Перейти к содержимому


Фото

Удалить вирус Android.DownLoader.225

Android DownLoader

  • Закрыто Тема закрыта
28 ответов в этой теме

#1 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 10 Октябрь 2015 - 15:56

При активации телефона или после окончания звонка, происходит активизация вируса: Android.DownLoader.225 . Антивирус его перехватывает и удаляет (появляется ссылка на установку приложения АлиЭкспресс). Но при проверке телефона антивирус не находит никаких зараженных файлов. Так же время от времени в настройках безопасности разрешается установка приложений из сомнительных источников.

 

Как можно удалить этот вирус?

 

Скриншот сообщения антивируса прилагаю... 

Прикрепленный файл  Screenshot_2015-10-09-10-12-10.png   84,86К   3 Скачано раз



#2 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus hunters
  • 1 389 Сообщений:

Отправлено 12 Октябрь 2015 - 15:11

Здравствуйте. Судя по детектируемому файлу, некая программа либо загружает трояна из сети, либо извлекает из себя, чтобы потом незаметно запустить. Для начала выполните обновление баз антивируса и затем - полное сканирование устройства. Возможно, за это время неизвестный троян уже был идентифицирован.

Также при помощи файлового менеджера (например, File Explorer) посмотрите, нет ли у вас следующих файлов в каталогах /system/app, /system/priv-app, /data/app

com.android.fallen
com.android.malposed
com.therefore.miner
father.rickety.ordinaire.sus
SysMarket_offline_noicon.apk
sys_market.apk
ease
lucky

Если обнаружатся - попробуйте скопировать их на компьютер и выслать на анализ через форму http://vms.drweb.com/sendvirus, описав проблему.

Кстати, ваше устройство - Jiayu S3? Какая версия прошивки установлена?

Сообщение было изменено Alexander Goryachev: 12 Октябрь 2015 - 15:12


#3 Mikhail Golubev

Mikhail Golubev

    Member

  • Dr.Web Staff
  • 441 Сообщений:

Отправлено 12 Октябрь 2015 - 15:15

Доброго дня.

 

Антивирус его перехватывает и удаляет

Тогда мне не понятен ваш вопрос: Как можно удалить этот вирус?



#4 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 15:22

Доброго дня.

 

 

 

Антивирус его перехватывает и удаляет

Тогда мне не понятен ваш вопрос: Как можно удалить этот вирус?

Появляется ярлык ну например "Хола лаунчер", при нажатии вылетает сообщение о найденном вирусе. Удаляется ярлык и видно только это сообщение. После этого я выполняю сканирование и все чисто. Заблокировал - разблокировал тело и опа!, опять сообщение о найденном вирусе....



#5 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 15:31

Кстати, ваше устройство - Jiayu S3? Какая версия прошивки установлена?

 

Прошивок сам не менял, все так как пришло от "друга". "Тело" уронил на пол и недели не прошло с момента покупки (5,5 дюймов зараза) и соответственно не пользовался с месяц. После включения что то обновлялось, потом заметил странный ярлык который я не ставил. Удалил с экрана, но в установленных программах не нашел его. Поставил др.Веб, сначала все хорошо было и сканирование без вопросов прошло. Но как только разблокировал - вылезло сообщение о вирусе.

Прикрепленные файлы:



#6 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 15:42

Также при помощи файлового менеджера (например, File Explorer) посмотрите, нет ли у вас следующих файлов в каталогах /system/app, /system/priv-app, /data/app

com.android.fallen
com.android.malposed
com.therefore.miner
father.rickety.ordinaire.sus
SysMarket_offline_noicon.apk
sys_market.apk
ease
lucky

Если обнаружатся - попробуйте скопировать их на компьютер и выслать на анализ через форму http://vms.drweb.com/sendvirus, описав проблему.

 

 

В каталогах:  /system/app, /system/priv-app указанных файлов не нашел, а в /data меня не пускает



#7 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus hunters
  • 1 389 Сообщений:

Отправлено 12 Октябрь 2015 - 16:19

 

Также при помощи файлового менеджера (например, File Explorer) посмотрите, нет ли у вас следующих файлов в каталогах /system/app, /system/priv-app, /data/app

com.android.fallen
com.android.malposed
com.therefore.miner
father.rickety.ordinaire.sus
SysMarket_offline_noicon.apk
sys_market.apk
ease
lucky

Если обнаружатся - попробуйте скопировать их на компьютер и выслать на анализ через форму http://vms.drweb.com/sendvirus, описав проблему.

 

 

В каталогах:  /system/app, /system/priv-app указанных файлов не нашел, а в /data меня не пускает

 

 

В таком случае, все же обновите базу и выполните полное сканирование устройства еще раз - есть вероятность, что троян уже ловится. Но если он будет в прошивке, и она заводская, то придется связываться с производителем и разбираться уже с ним. Можно, конечно, будет попытаться удалить вручную, но понадобится делать root - все это на свой страх и риск и без 100% гарантии.



#8 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 17:08

 

 

 

В таком случае, все же обновите базу и выполните полное сканирование устройства еще раз - есть вероятность, что троян уже ловится. Но если он будет в прошивке, и она заводская, то придется связываться с производителем и разбираться уже с ним. Можно, конечно, будет попытаться удалить вручную, но понадобится делать root - все это на свой страх и риск и без 100% гарантии.

 

 

Вот последовательно сделанные "скрины" операций: обновление баз, сканирование, блокировка-разблокировка устройства...

 

И еще такой момент: когда я смотрел список активных приложений (долгое нажатие средней кнопки), то приложением в котором запускалась вирусная ссылка бы "требушет".

Сейчас ДрВеб не дает появиться ссылке.

Прикрепленные файлы:



#9 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 17:16

 

 

Если будет интересно вот аналогичная проблема с сайта 4пда с моделью Jinga IGO L2:

 

"проблему пока не решил, обратился в дрвеб т.к. он у меня платный установлен, пусть отрабатывают))) вообще там ситуация такая - в корне карты памяти папка какая то образуется .kpsh в файл KpshPlatform.jar вот его то и определяет дрвеб как вирус. я уже прям беру и удаляю эту папку целиком, его она зараза появляется вновь после каждого выхода в инете. че делать пока не знаю. жду ответа от специалистов дрвба, посмотрим..."



#10 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 17:44

А если вместо удаления вируса отправить в карантин, получится отправить эти данные вам? И есть ли в них смысл...



#11 Alexander Goryachev

Alexander Goryachev

    Космонавт

  • Virus hunters
  • 1 389 Сообщений:

Отправлено 12 Октябрь 2015 - 18:43

Нет, тот файл, что уже детектируется, отправлять не за чем. Главное сейчас - понять, какая их программ виновна в его загрузке.

 

Вирусные аналитики занимаются этим вопросом, поэтому как только трояна локализуют, он будет добавлен в базу.



#12 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 12 Октябрь 2015 - 18:48

Нет, тот файл, что уже детектируется, отправлять не за чем. Главное сейчас - понять, какая их программ виновна в его загрузке.

 

Вирусные аналитики занимаются этим вопросом, поэтому как только трояна локализуют, он будет добавлен в базу.

 

Буду рад помочь. Если существует возможность сделать какой-нибудь бэкап и он может помочь - напишите.



#13 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 344 Сообщений:

Отправлено 13 Октябрь 2015 - 12:49

Обновите вирусные базы, и сделайте полную проверку.

Если троян не будет найден, то нужно найти данное приложение и прислать его нам на анализ. Найти его можно следующим образом:
* Зайти в Настроки(Setting) - Приложения(Apps)
* Перейти на вкладку "Выполняется"(Running)
* При нажатии на запущенное приложение открывается список процессов приложения.
* Если среди запущенных служб (Services) имеется хотя бы одна из приведённых ниже, то это приложение нужно прислать на анализ.
    Службы:
    bhtj
    CollService
    PushService
    KpshService
    KpshServiceImpl
    PayServiceHullV5
    SdkServiceHullV5
    (com.kpsh.manager.KpshService)
 Данные службы, скорее всего, запустятся при включении интернета.

 

 Как найти файл, который нужно отправить на анализ:
 1. С помощью специализированных приложений, например APK Extractor (в Google Play таких приложений полно, я не пробовал)
 2. Найти приложение самостоятельно в папках /data/app (здесь имя приложения обычно совпадает с именем процесса в Setting->Apps->Running), /system/app

 

Можете, так же прислать детектируемый файл, это может помочь.



#14 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 13 Октябрь 2015 - 20:11

Обновите вирусные базы, и сделайте полную проверку.

Если троян не будет найден, то нужно найти данное приложение и прислать его нам на анализ. Найти его можно следующим образом:
* Зайти в Настроки(Setting) - Приложения(Apps)
* Перейти на вкладку "Выполняется"(Running)
* При нажатии на запущенное приложение открывается список процессов приложения.
* Если среди запущенных служб (Services) имеется хотя бы одна из приведённых ниже, то это приложение нужно прислать на анализ.
    Службы:
    bhtj
    CollService
    PushService
    KpshService
    KpshServiceImpl
    PayServiceHullV5
    SdkServiceHullV5
    (com.kpsh.manager.KpshService)
 Данные службы, скорее всего, запустятся при включении интернета.

 

 Как найти файл, который нужно отправить на анализ:
 1. С помощью специализированных приложений, например APK Extractor (в Google Play таких приложений полно, я не пробовал)
 2. Найти приложение самостоятельно в папках /data/app (здесь имя приложения обычно совпадает с именем процесса в Setting->Apps->Running), /system/app

 

Можете, так же прислать детектируемый файл, это может помочь.

 

Все оказалось просто, зараженным оказался требушет (лаунчер). На 4пда скачал почищенный лаунчер и установил. Пока все тихо в системе. Перестали появляться новые ярлыки и папка "кипиш".



#15 Pavel Plotnikov

Pavel Plotnikov

    guru

  • Members
  • 5 276 Сообщений:

Отправлено 14 Октябрь 2015 - 09:42

ockupant``, ссылку на инфицированный лончер можно?


GUI/Android/iOS/WP8/волейбол

#16 ockupant``

ockupant``

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 14 Октябрь 2015 - 10:00

ockupant``, ссылку на инфицированный лончер можно?

 

Блин, я уже у себя вычистил его. Научили на "4pda". Сейчас попробую спросить на форуме.



#17 skrif

skrif

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 21 Октябрь 2015 - 16:54

ockupant``, ссылку на инфицированный лончер можно?

такая же проблема. как лучше скинуть это файл лончера?

Прикрепленные файлы:



#18 Oleg Polyakov

Oleg Polyakov

    Member

  • Dr.Web Staff
  • 146 Сообщений:

Отправлено 21 Октябрь 2015 - 17:14

такая же проблема. как лучше скинуть это файл лончера?

Здравствуйте!

Так как угроза находится в системной области, Вам необходимо иметь возможность предоставления root прав, тогда последняя версия нашего приложения (Pro) сможет удалить данные угрозы (если в процессе удаления root права будут Вами предоставлены).

О том как получить root читайте в теме по своему аппарату на профильном форуме (например, 4PDA).



#19 novalex

novalex

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 21 Октябрь 2015 - 21:14

Такая же проблема с трояном225, тему прочитал, не понял как все таки удалить файл лаунчера?
Такая же проблема с трояном225, тему прочитал, не понял как все таки удалить файл лаунчера?

#20 novalex

novalex

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 21 Октябрь 2015 - 21:15

Root есть, телефон jiayu s3



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых