Перейти к содержимому


Фото

Зараженная прошивка.

вирусы прошивка помощь.

  • Please log in to reply
18 ответов в этой теме

#1 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 21 Февраль 2019 - 23:49

Здравствуйте, скачал официальную прошивку из 4PDA (https://4pda.ru/forum/index.php?showtopic=719265
Официальная прошивка 20160527.2.0.01 MUZE D3

Скачал доктор веб и обнаружил 2 вируса.  :mellow:  Я не знаю где искать официальную прошивку для своего смартфона, если выбрать 2015 версию, но она от того же пользователя и не вызывает доверии. 

Вирусы:
Android.DownLoader.853.origin

/system/app/AdupsFotaReboot/arm/AdupsFotaReboot.odex

 

Android.DownLoader.3784

/system/bin/fotabinder

 

Я слышал, что на этом форуме помогают очистить прошивку от вирусов, либо найти другую официальную. Поэтому сюда обратился.  :) 
Прошивал через Flash Tool (Firmware Upgrade)



#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 22 Февраль 2019 - 00:39

Den2908, думаю, имеет смысл обратить внимание на кастомные прошивки. Проблема не в пользователях, которые выкладывают прошивки, проблема в производителях.



#3 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 310 Сообщений:

Отправлено 22 Февраль 2019 - 12:28

Den2908, посмотрите прошивки CyanogenMod, они обычно чистые. Но прочитайте описание багов и сможете ли выпользоваться устройством с этими багами.



#4 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 23 Февраль 2019 - 00:53

Den2908, посмотрите прошивки CyanogenMod, они обычно чистые. Но прочитайте описание багов и сможете ли выпользоваться устройством с этими багами.

Наверно я такой везучий, но скачав CyanogenMod 12.1 от vitalysters (советовал один из пользователей), там тоже оказался вирус.

 

android.janus.1

Вроде Data/data/drweb.pro/files/janus_test.apk

 

Хоть я его удалил, но страх есть входить в банк, vk, facebook и тд...



#5 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 23 Февраль 2019 - 01:01

Den2908, вы проверили прошивку сканером как архив на компьютере? Или просто провели полную проверку после установки на самом аппарате? Возможно, не зачищали данные перед прошивкой.



#6 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 23 Февраль 2019 - 15:01

Den2908, вы проверили прошивку сканером как архив на компьютере? Или просто провели полную проверку после установки на самом аппарате? Возможно, не зачищали данные перед прошивкой.

1) Проверил касперским на пк, прежде чем установливать. 

2) Очистил, отформатировал перед установкой через twrp. И сразу же скачал антивирус доктор веб для проверки и обнаружил вирус.



#7 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 23 Февраль 2019 - 23:33

Den2908, просто путь говорит о том, что файл лежит не в прошивке, а в разделе с данными.

Ну и разумно, конечно, было бы доктором проверять прошивку, а не касперским. Базы-то разные.



#8 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 24 Февраль 2019 - 00:38

Den2908, просто путь говорит о том, что файл лежит не в прошивке, а в разделе с данными.

Ну и разумно, конечно, было бы доктором проверять прошивку, а не касперским. Базы-то разные.

maxic, Хотел проверить через доктор веб, но ноутбук на котором проверял не мой. Поэтому антивирус не трогал. Но попробую найти онлайн сканер.
А что нужно форматировать перед установкой прошивки?
Я отформатировал: 

1) Dalvik/ART Cache

2) System

3) Data

4) Cache

Не трогал память устройства, большинство пользователей не делали этого и я решил не делать)

а Micro sdcraft нету

 

Все же, что мне делать? Вдруг антивирус не увидит вирус и украдет мои данные и все... 

Можете что-то посоветовать? 



#9 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 24 Февраль 2019 - 01:39

Den2908, не очень понятно, что и как нашел доктор. Скрин детекта с мобильного устройства был бы куда полезнее, я думаю.



#10 Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 731 Сообщений:

Отправлено 24 Февраль 2019 - 21:38

Хотел проверить через доктор веб, но ноутбук на котором проверял не мой. Поэтому антивирус не трогал. Но попробую найти онлайн сканер.

Для этого Вы можете воспользоваться Dr.Web CureIt!'ом!


мой девиз - служение злу, как у котика..


#11 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 139 Сообщений:

Отправлено 25 Февраль 2019 - 16:13

android.janus.1
Вроде Data/data/drweb.pro/files/janus_test.apk

Это было ложное срабатывание. Ошибка была исправлена.

Спасибо.



#12 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 288 Сообщений:

Отправлено 26 Февраль 2019 - 13:53

посмотрите прошивки CyanogenMod, они обычно чистые

Прошивки с чпда чистые? Неудачная шутка. Русская рулетка это, а не «чистые» прошивки. Кто-то пришёл, выложил одному ему известно что и написал, что оно — «официальное» или CyanogenMod/LineageOS. Что там реально напихано — хомячки всё равно не разберутся.



#13 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 26 Февраль 2019 - 18:06

Dmitry Mikhirev, практика показывает, что редко-редко встречаются с "подарками".



#14 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 26 Февраль 2019 - 22:09

maxic, Здравствуйте, скачал заново оригинальную прошивку, не хочу использовать кастомные. 
Но проблема все же остается с оригинальной. Ставить рут и удалять? 

Вот скриншот: 

https://yadi.sk/i/AlJrHFzgBXLxBQ


Сообщение было изменено Den2908: 26 Февраль 2019 - 22:12


#15 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 26 Февраль 2019 - 22:11

Это ложное срабатывание или все же вирус? На обоих официальных прошивках 2015 и 2016 из 4PDA (https://4pda.ru/forum/index.php?showtopic=719265)
Я читал где-то что эти 2 файла уже изначально стоят на многих китайских смартфонах) 



#16 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 080 Сообщений:

Отправлено 26 Февраль 2019 - 23:27

Den2908, я не думаю, что это ложные срабатывания. Да, такова политика разработчика смартфона.



#17 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 310 Сообщений:

Отправлено 27 Февраль 2019 - 12:36

Den2908, Глянул "Официальная прошивка 20160527.2.0.01" с 4pda. Вот больше информации по этому троянцу: https://xakep.ru/2016/11/16/adups-fota-backdoor/

В той версии, которая стоит в этой прошивке присутствует отправка sms сообщений и журнала вызовов разработчикам. Установка произвольных приложений по желанию разработчика тоже есть.



#18 Den2908

Den2908

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 27 Февраль 2019 - 17:45

maxicSergey Bespalov, Я походу самый везучий. Установил KingRoot с http://kingroot.net, получил рут права, удалил вирус встроенный в прошивке, а потом перепроверил еще раз на вирусы и тут это:

 

Скриншот: https://yadi.sk/i/tbVNcuR0BLamtw. Почему kingroot в списке вирусов? Я уже окончательно запутался

Еще вирусы! Удалил, перепроверил, вроде нету. Стоит ли беспокоится за мои данные?


Сообщение было изменено Den2908: 27 Февраль 2019 - 17:45


#19 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 310 Сообщений:

Отправлено 27 Февраль 2019 - 19:03

maxicSergey Bespalov, Я походу самый везучий. Установил KingRoot с http://kingroot.net, получил рут права, удалил вирус встроенный в прошивке, а потом перепроверил еще раз на вирусы и тут это:

 

Скриншот: https://yadi.sk/i/tbVNcuR0BLamtw. Почему kingroot в списке вирусов? Я уже окончательно запутался

Еще вирусы! Удалил, перепроверил, вроде нету. Стоит ли беспокоится за мои данные?

 

Android.Exploit.103 в данном случаем можно проигнорировать. Детектируется т.к. был случай использования этого эксплойта троянцем для повышения привилегий. В данном случае его использует kingroot для получения root прав.

Остальные два файла это Dalvik-кэш (Dalvik cache) - промежуточный буфер с быстрым доступом, содержащий информацию, которая может быть запрошена с наибольшей вероятностью, в данном случае создаваемые виртуальной машиной Dalvik. Другими словами, Dalvik-кэш - результат оптимизации виртуальной машиной Dalvik, наиболее часто запускаемых программ.

Сами приложения вы удалили, кэш остался. Можно их удалить. Сначала эти файлы небыли найдены т.к. у антивируса небыло доступа в эти директории без root прав.


Сообщение было изменено Sergey Bespalov: 27 Февраль 2019 - 19:07



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых