40 ответов в этой теме

[Pust]

Root права на устройстве DrWeb`у предоставил, он удалил рассадник из 20 вредоносов, а с одним не справился, который после herd reset, снова начинает подгружать своих друзей. Понимаю, что в помощь мне перезаливка прошивки, но хочется решения в рамках антивирусной программы. Спасибо.

[maxic]

Pust, то есть определяет, но не удаляет?

[Sergey Bespalov]

Pust, что пишет антивирус? Это единственный троян который не удаляется?

[Pust]

Определяет, пишет, что обнаружен, судя по всему пытается удалить ( появляется сообщение что DrWeb`у даны права рута), но файл остается. Пробовал через es проводник с рут правами, файл удалить не получается. Да, это единственный троян который не поддаётся удалению, но и который подгружает остальные трояны и бэкдоры.

Путь к файлу таков: /system/app/CertificateInstallerProviders.apk

[Pust]

Как понимаю из совета из соседного топика http://forum.drweb.com/index.php?showtopic=320969&p=800915, антивирус необходимо научить выполнять подобного рода операции удаления

[Sergey Bespalov]

Как понимаю из совета из соседного топика http://forum.drweb.com/index.php?showtopic=320969&p=800915, антивирус необходимо научить выполнять подобного рода операции удаления

Нет. Security Space это делать умеет.
Скорее всего у вас вот эта проблема: http://forum.drweb.com/index.php?showtopic=323895&p=796831

Если у вас есть файл /sbin/e2fsck_guard, то скорее всего это оно.

[Pust]

Файла такого нет, но технология такая же, откуда-то восстанавливается

[Xbl4]

Прошу прощения, что вмешиваюсь, но у меня та же проблема.... 

 

  /sbin/e2fsck_guard удалил.

/system/app/CertificateinstallerProviders.apk восстанавливается после удаления... Как можно вычислить откуда?

Посмотрел список запущенных процессов через терминал.... процессов очень много.... так что какие из них левые не разобрал..... очень нужна помощ   

 

Root есть

[Sergey Bespalov]

Xbl4, посмотрите наличие процесса "e2fsck_guard"

в терминале команда: "ps | grep e2fsck_guard"

[Xbl4]

Xbl4, посмотрите наличие процесса "e2fsck_guard"

в терминале команда: "ps | grep e2fsck_guard"

Такого процесса нет, но скорее всего был... Этот файл я удалил не помню правда где лежал... CertificateInstallerProviders.apk или com.certificateinstaller.providers удаляются антивирусом, но восстанавливаются и тянут за собой всякую дрянь.... Не могу понять как вычислить откуда... Прошил бы давно но прошивки на этот апарат нет... Может содержание каких папок выложить или выводы каких команд в терминале?

[Sergey Bespalov]

Xbl4, Выложите содержимое папок:

/system/bin

/system/xbin

/system/app

/system/priv-app

либо просто всю /system
куданибудь на яндекс диск в архиве с паролем "virus".

[Xbl4]

Xbl4, Выложите содержимое папок:

/system/bin

/system/xbin

/system/app

/system/priv-app

либо просто всю /system
куданибудь на яндекс диск в архиве с паролем "virus".

 

 

Спасибо что помогаете... Вот ссылка на system

https://yadi.sk/d/MSm3sqLOwPf7e

[Sergey Bespalov]

Xbl4,

должно помочь удаление следующих файлов:
/system/bin/.luser/.hu

/system/bin/.hulu

/system/xbin/.hulu

 

Они добавлены в антивирусную базу, и после обновления антивирус должен их удалять.

Напишите, получилось или нет.

[Xbl4]

Xbl4,

должно помочь удаление следующих файлов:
/system/bin/.luser/.hu

/system/bin/.hulu

/system/xbin/.hulu

 

Они добавлены в антивирусную базу, и после обновления антивирус должен их удалять.

Напишите, получилось или нет.

Спасибо огромное, вроде бы помогло!!!! Вот же гадость.... Надеюсь не вернётся

[DFS46]

Sergey Bespalov, Сергей можете более подробно. Почему именно эти папки. Что это за папки. По этому вирусу вообще толком ни чего не нашел. Меня еще одна вещь интересует я его почему то не вижу в списке процессов. И есть ли команда для просмотра процессов запускаемых этим вирусом. К стати эти файлы по хорошему удаляться не хотят.

[Sergey Bespalov]

по хорошему удаляться не хотят.

как вы их удаляете по хорошему? пробовали перед удалением выполнять "chattr -ia <имя файла>"? Какую ошибку пишет?

Сделайте полное сканирование антивирусом, так как у вас еще трояны могут быть, и если есть рут, удалите с помощью антивируса. Если эти же файлы у вас не детектятся, то, пожалуста, отправьте на анализ. Если есть подозрение на ложное срабатывание, например никакаких других троянов у вас нет а эти файлы детектятся, то тоже отправьте на анализ.

 

Что это за папки.

 

Это бинарные файлы. Часть трояна android.backdoor.348.origin из которых он восстанавливается.

 

 

Почему то не вижу в списке процессов. И есть ли команда для просмотра процессов запускаемых этим вирусом.

попробуйте

 

ps | grep com.android.providers.certinstaller

Сообщение было изменено Sergey Bespalov: 11 Октябрь 2016 - 17:35

[DFS46]

По хорошему это просто средствами Эксплоера. chattr пока не пробовал. 

Полное сканирование делал сидит только 348 

Есть процесс - com.android.providers.certinstaller  но из за того что СertificateInstallerProviders.apk пишется не в том порядке слов, то я не стал его пока трогать и решил уточнить , мало ли вдруг он системный какой-нибудь.

chattr -ia  или chattr -iaA ???

Если бы вы посоветовали какой нибудь хороший мануал по командам полный качественный. А то все разбросано по сети. И папки какие от чего. Аообще не могу найти качественной информации по андройдам. Не нравится он мне очень и гугл тоже. Шпионаж сплошной.

[Sergey Bespalov]

DFS46,

chattr -ia <имяфайла>
rm <имяфайла>

 

Основные команды те же что на linux

http://losst.ru/komandy-v-android-terminal-emulator

http://putty.org.ru/articles/unix-linux-ref.html

chattr в стандартный Android не входит. Должна быть установлена busybox https://play.google.com/store/apps/details?id=stericson.busybox&hl=ru

 

Возможно у вас его установила программа который вы получали рута, или троян, или производитель, а может у вас ее еще нет.
Трояны иногда тащат свою версию этой программы.

 

 

Полное сканирование делал сидит только 348

 

Выложите содержимое папки /system на яндекс диск в архиве с паролем virus. Я посмотрю какие файлы у вас восстанавливают этот троян и добавлю их в базу, потом антивирус должен будет их сам удалять.

[DFS46]

Sergey Bespalov, На яндес диск я выложу. Вам потом ссылку нужно как то дать? И папка систем не повредит ли конфиденциальности итд . А то у всех систем и пароль. Ни чего не стечет ни куда ?

[DFS46]

Sergey Bespalov, Сергей у вас ник неправильный - нет приставки Гений   Спасибо вам громадное. Процесс был тот. Остановил - поменял права - удалил.

должно помочь удаление следующих файлов:
/system/bin/.luser/.hu   снес

/system/bin/.hulu          пропал сам я его не нашел после удаления первого

/system/xbin/.hulu         снес тоже

Перезагрузил телефон. Все просканировал Вебом, ни чего нет.