Перейти к содержимому


Фото

com.petsfamily-1


  • Please log in to reply
14 ответов в этой теме

#1 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 20 Апрель 2017 - 08:29

Забралась какая то гадасть на андройд смартфон,пихает рекламу,  при удалении дублирует себя, в системе отображается как приложение settings

Находится по пути data/app/com.petsfamily-1

VT https://www.virustotal.com/ru/file/66a493187831d6278bd65fa4366113339603403775a8df44e1df503479212f37/analysis/

Могу скинуть сам apk

Подозреваю что залазит с какой то программой с play маркета, но ничего опасного не ставлю, все только необходимое и по моему мнению до этого момента надежное! )


Сообщение было изменено Roznos: 20 Апрель 2017 - 08:31


#2 Whispersmith

Whispersmith

    Massive Poster

  • Dr.Web Staff
  • 2 267 Сообщений:

Отправлено 20 Апрель 2017 - 11:13

Roznos, здравствуйте! Отошлите, пожалуйста, эту угрозу на анализ и укажите здесь номер запроса, который будет в ответном письме. Спасибо!



#3 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 20 Апрель 2017 - 12:29

[drweb.com #7605170]



#4 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 149 Сообщений:

Отправлено 20 Апрель 2017 - 12:51

Roznos,

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "visrus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.



#5 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 20 Апрель 2017 - 15:20

 

Roznos,

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "visrus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

 

Я уже телефон перепрошил, если проявится снова, сделаю, скину!



#6 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Апрель 2017 - 13:01

system.rar https://yadi.sk/d/gGGXFNo63HCraW

Mobi_Usage_AppBackup.rar https://yadi.sk/d/bwXdBVL53HCrhm



#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 149 Сообщений:

Отправлено 21 Апрель 2017 - 14:25

Roznos, в  system.rar  пароль "virus" не подходит. Скажите пжл правильный пароль или перезалейте с паролем "virus"



#8 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Апрель 2017 - 14:34

Кто то в инструкции опечатался! Перечетайте свой пост

Пароль "visrus"



#9 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 149 Сообщений:

Отправлено 21 Апрель 2017 - 19:43

Roznos, попробуйте удалить задетекченный Downloader в /system/priv-app/SecurityService.apk, и в не системных приложениях. Будет снова ставиться com.petsfamily-1?



#10 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 149 Сообщений:

Отправлено 21 Апрель 2017 - 20:31

Roznos, Еще реклама встроена в системный лаунчер. Так что, если надоело смотреть рекламу, скачайте другой лаунчер из гугл плей, поставьте его лаунчером по умолчанию. А системный отключите.


Сообщение было изменено Sergey Bespalov: 21 Апрель 2017 - 20:32


#11 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 21 Апрель 2017 - 22:11

Roznos, Еще реклама встроена в системный лаунчер. Так что, если надоело смотреть рекламу, скачайте другой лаунчер из гугл плей, поставьте его лаунчером по умолчанию. А системный отключите.

Использую сторонний лаунчер! Novalauncher


Сообщение было изменено Roznos: 21 Апрель 2017 - 22:12


#12 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Апрель 2017 - 08:23

Пока что com.petsfamily-1 не появляется, но может проявить себя, подожду!



#13 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Апрель 2017 - 08:48

Вирус снова появился! Все время на флешке (внутренней памяти) создается папка .jm, она обычно пустая, но как тольк появляется petsfamily, в ней сразу появляются файлы



#14 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 149 Сообщений:

Отправлено 24 Апрель 2017 - 19:36

Roznos, /system/priv-app/SecurityService.apk и другой  детектируемый трой в обычных приложениях удаляли?  Еще возможная причина это /system/app/FWUpgradeProvider (UpgradeSys).
Это, по идее, приложение для получения обновлений. Оно само скачивает и устанавливает приложения. Возможно, оно устанавливает вам троян в качестве обновления попробуйте его удалить или отключить (отключение может не помочь).



#15 Roznos

Roznos

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 25 Апрель 2017 - 11:43

Да SecurityService.apk, сейчас поставил чистую прошивку, удалил этот файл и FWUpgradeProvider, поставил dr.web, посмотрим появится или нет






Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых