34 ответов в этой теме

[flymouse]

Android.Loki.19.origin ОБНАРУЖИВАЕТСЯ ВИРУС АНТИВИРУСНИКОМ, ПРИЛОЖЕНИЕ ПОСТОЯННО УСТАНАВЛИВАЕТСЯ САМО, КАК НАЙТИ ПРОЦЕС КОТОРЫЙ ЕГО ЗАПУСКАЕТ? КАК ВЫЛЕЧИТЬ, КРОМЕ ПЕРЕПРОШИВКИ

https://yadi.sk/d/EaI-sARk3Ao2MfБЭКАП ПРОШИВКИ

[Sergey Bespalov]

Android.Loki.19.origin ОБНАРУЖИВАЕТСЯ ВИРУС АНТИВИРУСНИКОМ, ПРИЛОЖЕНИЕ ПОСТОЯННО УСТАНАВЛИВАЕТСЯ САМО, КАК НАЙТИ ПРОЦЕС КОТОРЫЙ ЕГО ЗАПУСКАЕТ? КАК ВЫЛЕЧИТЬ, КРОМЕ ПЕРЕПРОШИВКИ

https://yadi.sk/d/EaI-sARk3Ao2MfБЭКАП ПРОШИВКИ

 

По какому пути обнаруживается данный вирус? Скиньте пжл этот детектируемый файл.

[flymouse]

в антивирусние показывает
Android.Loki.19.origin (имя пакета: com.adroid.appkeyguard АПК: /data/app/com.android.appkeyguard-1.apk)
Android.loki.36 (/system/bin/xalco)
Android.Loki.35(/system/lib/liby.so)

[Sergey Bespalov]

flymouse, Android.loki.36, Android.Loki.35 пока не удляйте. У вас были модифицированы системные библиотеки, и если удалить эти трояны, то телефон в кирпич превратится. 
Нужно в /system/lib/  заменить библиотеки  libcutils, liblog, libm, libz на оригинальные, из прошивки. И права доступа у них должны быть как у старых (chmod 644 обычно).
Можете найти оригинальные либы сами, или я скину позже.

 

Самый безопасный способ - перепрошивка.

[Kirill Leyfer]

flymouse, Ссылка на чистые библиотеки: https://yadi.sk/d/6uVOft9s3B3XrY
 

Замените в /system/lib/ библиотеки libz.so, libm.so, libcutils.so и liblog.so этими файлами. После этого можно будет удалить liby.so и /system/bin/xalco

[flymouse]

а если этот вирус был изначально в прошивке, то сброс к заводским настройкам приведет к появлению этого вируса опять?

[flymouse]

как можно самому узнать какие библиотеки модифицированы?

[Sergey Bespalov]

flymouse,

1. Сброс к заводским настройкам в системном разделе ничего не меняет, поэтому после него ничего не изменится - если вирус был, он останется, если небыло, то не появится.

2. Что бы самому отследить изменения, нужно обладать определенными навыками, вот статья про троян, который у вас: https://news.drweb.ru/show/?i=10341&c=5&lng=ru&p=0

Модифицированы у вас те библиотеки, про которые написали выше.

[Udavf]

Свежачок принесли

CureIT не детектит прилично, в частности

priv-app\BQBQS-4010*

priv-app\check-1.apk

priv-app\com_android_goglemap_services.apk

priv-app\com_shz_ddl.apk

priv-app\com_zib*

priv-app\Sll800031.apk

Научилась скотина постоянно перемонтировывать /system в read-only

Удалять файлы приходится через mount -o remount,rw /system;rm com_android_goglemap_services.apk

Архив system

https://yadi.sk/d/x_RimIoT3Gg97j

Пароль virus

[pig]

Зверей сразу отправляйте в вирлаб. А из открытого доступа уберите.

[Udavf]

Зверей сразу отправляйте в вирлаб. А из открытого доступа уберите.

Было бы неплохо лимит там увеличить

У меня архив 260 Мб

И кому оно вредит в открытом доступе?

 

Для удаления нужен chattr

Busybox из APK обновить не удалось

Пришлось скинуть вручную бинарник с 4pda в /system/xbin

И сделать линк ln -s busybox chattr

Сообщение было изменено Udavf: 05 Апрель 2017 - 12:45

[Udavf]

Вообщем почти все очистил, в /system/etc/ создаются постоянно файлы

install-recovery.sh

install-cm-recovery.sh

install_recovery.sh

Не могу понять откуда ноги растут

[I.Zhilyakov]

Udavf, здравствуйте. 
Почти все вами названное успешно детектируется, причем записи довольно старые. Проверьте актуальность баз.
BQBQS-4010-76.apk - Android.Triada.123.origin

BQBQS-4010-96.apk - Android.HiddenAds.39.origin

BQBQS-401045.apk - Android.HiddenAds.39.origin

BQBQS-40105.apk - Android.Triada.123.origin

BQBQS-4010smartnote_am.apk - Android.Triada.123.origin

BQBQS-4010y���box1.apk - Android.HiddenAds.39.origin
com_android_goglemap_services.apk - Android.Triada.121.origin
com_shz_ddl.apk - Android.Triada.176.origin

com_zib_minitools.apk - Android.Triada.123.origin

com_zib_minitools_play.apk - Android.Triada.171.origin

Sll800031.apk -  Android.Triada.34.origin
 

Добавил и станут детектироваться с ближайшим обновлением баз:

check-1.apk - Android.Triada.242.origin

e0273e55aada29807ed194e795be2ca4.apk - Android.HiddenAds.90

[Udavf]

Странно, сегодня скачал cureit, или у вас раздельные базы для телефона и компьютера?

[I.Zhilyakov]

Udavf, CureIt включает в себя мобильные базы. Включите в настройках проверку архивов.

Сообщение было изменено I.Zhilyakov: 05 Апрель 2017 - 19:15