Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web
удалить троян ...353 origin
#1
Отправлено 14 Май 2016 - 17:49
#2
Отправлено 16 Май 2016 - 10:23
Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web
Данный троян встроен в системное приложение, без котрого ваш смартфон, возможно, перестанет работать. Удалить его можно только поставив чистую прошивку, в которой его нет.
Так же можете прислать файл на анализ, возможно, это ложное срабатывание.
#3
Отправлено 18 Май 2016 - 21:21
Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения.
#4
Отправлено 19 Май 2016 - 10:41
Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения.
Скорее всего. Этот троян обычно встраивается в приложения, без которых смартфон не может нормально работать. Нужно искать чистую прошивку.
#5
Отправлено 20 Май 2016 - 22:59
Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web
Судя по всему Ваш аппарат Prestigio 5505 DUO. Так вот, имею такую же проблему. Settings.apk (+Settings.odex) имея root удалить можно, но пропадет возможность зайти в настройки аппарата.(Пропадет из списка приложений "Настройки",ярлычек Шестеренки,) Пробовал скачивать с офсайта Prestigio нашу прошивку, распаковал ее, вытащил этот файл, проверил, таже "шляпа". Пробовал качать прошивки других версий от сего славного производителя, и там проблем нет, все чисто. Отсюда вывод: Этот косяк на чистой прошивке имеется и что с ним делать не совсем ясно. Если кто в курсе, что можно предпринять по этому вопросу, прошу отписать тута или на 4PDA. Там тоже обсуждается.
P.S. Очень интересный отчет по поводу этого файла, можно глянуть на Virustotal-е (https://www.virustotal.com/ru/file/65d7dc07f680660f0825bec2360fe2d4486ff55265b80371dcefbad2b4747291/analysis/1463771099/), офигенно интересное чтиво получается :-) Особенно в "Сведения о файле".
#6
Отправлено 20 Май 2016 - 23:01
Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения.
Скорее всего. Этот троян обычно встраивается в приложения, без которых смартфон не может нормально работать. Нужно искать чистую прошивку.
Так в этом все дело, что эта гадость, в чистой прошивке с офсайта уже есть.
#7
Отправлено 20 Май 2016 - 23:06
Все файлы setting.apk имеют одно время, возможно вирус был изначально вшит в прошивку или появился после обновления системы. После перезагрузки каждый раз приходится удалять автоматически устанавливающиеся приложения.
У меня после перезагрузки никакие приложения не ставятся. Смотрите, что-то еще у Вас сидит. В любом случае отпишитесь как и что. И да, на наш аппарат уже 1.5 года обновы не выходят. Последний раз 09/01/2015 выходилО.
Сообщение было изменено hazet: 20 Май 2016 - 23:10
#8
Отправлено 21 Май 2016 - 07:14
Подскажите, как удалить Android.DownLoader.353.origin из папки system/priv-app/settings.apk. На смартфоне есть рут и платная версия Dr.Web
Судя по всему Ваш аппарат Prestigio 5505 DUO. Так вот, имею такую же проблему. Settings.apk (+Settings.odex) имея root удалить можно, но пропадет возможность зайти в настройки аппарата.(Пропадет из списка приложений "Настройки",ярлычек Шестеренки,) Пробовал скачивать с офсайта Prestigio нашу прошивку, распаковал ее, вытащил этот файл, проверил, таже "шляпа". Пробовал качать прошивки других версий от сего славного производителя, и там проблем нет, все чисто. Отсюда вывод: Этот косяк на чистой прошивке имеется и что с ним делать не совсем ясно. Если кто в курсе, что можно предпринять по этому вопросу, прошу отписать тута или на 4PDA. Там тоже обсуждается.
P.S. Очень интересный отчет по поводу этого файла, можно глянуть на Virustotal-е (https://www.virustotal.com/ru/file/65d7dc07f680660f0825bec2360fe2d4486ff55265b80371dcefbad2b4747291/analysis/1463771099/), офигенно интересное чтиво получается :-) Особенно в "Сведения о файле".
Можно попробовать обратиться к производителю, с учетом что вирус сидит в стоковой прошивке, но не факт конечно что пойдут на встречу, от компании зависит
#9
Отправлено 21 Май 2016 - 14:52
Можно попробовать обратиться к производителю, с учетом что вирус сидит в стоковой прошивке, но не факт конечно что пойдут на встречу, от компании зависит
Написал в поддержку, ждем ответа. Хотя мне кажется, что ответ будет как обычно,(если вообще будет) типа: Ваша модель устарела еще перед тем, как Вы ее приобрели и вообЧе, отвалите нафиг и купите себе новый аппарат :-). В любом случае отпишусь. Обещают в течении 3-х рабочих дней ответить.
#10
Отправлено 24 Май 2016 - 12:30
Добрый день,
Гарантировать корректность показаний сторонних антивирусных программ наша служба не может. В случае, если действительно в системный раздел попал некий вирус. Проблема решается путём полной переустановки системы.
Полный образ прошивки пользователям не предоставляется. Данные образы доступны авторизованным сервисным центрам. Для переустановки системы необходимо обратиться в любой из сервисных центров указанных на сайте http://www.prestigio.ru/support/service-centers
С уважением,
Информационная служба поддержки Prestigio.
Отписался
Слов нет, одни мысли.
#11
Отправлено 24 Май 2016 - 14:30
Добрый день,
Гарантировать корректность показаний сторонних антивирусных программ наша служба не может. В случае, если действительно в системный раздел попал некий вирус. Проблема решается путём полной переустановки системы.
Полный образ прошивки пользователям не предоставляется. Данные образы доступны авторизованным сервисным центрам. Для переустановки системы необходимо обратиться в любой из сервисных центров указанных на сайте http://www.prestigio.ru/support/service-centers
С уважением,
Информационная служба поддержки Prestigio.Отписался
Слов нет, одни мысли.
Печально... =)
Как вариант Вы можете попробовать перепрошить устройство самостоятельно, если гарантия не волнует, а прошивку на том же 4pda посмотреть, которая без вируса будет
#12
Отправлено 24 Май 2016 - 17:32
Спасибо, Всем, кто откликнулся. Буду пользоваться смартфоном как есть, пока не надоест. Перепрошивать смысла нет, так как hazet пишет выше, что стоковая прошивка с офсайта Prestigio не лишена вируса.
#13
Отправлено 25 Май 2016 - 11:05
Печально... =)
Как вариант Вы можете попробовать перепрошить устройство самостоятельно, если гарантия не волнует, а прошивку на том же 4pda посмотреть, которая без вируса будет
Да, действительно печально, а на сайте 4pda, такая же прошивка, тоже сидит эта гадость. Но есть там Cyanogenmod 12.1 на наш аппарат, с Android 5.1.1. Она без вирусни, я проверял.
#14
Отправлено 25 Май 2016 - 11:11
Спасибо, Всем, кто откликнулся. Буду пользоваться смартфоном как есть, пока не надоест. Перепрошивать смысла нет, так как hazet пишет выше, что стоковая прошивка с офсайта Prestigio не лишена вируса.
alepo, Вы не пропадайте с форума хотя-бы еще недельку. Мы тут воюем потихоньку с поддержкой. Так как аппараты наши еще в полном ходу. Посмотрим что полуциТЦа :-). Если что, прошьемся Cyanogenmod-ом с 4pda, там вируса нету. Есть еще надежда на старую версию прошивки. Я на форумах поспрашал, может кто нить выложит. Или поддержку Prestigio доканаем и они сами поправят. ;-) Вобщем будем подождать как говорится.
#15
Отправлено 25 Май 2016 - 11:41
Предлагаю перенести личную переписку в приват.
#16
Отправлено 25 Май 2016 - 18:46
Предлагаю перенести личную переписку в приват.
Фи!!! Напраслина.
Договорился с фирменным сервисом из списка Prestigio. Завтра еду к ним. Слямзю прошивку, проверю, если все чисто, отпишусь или всераМно отпишусь. :-)
Сообщение было изменено hazet: 25 Май 2016 - 18:46
#17
Отправлено 02 Июль 2016 - 00:05
У меня такой же вирус в стоке на аппарате Micromax A104 Canvas Fire 2
Стоял Drweb Light 9, рута не было, на чистую прошивку поставлен Веб лайт 9, через 2 месяца приносят этот агрегат в хлам разбитый вирусами и троянами, Дрвеб постоянно сигналит "перезарядкой ружья :)" а сделать ничего не может, более 100 вирусов и троянов прилетело - это при условии что СпайдерГуард постоянно активен.
Как такое могло произойти???
Сейчас опять перешил и поставил веба, посмотрим, на сколько его хватит, а чтобы веб мог прибивать системные вирусы и трояны, сделал рут.
#18
Отправлено 02 Июль 2016 - 16:34
а чтобы веб мог прибивать системные вирусы и трояны, сделал рут.
Рут - небезопасно!
А если вместо рута установить платный Dr.Web Security Space для Android?
P.S. В бесплатной лицензии Dr.Web для Android Light отсутствуют все компоненты, кроме Антивируса.
Сообщение было изменено TASS: 02 Июль 2016 - 16:36
Глядя на мир, нельзя не удивляться! ©
#19
Отправлено 02 Июль 2016 - 18:55
Рут - небезопасно!
Сам факт того, что в стоковой прошивке сидит троян - это совсем небезопасно.
Я нашел более радикальное решение.
Для начала засунул модуль с трояном в дизассемблер и вот что обнаружил:
CODE:0016D598 .line 488 CODE:0016D598 const-string v0, aHttpT_app21_cn # "http://t.app21.cn:7010/sreg?p=%s" CODE:0016D59C new-array v1, v5, <t: Object[]> CODE:0016D5A0 iget-object v3, this, d_d CODE:0016D5A4 invoke-static {v3, v2}, <ref h.a(ref, ref) h_a@LLL> CODE:0016D5AA move-result-object v2 CODE:0016D5AC aput-object v2, v1, v6 CODE:0016D5B0 invoke-static {v0, v1}, <ref String.format(ref, ref) imp. @ _def_String_format@LLL> CODE:0016D5B6 move-result-object v0 CODE:0016D5B8 CODE:0016D5B8 locret: CODE:0016D5B8 return-object v0
Тоесть приложение ходит на китайский сайт через порт 7010 и оттуда
что-то тянет.
Лечение простое, я просто затираю ссылку или порчу ее, например заменив app21.cn на app21.ru
Затем пролеченный модуль запаковываю обратно в прошивку и перешиваю, это не сложно.
Детальный анализ зараженного модуля позволил выявить еще 2 подозрительные ссылки, их всего 3 в этом трояне, вот они:
http://hlife.cc/appsquare/rest/app/23
http://s.angelpush.com:9030/msg
http://t.app21.cn:7010/sreg?p=%s
Я думаю такой вариант лечения самый оптимальный.
Сейчас проблемный аппарат отдал клиенту, если будет повторное (вернее в третий раз) заражение то буду лечить вышеуказанным способом.
Цианоген ставить не хочу, в нем много аппаратных багов.
Сообщение было изменено Mr.Snipfold: 02 Июль 2016 - 18:57
#20
Отправлено 04 Июль 2016 - 15:13
Еще один вариант лечения в hosts смартфона добавить три строчки:
127.0.0.1 hlife.cc
127.0.0.1 s.angelpush.com
127.0.0.1 t.app21.cn
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых