20 ответов в этой теме

[AlynAS]

Здравствуйте. Может кто поможет. На смартфоне установила Dr.Web Light. В прошлый раз он помог выявить неудаляемый вирус. Смартфон перепрошивали и месяц он работал нормально. Сегодня новая напасть, после скачивания одного приложения и его удаления из play маркета ( не подошло для моих целей), стали появляться сообщения об обнаружении Android. Triada.63 в приложении com.android.apps.client. Вирус удаляется.  При удалении пишет, что удаляется "com.google.servic.setting". Но после удаления снова выскакивает сообщение о той же угрозе, удаляется и опять выскакивает. Т.е. com.google.servic.setting" устанавливается снова и снова. Журнал полон сообщений об обнаружении угрозы и её успешной ликвидации. При отключенном интернете все тихо. При заходе в браузер google или yandex предупреждение выскочило пару раз. Но как только заходишь на play маркет - опять сыплются предупреждения. Есть версии в чём здесь проблема и как все прекратить?

 

 

AlynAS, лучше начните новую тему.

Вы помните какое приложение установили?
Делали полную проверку?
Нужно найти что восстанавливает этот файл. Для этого:

 

 

1.Приложение Cool Reader (скачала, запустила, поняла что не совсем то и удалила).

2. Полную проверку делала - угроз нет.

Скачала приложения, которые Вы указали ( антивирус ни разу не пискнул.). При архивировании  sustem выдает 67 ошибок  (в имени архива внешний носитель был прописан) - не удается прочесть содержимое файла (он так ругается на файлы где стоит 0 Kb) Вторая часть получилась легко. https://cloud.mail.ru/public/5JHR/XbiWhaqZ5

Сегодня активность проявилась только один раз с утра при просмотре погоды в яндексе. Но позже и в нём всё молчит. К добру ли?

[Sergey Bespalov]

AlynAS, Проверил почти все ваши приложения. Приложение, которое, скорее всего, устанавливает эти трояны - FWUpgradeProvider. Оно скачивает и устанавливает приложения с подозрительных китайских серверов. Оно позиционируется как приложение от производителя для установки обновлений, поэтому антивирус его не детектит. Но в качестве обновления вам могли отправить и эти трояны. Поэтому рекомендую его удалить, скорее всего это решит проблему:
 

1. Поставьте kingroot на телефон. https://4pda.ru/forum/index.php?showtopic=571948

скачайте последнюю версию под Android с яндекс диска из этой темы. Установите приложение на телефон. Получите права root.
2. Поставьте root browser https://play.google.com/store/apps/details?id=com.jrummy.root.browserfree&hl=ru

3. С помощью root browser удалите папку /system/app/FWUpgradeProvider

4. С помощью kingroot можно удалить root, выбрав данный пункт в меню. (если он больше не нужен)

 

Осталось несколько приложений, которые я еще не смотрел, напишу в понедельник если там что то обнаружится.

Сообщение было изменено Sergey Bespalov: 02 Июнь 2017 - 20:30

[AlynAS]

 

1. Поставьте kingroot на телефон. https://4pda.ru/forum/index.php?showtopic=571948

скачайте последнюю версию под Android с яндекс диска из этой темы. Установите приложение на телефон. Получите права root.
2. Поставьте root browser https://play.google.com/store/apps/details?id=com.jrummy.root.browserfree&hl=ru

3. С помощью root browser удалите папку /system/app/FWUpgradeProvider

4. С помощью kingroot можно удалить root, выбрав данный пункт в меню. (если он больше не нужен)

 

Осталось несколько приложений, которые я еще не смотрел, напишу в понедельник если там что то обнаружится.

 

 

Спасибо большое за помощь, но есть некоторые затруднения. С помощью root browse выхожу на указанную вами папку. Делаю удаление, пишет что успешна удалена, но папка на месте.

[AlynAS]

В дополнение: в выходные пользовалась мобильным интернетом (не самым скоростным). Ни разу не запищал. Дома при включении wi fi, пока следовала Вашей инструкции, опять пропищал два раза.

[AlynAS]

  Еще дополняю кажется получилось удалить. После установки busybox. Теперь буду смотреть.

[Sergey Bespalov]

AlynAS, В приложениях не нашел что еще может качать. У вас проблема разрешилась? Если нет, скиньте пжл скриншот с детектом.

[AlynAS]

AlynAS, В приложениях не нашел что еще может качать. У вас проблема разрешилась? Если нет, скиньте пжл скриншот с детектом.

Проблема продолжает проявляться. Есть закономерность - всё происходит после обновлений любого приложения из play маркет. Скриншоты по ссылке https://cloud.mail.ru/public/4zxo/hgY7Vk87J.

[Sergey Bespalov]

AlynAS, Отправьте, пожалуйста, данный файл на анализ https://vms.drweb.ru/sendvirus/

категория: "Ложное срабатывание" и напишите номер тикета.
Либо можете загрузить его на файлообменник, но в архиве с паролем, иначе его могут удалить.

Получить апк фай приложения, который нужно отправить, можно с помощью той же "App Backup & Restore". Он будет в папке /storage/sdcard0/Mobi_Usage_AppBackup

*еще перезагрузите телефон, если вы не перезагружали  после удаления

Сообщение было изменено Sergey Bespalov: 07 Июнь 2017 - 11:21

[Sergey Bespalov]

AlynAS, Еще из ваших приложений очень подoзрительно /system/priv-app/SystemUI

В него тоже встроена загрузка "обновлений" уже из других источников. Обычно это приложение никаких обновлений не зугружает и вообще не имеет доступа в интернет. Но его нельзя удалить, т.к. троян встроен в приложение, необходимое для работы системы. Установите фаервол. https://play.google.com/store/apps/details?id=dev.ukanth.ufirewall&hl=ru

И заблокируйте выход в интернет для системных приложений. (и SystemUI, если там будет такой пункт отдельно). Для работы работы фаерволу нужен рут.

[AlynAS]

И заблокируйте выход в интернет для системных приложений. (и SystemUI, если там будет такой пункт отдельно

Простите, но я не могу понять, что мне блокировать, как распознать системные приложения в этой программе ( и все ли их надо отмечать) (не хватает что-то моей соображалки). SystemUI - отдельно нет.

[AlynAS]

Кажется поняла где системные, но мне их все блокировать?

[AlynAS]

Получить апк фай приложения, который нужно отправить, можно с помощью той же "App Backup & Restore".

 С этим файлом не срабатывает.

[Sergey Bespalov]

AlynAS, Да. Надо блокировать тот пункт где укзано "Service Program, Android System, Settings Storage... "

Но это не совсем точно, может быть небольшая вероятность, что на вашем устройстве по другому.

что бы точно узнать нужно посмотреть файл  /data/system/packages.list (доступ к нему есть только с правами рут) найти там com.android.systemui, и его uid) затем включить отображение uid в настройках фаервола и заблокировать нужный uid.  Там скорее всего будет "Service Program, Android System, Settings Storage..."

команды для терминала, которыми можно посмотреть UID:
su
cat /data/system/packages.list | grep com.android.systemui

терминал: https://play.google.com/store/apps/details?id=jackpal.androidterm

Но, скорее всего это всё не нужно.
 

2. С помощь Root Browser, детектируемый файл можно вытащить из папки /data/app/com.android.apps.client
 

Сообщение было изменено Sergey Bespalov: 07 Июнь 2017 - 21:59

[AlynAS]

/data/system/packages.list

У меня очень ненормальный смартфон. По этому пути /packages.list - отсутствует. Есть папка com.android.systemui по пути data/data/com.android.systemui.

Там скорее всего будет "Service Program, Android System, Settings Storage..."

Ничего похожего в фаервол нет. Самое близкое это Android System WebView. Но это, как мне кажется даже близко к искомому не стоит. В прошлый раз вирус так же сидел в прошивке графического интерфейса и тогда реклама на пустом месте просто достала, но он хотя бы идентифицировался. Сейчас реклама не беспокоит, но и непонятно, чем мне теперь этот троян гадит, кроме того что скачивает зараженное приложение, которое обнаруживается и удаляется. Это общая проблема смартфона BQS-5515 или только мне так повезло И есть ли шансы избавится от этого.?

[Sergey Bespalov]

AlynAS,

Вариант 1. Попробуйте воспользоваться поиском внутри firewall. Поиск "System UI", "интерфейс"

 

Вариант 2.
1. Устанавливаете терминал  https://play.google.com/store/apps/details?id=jackpal.androidterm

2. Выполняете команды:
su

(предоставляете права root)

cd /data/system

cat packages.list | grep systemui
3. Увидите строку: "com.android.systemui 10014 0 /data/data/com.android.systemui platform 3002,1023,1015,3001,3006"
Записываете 10014 (у вас может быть другое число)
4. Открываете фаервол. Нажимаете три точки в правом верхнем углу. Выбираете "Настройки  -> Интерфейс пользователя -> Показать UID для приложений (поставить флаг)"

Если на анг. то "Prefereces -> User Interface -> Show UID for apps"

5. Возвращаетесь в список приложений, перед именем приложений будет число. Ищите 10014 (у вас может быть другое).

Оно должно найтись.

На 4pda у всех проблемы с официальными прошивками от вашего телефона. Можно поставить не официальную, но могут быть проблемы со стабильностью.
И желательно найти кто именно загружает этот троян. Спасибо за помощь.)

[Sergey Bespalov]

AlynAS,  Можете воспользоваться фаерволом из DrWeb Security Space. Там это приложение точно будет. Либо "System UI" либо "Интерфейс Системы", зависит от того  как у вас перевели. (Можно поставить на время английский язык, что бы его найти). Лицензия на 14 дней дается бесплатно.

[AlynAS]

И желательно найти кто именно загружает этот троян. Спасибо за помощь.)

Это Вам спасибо, просто после недели напряженной борьбы, мой гуманитарный ум заходит за IT разум , а рядом никого более продвинутого нет. Столько всего нового узнала.

Пусть и не сразу, но у меня всё получилось. Разумеется всё было на месте, просто я в этой куче, да от расстройства, не всё увидела. Только блокировка не помогла. Всё-таки это нехорошее приложение связано с play маркет и только по wi fi. В других приложениях, он не вылезает (OK, Vk, браузеры)

Мне сейчас удалось отправить "com.google.servic.setting" по указанному Вами адресу. Самой хочется найти решение проблемы, прежде чем решаться на кардинальные меры.

[Sergey Bespalov]

AlynAS,
Возможно, троян уже загрузил файл и хранит его локально
скачайте https://play.google.com/store/apps/details?id=com.drweb.pro&hl=ru
И сделайте полную проверку, он еще запросит права root. Полная проверка длится довольно долго, но она проверяет файлы, к которым обычно у антивируса и пользователя нет доступа. Нужно делать проверку именно с правами root.

[Sergey Bespalov]

AlynAS, Заодно попробуйте заблокировать "System UI" ("Интерфейс системы") с помощью фаервола из нашего антивируса.

[AlynAS]

AlynAS, Заодно попробуйте заблокировать "System UI" ("Интерфейс системы") с помощью фаервола из нашего антивируса.

Наконец удалось попасть на форум. Всё сделала по Вашей инструкции.Полная проверка показала только тот же "System UI". После блокировки, пока ничего не "вылезло". Правда, теперь обновления приложений скачиваются, но устанавливаются только после перезагрузки. Но это мешает намного меньше чем постоянное проявление трояна. Вот если проявится снова, придётся идти на крайние меры ( сторонняя перепрошивка), большего, как я понимаю, сделать нельзя. Наверное мне просто не повезло с данным подарком (смартфоном). Sergey Bespalov, еще раз большое спасибо за полную, своевременную и очень профессиональную помощь.