Уже 3 дня пытаюсь вытравить эти два вируса, но безрезультатно. Пробовал несколько раз по инструкции с терминалом ничего не получилось, хотя с одним GloabIBCServiceInfo.apk который был на другом планшете она помогла. /sbin/e2fsck_guard удаляется без проблем, но восстанавливается после перезагрузки планшета. Но удалить /system/bin/configopb не получается никак. как и GloabIBCServiceInfo.apk с Secconnecttest.apk. Drweb pro только видит их но удалить не может. Прошить планшет не могу так как прошивки на него нет очередной китайский нонейм с местным шильдиком.
GloabIBCServiceInfo.apk И Secconnecttest.apk
Автор
10000mk
, май 04 2016 16:56
7 ответов в этой теме
#2
Pavel Korban
-
- Virus Analysts
-
- 65 Сообщений:
Newbie
Отправлено 05 Май 2016 - 08:42
Копия /system/bin/configopb живёт в /sbin/e2fsck_guard и оттуда восстанавливается. Нужно убить процесс e2fsck_guard, потом файл /sbin/e2fsck_guard и после этого /system/bin/configopb. И тогда, по идее, должно получиться удалить оставшийся apk. Перед удалением e2fsck_guard нужно перемонтировать корневой раздел для чтения-записи. Также нужно удалить папку /data/configppp.
Последовательность команд будет такая:
su
ps | grep e2fsck_guard
Первое число, которое выдаст команда - это ID процесса. Далее нужно передать этот ID команде "kill -9":
kill -9 IDmount -o remount,rw /
rm /sbin/e2fsck_guard
mount -o remount,ro /
mount -o remount,rw /system
rm /system/bin/configopb
rm /system/app/GloablBCServiceInfo.apk
mount -o remount,ro /system
rm -rf /data/configppp
После этого нужно перезагрузить устройство и выполнить полную проверку.
Вы можете подробнее посмотреть обсуждение Вашей проблемы по этим ссылкам:
http://forum.drweb.com/index.php?showtopic=324261&hl=triada
http://forum.drweb.com/index.php?showtopic=323895&page=1&#entry796831
http://forum.drweb.com/index.php?showtopic=323895&page=1&#entry796831
#3
Pavel Korban
-
- Virus Analysts
-
- 65 Сообщений:
Newbie
Отправлено 05 Май 2016 - 08:46
Вы по этой инструкции делали? Если да, то что конкретно не получилось?
#4
10000mk
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 05 Май 2016 - 15:20
Вы по этой инструкции делали? Если да, то что конкретно не получилось?
Всё делал по ней, но не удаляется /system/bin/configopb и GloabIBCServiceInfo.apk и Secconnecttest.apk. А e2fsck_guard после перезагрузки планшета восстанавливается.
#5
Sergey Bespalov
-
- Virus Analysts
-
- 401 Сообщений:
Member
Отправлено 05 Май 2016 - 17:31
10000mk,
возможно вы не убили процесс e2fsck_guard.
1. выполните
ps | grep e2fsck_guard
Первое число, которое выдаст команда - это ID процесса. Далее нужно передать этот ID команде "kill -9":
kill -9 ID
Затем
ps | grep e2fsck_guard
Если выведет наименование процесса, значит он жив.
2. В /system/bin /system/xbin еще какие нибудь файлы детектятся? Сделайте полную проверку и выложите скрин.
3. cd /system/bin
ls -a -l
cd /system/xbin
ls -a -l
Команды выше выведут список файлов, с датой последнего изменения. Те, у которых дата близка к дате установки трояна, возможно вредоносные, их нужно отправить на анализ.
Сообщение было изменено Sergey Bespalov: 05 Май 2016 - 17:32
#6
10000mk
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 05 Май 2016 - 19:12
Кроме этих двух есть ещё подозрительные файлы с левыми названиями. Сейчас попробую их скопирую на компьютер.
Прикрепленные файлы:
-
Screenshot_2016-05-05-20-09-18.png 35,02К
0 Скачано раз
#7
10000mk
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 05 Май 2016 - 19:44
В /system/xbin только configopb, а /system/bin/configopb удалить получилось. facaudio.apk мне показался подозрительным.
#8
10000mk
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 05 Май 2016 - 20:14
После удаления configopb планшет после ребута не включатся и после сброса тоже придётся искать прошивку(
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
