8 replies to this topic

[Dmitry Tolmachev]

Телефон Redmi 3S, версия Android - 6.0.1 MMB29M, прошивка - MIUI Global 10.2.2.

Приложение Сбербанк Онлайн стало находить два вируса.

Dr. Web определяет их как Android.DownLoader.4456 и Andoid.HiddenAds.141 (см. скриншот). Удалить их средствами антивируса не получается. Выдает сообщение "Не удалось удалить объект". Прошу посоветовать, что делать.

Attached Files

•  file1.png   156.37KB   0 downloads

[Whispersmith]

Dmitry Tolmachev, здравствуйте. Воспроизведите проблему и сделайте логи, пожалуйста:

1.На вкладке Статистика вызовите меню приложения и выберите пункт Сохранить журнал.

2.Журнал сохраняется в файле DrWeb_Log.txt, расположенном в папке Android/data/com.drweb/files во внутренней памяти устройства.

Там еще будет один файл  DrWeb_Err.txt, его тоже можете приложить.

Если будет DrWeb_Crash, тоже приложите, пожалуйста.

[Dmitry Tolmachev]

Добрый день,

DrWeb_Log.txt и DrWeb_Err.tx приложены.

Attached Files

•  DrWeb_Log.txt   32.75KB   3 downloads
•  DrWeb_Err.txt   3.45KB   2 downloads

[Whispersmith]

Dmitry Tolmachev, а вы ситуацию воспроизвели: нашли угрозы, попытались удалить, получили ошибку и потом логи сделали? 
В логах нет ничего полезного  пока что.. 

[Dmitry Tolmachev]

Видимо, что-то не сделал правильно. Удалил старые логи, активировал сбор статистики в журнал, выполнил полную проверку и попытку удалить файлы. Новые лог-файлы приложены.

Attached Files

•  DrWeb_Err (1).txt   11.83KB   5 downloads
•  DrWeb_Log (1).txt   54.26KB   6 downloads

[Sergey Bespalov]

Dmitry Tolmachev, 

 

Скорее всего доступ к данному разделу закрыт производителем.

 

1. Проверить обновления прошивки от производителя в настройках. Может есть обновление.

 

2. Я посмотрел выложенную здесь прошивку: https://4pda.ru/forum/index.php?showtopic=755032

 Global, Stable, MIUI | 10.2.2.0 | 10 | MiFlash/Fastboot. Там нет данных файлов в разделе /cust. Можно попробовать перепрошиться на нее.

 

3. Получать рут, удалять файлы, удалять рут. Сбербанк может не работать из-за рута.

[RomaNNN]

3. Получать рут, удалять файлы, удалять рут. Сбербанк может не работать из-за рута.

Magisk умеет великолепно прятать рут, ну это так

[Dmitry Tolmachev]

Помогла только полная перепрошивка телефона со сбросом всего хранилища данных. Для этого потребовались права root и разблокировка загрузчика. Так как подобного опыта ранее не было, изучение вопроса и операция заняли несколько дней. Сейчас Dr.Web не фиксирует ни одного вируса.

Но остается вопрос: если раздел закрыт производителем, как в него проник вирус?

[Sergey Bespalov]

Dmitry Tolmachev, Некоторые вредоносные программы могут получать рут доступ на определенных версиях андройда и устанавливать свои компоненты в разделы закрытые производителем. Но это мало вероятно в данном случае, так как троянцы обычно устанавливают свои компоненты по другим путям. Туту вам, скорее всего, попалась такая версия прошивки с вирусом. 

Edited by Sergey Bespalov, 14 April 2020 - 18:33.