Перейти к содержимому


Фото

Не могу удалить android.backdoor.433.orgin


  • Please log in to reply
5 ответов в этой теме

#1 VVS57

VVS57

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 05 Ноябрь 2016 - 15:03

Здравствуйте.

У дочки китайский смартфон с Android 4.4.2. Месяца 2 назад нахватала кучу вирусов. 

Чистил с помощью Терминала и ES менеджера. Пришлось повозиться с CertificateInstallerProviders.apk. После удаления и перезагрузки он

постоянно восстанавливался. В итоге я его удалил, остался com.android.token, который DR Web определяет как android.backdoor.433.orgin. После его удаления и чистки хвостов он через через некоторое время появляется опять.

Решил просканировать смартфон DR Webом, но он почему то не видит файлы в системной папке. Например в выборочной проверке выбираю папку system, открываю ее, а она пустая. В процессе удаления CertificateInstallerProviders.apk случайно удалил Cetrtinstaller.apk. Восстановил через Titanium Backup, но файл Odex увы потерялся. Может из за этого, а может что еще удалил лишнего.

Приходится копировать папку system в папку Downloads, а уже там сканировать DR Webом.

Когда через ES менеджер удаляю com.android.token в папке /system/app, удаляю также его  dalvik cache и папку в /data/data, но видимо этого мало.



#2 VVS57

VVS57

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 05 Ноябрь 2016 - 22:07

Попробовал на другом планшете с помощью CD Maid заморозить Certinstaller.apk. DR Web сканирует и отображает папку system нормально. Значит проблема не в Certinstaller.apk. Может вирус как то ограничивать работу DR Web?

Просканировал зараженный смартфон CM Security, затем Eset Mobile Security. Они папку system видят, находят троян, удаляют его, но он появляется вновь.

Почему DR WEB не видит содержимое папки system и не сканирует ее, для меня загадка.

 



#3 cocs

cocs

    Newbie

  • Posters
  • 86 Сообщений:

Отправлено 06 Ноябрь 2016 - 10:23

Попробовал на другом планшете с помощью CD Maid заморозить Certinstaller.apk. DR Web сканирует и отображает папку system нормально. Значит проблема не в Certinstaller.apk. Может вирус как то ограничивать работу DR Web?

Просканировал зараженный смартфон CM Security, затем Eset Mobile Security. Они папку system видят, находят троян, удаляют его, но он появляется вновь.

Почему DR WEB не видит содержимое папки system и не сканирует ее, для меня загадка.

выложите папку system сюда, чтобы вирусные аналитики могли его рассмотреть.



#4 VVS57

VVS57

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 06 Ноябрь 2016 - 11:36

Ссылка на паку system:

https://cloud.mail.ru/public/8g8F/zgxiqbxEM

пароль: virus



#5 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 10 Ноябрь 2016 - 15:50

Попробуйте удалить

system/bin/netd_server

system/app/com.android.token.apk

system/priv-app/SamsungSM-G900Hyèë┼box1.apk


Сообщение было изменено I.Zhilyakov: 10 Ноябрь 2016 - 15:51


#6 Donbass

Donbass

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 13 Ноябрь 2016 - 23:37

Ну и вот интересное: 

system\lib\libem.so

system\lib\libsoon.so

вот еще: 

system\.vbr\vs 

https://www.virustotal.com/ru/file/93f15ffd1a95787751e874352376ac71d96ae9c8d3b7828835796510cce66b95/analysis/1479067419/

 

Тикеты: [drweb.com #7328519] и [drweb.com #7328494]




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых