Перейти к содержимому


Фото

Android.RemoteCode.197.origin постоянно восстанаыливается


  • Please log in to reply
58 ответов в этой теме

#21 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 17:26

Пришлите еще содержимое раздела /sbin

 

Запустил проверку про версией, пишет еще полтора часа.



#22 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 16 Апрель 2019 - 18:10

Wiking007, в прошивке:
/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin

/system/priv-app/CallerIdSearch - Android.Mobifun.14

/system/priv-app/RockClient - Android.HiddenAds.256

 

Лучше получить рут, затем удалить эти приложения, потом сделать полную проверку антивирусом, на случай если они успели что либо загрузить.



#23 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 18:16

Про версия нашел 9 вирусов и все удалил, но буквально сразу прилетел еще вирус(

https://drive.google.com/open?id=1crbwy_FUEwdPKaKPdbF8On6aY6XHix3U



#24 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 264 Сообщений:

Отправлено 16 Апрель 2019 - 18:30

Wiking007, как вариант, можно после того как удалите вирусы - сбросить к заводским, удаленные приложения не должны развернуться после сброса (не из чего). Тут и будет видно, ставится новое или нет. Но это уже добивающий удар, предполагаю.



#25 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 18:44

/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin

/system/priv-app/CallerIdSearch - Android.Mobifun.14

/system/priv-app/RockClient - Android.HiddenAds.256

 

Это все уже давно удалено.



#26 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 16 Апрель 2019 - 18:58

Wiking007, как вариант, можно после того как удалите вирусы - сбросить к заводским, удаленные приложения не должны развернуться после сброса (не из чего). Тут и будет видно, ставится новое или нет. Но это уже добивающий удар, предполагаю.

Если приложения ставятся сами собой то сброс к заводским настройкам уже помочь не сможет. Т.к. сброс не затрагивает системный раздел.



#27 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 19:05

Эти 3 вируса есть в чистой прошивке, но у меня на телефоне они удалены. Вероятно они не главная беда, скорее что то легальное тянет, не вирус(



#28 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 16 Апрель 2019 - 19:14

 

/system/preloadapp/AntKeyBoard - Android.Backdoor.345.origin

/system/priv-app/CallerIdSearch - Android.Mobifun.14

/system/priv-app/RockClient - Android.HiddenAds.256

 

Это все уже давно удалено.

 

Это то что изначально было в прошивке. Триаду скорее всего подцепили в процессе эксплуатации телефона или ее загрузил один из этих троянцев, поэтому перепрошивка может помочь. Пришлите содержимое раздела /sbin.



#29 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 16 Апрель 2019 - 19:17

Раздел /sbin и скриншоты того, что нашел антивирус про версии с рутом.

https://drive.google.com/open?id=1crbwy_FUEwdPKaKPdbF8On6aY6XHix3U



#30 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 16 Апрель 2019 - 20:18

Wiking007,

\sbin\bood infected with Android.Triada.3498

\sbin\skernel infected with Android.Triada.3499

 

Это они качают приложения и отображаются как System в приложении для перехвата трафика.

Завтра с обновлением баз они должны начать детектится. Нужно сделать полную проверку в Pro версии и удалить эти файлы через антивирус.
Можете попробовать удалить ее сами, но может не получиться. У троянца скорее всего есть резервные копии и он может из них сразу восстанавливаться. Если в итоге не получится полностью удалить этот троянец, то завтра напишу инструкцию по удалению. Вот инструкция по удалению похожих троянцев: https://forum.drweb.com/index.php?showtopic=323895&p=796831

 

Изначально в прошивке этого троянца нет. Поэтому перепрошивка тоже должна помочь.


Сообщение было изменено Sergey Bespalov: 16 Апрель 2019 - 20:25


#31 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 10:49

Удалил эти файлы, после перезагрузки они восстановились, удалил опять. Антивирусом проверил, ничего. Оставил на ночь перехват трафика. Около часу ночи услышал, как сработал антивирус, засветился экран и долго не гас, пришлось вставать и смотреть) На экране была реклама на весь экран, когда ее закрыл, то увидел, что com.buddyliky.copr.share просит рут доступ, я отказал, утром опять на весь экран реклама, в папке /sbin нет тех двух файлов. Перехват пакетов захватил почти полторы тысячи запросов, еще не разбирал что там.



#32 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 17 Апрель 2019 - 11:52

Wiking007, А процессы троянцев висят? в терминале:

ps | grep bood

ps | grep skernel

 

Антивирусом проверил, ничего.

 

- полная проверка pro версией? Если будете делать снова проверку, обновите на всякий случай базы вручную.

 

Нужно сделать полную проверку про версией с предоставлением рута антивирусу что бы найти его резервные копии в других разделах.



#33 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 12:00

В терминале на команды ничего не пишет. Проверка была Про версией с рут доступом. Сейчас постоянно вылазит ошибка В приложении "cnn.flush.vichs.dms.acty" произошла ошибка.



#34 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 17 Апрель 2019 - 12:17

Wiking007, а само приложение cnn.flush.vichs.dms.acty удалено?

при полной проверки нашлись Android.Triada.3498, Android.Triada.3499?

 

Должно быть по такому же пути как и раньше /system/priv-app/Vich8600018.apk


Сообщение было изменено Sergey Bespalov: 17 Апрель 2019 - 12:20


#35 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 12:29

Сделал скриншоты, как выглядит реклама, 2 вируса найденные ночью, ошибка и 2 вируса в папке Temp найденные только что. Vich8600018.apk удалил вручную вчера еще.

Прикрепленные файлы:


Сообщение было изменено Wiking007: 17 Апрель 2019 - 12:31


#36 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 12:37

Немного просмотрел логи, примерно когда ночью сработал антивирус System скачал несколько мегабайт.



#37 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 17 Апрель 2019 - 12:59

Wiking007, если выдается подобная ошибка, значит троянец /system/priv-app/Vich8600018.apk скорее всего был восстановлен после удаления. Вы проверили что сейчас его нет?



#38 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 13:19

Ошибка вылазит если удалить Vich8600018.apk вручную, если перегрузить телефон ошибка пропадает иногда он сам перегружается. Только что проверил антивирусом, Vich8600018.apk наместе и оба файла наместе в папке /sbin и в папке temp файл появился.

 

https://drive.google.com/open?id=15ByZUR4Q7XJGVFxBebRUfFeiWm0aB9kW  4 файла найденные в папке data-local-temp/

 

Прикрепленные файлы:



#39 Wiking007

Wiking007

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 17 Апрель 2019 - 13:59

Удалил эти 4 вируса в антивирусе, при удалении Vich написало, ошибка при удалении, сам apk не удалился, удалил вручную и сразу выскочило сообщение с ошибкой.

 

Если перегрузить телефон, bood и skernel опять появляются.



#40 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 17 Апрель 2019 - 14:09

Wiking007,

Скиньте список запущенных процессов

в терминале вбиваете:

su

ps > /sdcard/Download/procs.txt

 

список процессов должен сохраниться в файл "procs.txt".




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых