791d35425a6669759e81bb0fe8db27de6337f2ff04868e43ed8952105/analysis/1461051424/

[maxic]

demagog2, отошлите файл в вирлаб для анализа.

[demagog2]

demagog2, отошлите файл в вирлаб для анализа.

Уже отослал (пару минут как).