Root права на устройстве DrWeb`у предоставил, он удалил рассадник из 20 вредоносов, а с одним не справился, который после herd reset, снова начинает подгружать своих друзей. Понимаю, что в помощь мне перезаливка прошивки, но хочется решения в рамках антивирусной программы. Спасибо.
Не могу удалить android.backdoor.348.origin
#1
Отправлено 24 Апрель 2016 - 10:22
#2
Отправлено 24 Апрель 2016 - 11:37
Pust, то есть определяет, но не удаляет?
#3
Отправлено 24 Апрель 2016 - 12:14
Pust, что пишет антивирус? Это единственный троян который не удаляется?
#4
Отправлено 24 Апрель 2016 - 15:51
Определяет, пишет, что обнаружен, судя по всему пытается удалить ( появляется сообщение что DrWeb`у даны права рута), но файл остается. Пробовал через es проводник с рут правами, файл удалить не получается. Да, это единственный троян который не поддаётся удалению, но и который подгружает остальные трояны и бэкдоры.
Путь к файлу таков: /system/app/CertificateInstallerProviders.apk
#5
Отправлено 24 Апрель 2016 - 16:07
Как понимаю из совета из соседного топика http://forum.drweb.com/index.php?showtopic=320969&p=800915, антивирус необходимо научить выполнять подобного рода операции удаления
#6
Отправлено 24 Апрель 2016 - 16:19
Как понимаю из совета из соседного топика http://forum.drweb.com/index.php?showtopic=320969&p=800915, антивирус необходимо научить выполнять подобного рода операции удаления
Нет. Security Space это делать умеет.
Скорее всего у вас вот эта проблема: http://forum.drweb.com/index.php?showtopic=323895&p=796831
Если у вас есть файл /sbin/e2fsck_guard, то скорее всего это оно.
#7
Отправлено 24 Апрель 2016 - 16:53
Файла такого нет, но технология такая же, откуда-то восстанавливается
#8
Отправлено 05 Октябрь 2016 - 07:27
Прошу прощения, что вмешиваюсь, но у меня та же проблема....
/sbin/e2fsck_guard удалил.
/system/app/CertificateinstallerProviders.apk восстанавливается после удаления... Как можно вычислить откуда?
Посмотрел список запущенных процессов через терминал.... процессов очень много.... так что какие из них левые не разобрал..... очень нужна помощ
Root есть
#9
Отправлено 05 Октябрь 2016 - 14:33
Xbl4, посмотрите наличие процесса "e2fsck_guard"
в терминале команда: "ps | grep e2fsck_guard"
#10
Отправлено 06 Октябрь 2016 - 05:49
Xbl4, посмотрите наличие процесса "e2fsck_guard"
в терминале команда: "ps | grep e2fsck_guard"
Такого процесса нет, но скорее всего был... Этот файл я удалил не помню правда где лежал... CertificateInstallerProviders.apk или com.certificateinstaller.providers удаляются антивирусом, но восстанавливаются и тянут за собой всякую дрянь.... Не могу понять как вычислить откуда... Прошил бы давно но прошивки на этот апарат нет... Может содержание каких папок выложить или выводы каких команд в терминале?
#11
Отправлено 06 Октябрь 2016 - 12:33
Xbl4, Выложите содержимое папок:
/system/bin
/system/xbin
/system/app
/system/priv-app
либо просто всю /system
куданибудь на яндекс диск в архиве с паролем "virus".
#12
Отправлено 07 Октябрь 2016 - 06:50
Xbl4, Выложите содержимое папок:
/system/bin
/system/xbin
/system/app
/system/priv-app
либо просто всю /system
куданибудь на яндекс диск в архиве с паролем "virus".
Спасибо что помогаете... Вот ссылка на system
#13
Отправлено 07 Октябрь 2016 - 13:43
Xbl4,
должно помочь удаление следующих файлов:
/system/bin/.luser/.hu
/system/bin/.hulu
/system/xbin/.hulu
Они добавлены в антивирусную базу, и после обновления антивирус должен их удалять.
Напишите, получилось или нет.
#14
Отправлено 09 Октябрь 2016 - 15:33
Xbl4,
должно помочь удаление следующих файлов:
/system/bin/.luser/.hu/system/bin/.hulu
/system/xbin/.hulu
Они добавлены в антивирусную базу, и после обновления антивирус должен их удалять.
Напишите, получилось или нет.
Спасибо огромное, вроде бы помогло!!!! Вот же гадость.... Надеюсь не вернётся
#15
Отправлено 11 Октябрь 2016 - 16:48
Sergey Bespalov, Сергей можете более подробно. Почему именно эти папки. Что это за папки. По этому вирусу вообще толком ни чего не нашел. Меня еще одна вещь интересует я его почему то не вижу в списке процессов. И есть ли команда для просмотра процессов запускаемых этим вирусом. К стати эти файлы по хорошему удаляться не хотят.
#16
Отправлено 11 Октябрь 2016 - 17:34
по хорошему удаляться не хотят.
как вы их удаляете по хорошему? пробовали перед удалением выполнять "chattr -ia <имя файла>"? Какую ошибку пишет?
Сделайте полное сканирование антивирусом, так как у вас еще трояны могут быть, и если есть рут, удалите с помощью антивируса. Если эти же файлы у вас не детектятся, то, пожалуста, отправьте на анализ. Если есть подозрение на ложное срабатывание, например никакаких других троянов у вас нет а эти файлы детектятся, то тоже отправьте на анализ.
Что это за папки.
Это бинарные файлы. Часть трояна android.backdoor.348.origin из которых он восстанавливается.
Почему то не вижу в списке процессов. И есть ли команда для просмотра процессов запускаемых этим вирусом.
попробуйте
ps | grep com.android.providers.certinstaller
Сообщение было изменено Sergey Bespalov: 11 Октябрь 2016 - 17:35
#17
Отправлено 11 Октябрь 2016 - 20:35
По хорошему это просто средствами Эксплоера. chattr пока не пробовал.
Полное сканирование делал сидит только 348
Есть процесс - com.android.providers.certinstaller но из за того что СertificateInstallerProviders.apk пишется не в том порядке слов, то я не стал его пока трогать и решил уточнить , мало ли вдруг он системный какой-нибудь.
chattr -ia или chattr -iaA ???
Если бы вы посоветовали какой нибудь хороший мануал по командам полный качественный. А то все разбросано по сети. И папки какие от чего. Аообще не могу найти качественной информации по андройдам. Не нравится он мне очень и гугл тоже. Шпионаж сплошной.
#18
Отправлено 11 Октябрь 2016 - 21:04
DFS46,
chattr -ia <имяфайла>
rm <имяфайла>
Основные команды те же что на linux
http://losst.ru/komandy-v-android-terminal-emulator
http://putty.org.ru/articles/unix-linux-ref.html
chattr в стандартный Android не входит. Должна быть установлена busybox https://play.google.com/store/apps/details?id=stericson.busybox&hl=ru
Возможно у вас его установила программа который вы получали рута, или троян, или производитель, а может у вас ее еще нет.
Трояны иногда тащат свою версию этой программы.
Полное сканирование делал сидит только 348
Выложите содержимое папки /system на яндекс диск в архиве с паролем virus. Я посмотрю какие файлы у вас восстанавливают этот троян и добавлю их в базу, потом антивирус должен будет их сам удалять.
#19
Отправлено 11 Октябрь 2016 - 22:35
Sergey Bespalov, На яндес диск я выложу. Вам потом ссылку нужно как то дать? И папка систем не повредит ли конфиденциальности итд . А то у всех систем и пароль. Ни чего не стечет ни куда ?
#20
Отправлено 11 Октябрь 2016 - 23:36
Sergey Bespalov, Сергей у вас ник неправильный - нет приставки Гений Спасибо вам громадное. Процесс был тот. Остановил - поменял права - удалил.
должно помочь удаление следующих файлов:
/system/bin/.luser/.hu снес
/system/bin/.hulu пропал сам я его не нашел после удаления первого
/system/xbin/.hulu снес тоже
Перезагрузил телефон. Все просканировал Вебом, ни чего нет.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых