Перейти к содержимому


Фото

Android.RemoteCode.197.origin постоянно восстанаыливается


  • Please log in to reply
58 ответов в этой теме

#41 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 14:19

Сделал

Прикрепленные файлы:

  • Прикрепленный файл  procs.txt   14,91К   5 Скачано раз


#42 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 779 Сообщений:

Отправлено 17 Апрель 2019 - 15:18

Славная у вас тут битва происходит :)


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#43 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 15:19

Мы стараемся :blush:



#44 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 17 Апрель 2019 - 15:25

Wiking007,
По этой ссылки архив не загружается: https://drive.google.com/open?id=15ByZUR4Q7XJGVFxBebRUfFeiWm0aB9kW
Гугл не позволяет грузить с google disk архивы с вирусами.

Надо поставить на архив пароль, что бы он не мог его сканировать.



#45 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 15:43

Я ставил пароль и файл там есть. ССылка почемуто неправильно получается.

https://drive.google.com/open?id=15ByZUR4Q7XJGVFxBebRUfFeiWm0aB9kW



#46 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 16:22

Bood и skernel сидят в системе, если отключить интернет и перегрузить телефон, они появляются.



#47 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 17 Апрель 2019 - 16:45

Wiking007, Гугл выдает ошибку, что только владелец файла может загружать файлы с вирусами.

Прикрепленные файлы:

  • Прикрепленный файл  Capture.JPG   16,34К   0 Скачано раз


#48 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 17:21

https://drive.google.com/open?id=1KoO5fwTOjkdDhIfVVWVvG2EDYthVkyCC

А до этого нормально было, с паролем архивы? Просто на гуглодиске все те архивы, что я отправлял, спокойно открываются. Может они взламывают пароль?



#49 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 17 Апрель 2019 - 17:26

Wiking007, Попробуйте удалить следующим способом

 

В терминале:

su

запросит root права, предоставить

ps | grep skernel

Пример результата:
root      495   1     3316   468   hrtimer_na 00051c4c S /sbin/skernel
root      535   495   3316   456   poll_sched 00051960 S /sbin/skernel
 

ps | grep bood

Пример результата:
root      496   1     3308   556   hrtimer_na 0005191c S /sbin/bood
root      534   496   3308   488   poll_sched 00051630 S /sbin/bood

Запоминаем ID, он во втором столбце. В данном случае ID: 495, 535, 496, 534
в команду ниже подставить свои ID

выполнить: (нужно вводить так как написано, одной строкой с символом "|")

kill -9 495 | kill -9 535 | kill -9 496 | kill -9 534
mount -o remount,rw /
rm /sbin/skernel
rm /sbin/bood

если после команды rm быдет выдаваться ошибка, то выполнить:

chattr -ia /sbin/skernel
rm /sbin/skernel
chattr -ia /sbin/bood
rm /sbin/bood

после удаления выполнить:

mount -o remount,ro /

далее можно подчистить файлы троянца, поудалять:
/data/.an_system_temp
/data/.an.dasd
/data/.an.system.dump
/data/.android_sys_tmp
/data/.android.das
/data/.android.sys.dmp
/data/.sale
/data/.xlkt

/data/local/tmp/.any
/data/local/tmp/.blog
/data/local/tmp/.clc
/data/local/tmp/.sale
/data/local/tmp/.uclog
/data/local/tmp/.volb
/data/local/tmp/.xlkt
/data/local/tmp/.y
/data/local/tmp/bood.debug
/data/local/tmp/client.debug
/data/local/tmp/pkernel.debug
/data/local/tmp/rood.debug
/data/local/tmp/skernel.debug
/data/local/tmp/test.txt
/data/local/tmp/testfile.txt
/data/local/tmp/uclient.debug

/data/sipolicy
/data/test.txt
/data/uufile

/sdcard/.an.etc.temp
/sdcard/.an.system.dump
/sdcard/.android.etc.tmp
/sdcard/.android.sys.dmp
/sdcard/.androidSystemCache
/sdcard/.anSystemtempCache
/sdcard/.blog
/sdcard/.clc
/sdcard/.clog
/sdcard/.sale
/sdcard/.sipolicy
/sdcard/.uufile
/sdcard/.volb
/sdcard/.xlkt
/sdcard/bood.debug
/sdcard/client.debug
/sdcard/pkernel.debug
/sdcard/rood.debug
/sdcard/skernel.debug
/sdcard/test.txt
/sdcard/uclient.debug

/system/etc/sipolicy
/system/etc/uufile



#50 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 17 Апрель 2019 - 17:32

https://drive.google.com/open?id=1KoO5fwTOjkdDhIfVVWVvG2EDYthVkyCC

А до этого нормально было, с паролем архивы? Просто на гуглодиске все те архивы, что я отправлял, спокойно открываются. Может они взламывают пароль?

Они могут открываться без пароля, но это только список файлов, извлеч файлы без пароля не получится



#51 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 17:49

rm /sbin/skernel
rm /sbin/bood

После ввода rm /sbin/skernel спрашивает rm ro /sbin/skernel (y/N) я так понимаю нужно ввести Y?

Я вводил Y пишет rm: /sbin/skernel: Read-only file system. Так и должно?



#52 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 17 Апрель 2019 - 18:09

Wiking007, нет, так не должно быть. После команды

mount -o remount,rw /

Никаких ошибок не было?



#53 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 18:14

Вроде нет.

Прикрепленные файлы:



#54 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 17 Апрель 2019 - 18:17

Wiking007,

В конце команды нет символа "/".

еще раз:

mount -o remount,rw /


#55 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 18:56

Сделал все как написано, сразу проверил антивирусом,все чисто. Перегрузил телефон, bood и skernel опять появились, антивирус их опять нашел при сканировании. Интернет все время был отключен.



#56 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 18 Апрель 2019 - 13:24

Wiking007, ясно. Пока не знаю, что еще порекомендовать кроме перепрошивки.



#57 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 18 Апрель 2019 - 16:00

Если удалить bood и skernel то вроде как нормально, нет вырусни, но если перезагрузить телефон, сразу появляются эти 2 файла и начинают качать всякие приложения.

Антивирус не удаляет их сам и даже не видит, только при сканировании находит.



#58 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 20 Апрель 2019 - 11:18

Прошил заново телефон, сразу поставил рут, удалил вирусы

/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin

/system/priv-app/CallerIdSearch - Android.Mobifun.14

/system/priv-app/RockClient - Android.HiddenAds.256, вместе с папками, не включая интернет, перегрузил телефон, так как сразу начали ошибки. После включения проверил антивирусом, ничего, в папках /sbin, /temp, /priv-app, ничего подозрительного. Телефон уже почти сутки лежит со включенным интернетом, но последняя проверка антивирусом ничего не нашла.



#59 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 20 Апрель 2019 - 20:04

Больше суток телефон работает, все чисто! Спасибо большое всем, кто помогал!




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых