44 ответов в этой теме

[Vasyaka]

Здравствуйте.

Планшет на андроиде 4.2.2 словил кучу вирусов. Проверил касперским, всё в норме. При подключении к интернету качает программы и сам устанавливает. Всплывает реклама. Установил Доктор Веб. Нашёл 16 вирусов и прочих вредоносных программ. Получил рут права. Снёс вручную 12 вирусов, а 4 вируса удалить не могу даже с рут правами. Помогите.

 По определению Доктора Веб названия вредоносного программного обеспечения:

Android.Triada.2.origin в папке system/app GloabIBCServiceInfo.apk

Android.Xiny.26. origin, Android.BackDoor.81 в папке system/priv-app/playstoreupdate.apk

Android.DownLoader.152 в папке system/priv-app/obs.apk

Android.DownLoader.152 в папке system/priv-app/abc.apk

Спасибо.

[Sergey Bespalov]

У вас наверное установлен Dr.Web Light? Если так, то попробуйте Dr.Web Security Space. Он должен удалять эти вирусы при наличии прав root.
https://play.google.com/store/apps/details?id=com.drweb.pro

[Vasyaka]

Спасибо за оперативный отклик. Помогло, но не полностью. Android.Triada.2.origin не удаляется. Антивирус что то думает, потом сообщает что удалить не может и  просит рут права. Но они ему предоставлены, о чём сигнализирует всплывающая подсказка о наличии рут прав для доктора.

[Vasyaka]

Может надо какой нить запущенный процесс остановить?

[Vasyaka]

Некоторые поправки.Вирус  Android.Triada.2.origin который находится в файле GloabIBCServiceInfo.apk принадлежит приложению bcfservice. Оно у меня было заморожено прогой Titanium Backup. После разморозки этого приложения картинка стала иной. Вручную этот файл удаляется, но мгновенно появляется вновь. Доктор при удалении угрозы выдаёт стандартный метод удаления для андроид. При соглашении на удаление нажатием кнопки ок, программа выдаёт сообщение "Ошибка при удалении" и сразу же опять окно с предложением удалить. И так до бесконечности. Нашёл процесс bcfservice - убил, но ничего не изменилось.

[Sergey Bespalov]

Некоторые поправки.Вирус  Android.Triada.2.origin который находится в файле GloabIBCServiceInfo.apk принадлежит приложению bcfservice. Оно у меня было заморожено прогой Titanium Backup. После разморозки этого приложения картинка стала иной. Вручную этот файл удаляется, но мгновенно появляется вновь. Доктор при удалении угрозы выдаёт стандартный метод удаления для андроид. При соглашении на удаление нажатием кнопки ок, программа выдаёт сообщение "Ошибка при удалении" и сразу же опять окно с предложением удалить. И так до бесконечности. Нашёл процесс bcfservice - убил, но ничего не изменилось.

Возможно dr.web что то не детектит.
Можете посмотреть дату последнего изменения файлов в /system/app и в system/priv-app. Обычно файлы которые были в прошивке изначально имеют одинаковую дату +- несколько минут. Файлы дата изменения которых сильно отличается, скорее всего, были установлены менджером root, либо трояном. Можете отправить их на анализ. https://vms.drweb.ru/sendvirus/
Проще всего это будет сделать через терминал https://play.google.com/store/apps/details?id=jackpal.androidterm&hl=ru

команды:

cd /system/app

ls -a -l
(будет выведен список файлов в /system/app)
cd /system/priv-app

ls -a -l

(будет выведен список файлов в /system/priv-app)



Так же поможет переустановка прошивки.
 

[Vasyaka]

Нашёл несколько файлов датированных февралём 2016 г, против родных августом 2015г. Отправил в службу вирусного мониторинга компании Доктор Веб. Что касается перепрошивки, то здесь проблема. На данную модель планшета teXet X-pad NAVI 10 3G/TM-1046 в сети ещё нет прошивки. Только сервисный центр.

 

[Ivan Purlats]

 

Нашёл несколько файлов датированных февралём 2016 г, против родных августом 2015г. Отправил в службу вирусного мониторинга компании Доктор Веб. Что касается перепрошивки, то здесь проблема. На данную модель планшета teXet X-pad NAVI 10 3G/TM-1046 в сети ещё нет прошивки. Только сервисный центр.

 

 

А можете еще указать номера ваших обращений?

[Vasyaka]

К сожалению не записал 

Посмотрел почту, нашёл  

Вашему запросу назначен идентификатор [drweb.com #6697014].

Сообщение было изменено Vasyaka: 10 Февраль 2016 - 21:11

[Sergey Bespalov]

Vasyaka,

Попробуйте удалить так:
1. Отключить интернет ( и WiFi и мобильный)

2. Удалить файлы:
  /system/xbin/configopb
  /system/bin/configopb

 

 /system/bin/conbb
 /system/xbin/conbb


Их желательно отправить в dr.web, они будут занесены в вирусную базу, после чего антивирус сможет их удалять.
Скорее всего, менеджерами для удаления файлов, даже с root доступом, они удаляться не будут.

 

удалить всё из дериктории
Android/com/usbdevice/dbinfo/    на sd карточке

3. Удалить троян с помощью антивируса

4. Перезагрузить телефон
 

(самостоятельно можно удалить файлы можно через терминал)
 su -c mount -o remount, rw /system

 su -c chattr -ia <имяфайла>
 su -c rm <имяфайла>


 если "chattr: not found", то нужно установить
https://play.google.com/store/apps/details?id=stericson.busybox&hl=ru

[Vasyaka]

Sergey Bespalov, интернет отключен, сим не вставлена. Файлы из двух папок отправил на исследование. Вручную файлы не удаляются. Установил терминал и BusyBox, то же не удалились. Я не силён в английском, но похоже терминал жалуется на отсутствие файла. Может я ваши команды в терминал не правильно ввожу?

 su -c chattr -ia configopb или так su -c chattr -ia /system/bin/configopb?  Я вводил только имя, полный путь не стал пробовать вводить, боясь накосячить. По этому пути Android/com/usbdevice/dbinfo/ папки com у меня нет.

Сообщение было изменено Vasyaka: 11 Февраль 2016 - 23:12

[l.e.e.]

так su -c chattr -ia /system/bin/configopb

[Vasyaka]

Не, не удалось удалить файлы. Терминал вроде как их удаляет, команда проходит, выскакивает всплывающая подсказка о предоставлении рут прав терминалу, но по факту файлы на месте.

[Vasyaka]

Возможно dr.web что то не детектит.

Можете посмотреть дату последнего изменения файлов в /system/app и в system/priv-app. Обычно файлы которые были в прошивке изначально имеют одинаковую дату +- несколько минут. Файлы дата изменения которых сильно отличается, скорее всего, были установлены менджером root, либо трояном. Можете отправить их на анализ.

Пришёл ответ из лаборатории

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Adware.Adstart.6

 

[Vasyaka]

Обновил базы, просканировал, нашёл ещё чего то - удалил успешно. Но 2 файла так и не смог удалить 

Android.Triada.7 в папке /system/bin/configopb 

Android.Triada.2.origin в папке system/app/GloabIBCServiceInfo.apk

Удалил успешно  файл  в папке /system/bin/configopb через терминал. А вот с файлом GloabIBCServiceInfo.apk вышла осечка. Я не понимаю как вводить это название, а именно латинские буквы. Где большая буква I (и), а где маленькая l (л). Пробую и так и этак, терминал жалуется на отсутствие файла. Может вы знаете название, подскажите. А то уже не невмоготу прописывать команды.

 

Ещё хочу покаяться, что бы не смазалась картинка. 

 

Не, не удалось удалить файлы. Терминал вроде как их удаляет, команда проходит, выскакивает всплывающая подсказка о предоставлении рут прав терминалу, но по факту файлы на месте.

 

Я выполнил команду su -c mount -o remount, rw /system

Потом  команду  su -c chattr -ia <имяфайла>

 А команду su -c rm <имяфайла> не выполнял.

Ну вот я такой программист  , посчитал наверное что этого достаточно.  Каюсь.

Прикрепленные файлы:

•  GloabIBCServiceInfo.JPG   118,97К   1 Скачано раз
•  Терминал.JPG   91,23К   4 Скачано раз

[Vasyaka]

В общем, путём копирования текста и открытием в текстовом редакторе выяснил истинное название. Первые 3 буквы - л, последняя - и. Попробовал удалить в терминале - неудача. Пытается удалить, и ничего, файл на месте. Убил процесс BCService, и попробовал вновь удалить через терминал - опять неудача. Будут ещё мысли по этому поводу, или сдаёмса? Я то уже давно сдался бы, но прошивки нет. Промелькнула надежда на прошивку, но ревизия не подходит. А СЦ далеко, день убить только на доставку планшета в СЦ.

Прикрепленные файлы:

•  GloabIBCServiceInfo.JPG   39,97К   1 Скачано раз

[Vasyaka]

После установки программы busybox терминал повёл себя по другому.

Прикрепленные файлы:

•  busybox.JPG   64,34К   3 Скачано раз

[IlyaS]

Пробел в remount, rw лишний. Должно быть:

su -c mount -o remount,rw /system

[Vasyaka]

Спасибо. Удалил пробел, ввёл команды в правильном порядке - не удаляется вредоносное программное обеспечение. При выполнении последней команды доктор сигнализирует об опасности. То есть происходит то же самое что и  при попытке удаления файла вручную через тотал командер. Файл удаляется и сразу же восстанавливается вновь. Прям ужос какой то.

[Edward Moskalchuk]

Копия /system/bin/configopb живёт в /sbin/e2fsck_guard и оттуда восстанавливается. Нужно убить процесс e2fsck_guard, потом файл /sbin/e2fsck_guard и после этого /system/bin/configopb. И тогда, по идее, должно получиться удалить оставшийся apk. Перед удалением e2fsck_guard нужно перемонтировать корневой раздел для чтения-записи. Также нужно удалить папку /data/configppp.

 

Последовательность команд будет такая:

su
ps | grep e2fsck_guard

Первое число, которое выдаст команда - это ID процесса. Далее нужно передать этот ID команде "kill -9":

kill -9 ID

mount -o remount,rw /
rm /sbin/e2fsck_guard
mount -o remount,ro /
mount -o remount,rw /system
rm /system/bin/configopb
rm /system/app/GloablBCServiceInfo.apk
mount -o remount,ro /system
rm -rf /data/configppp

После этого нужно перезагрузить устройство и выполнить полную проверку.

Сообщение было изменено Edward Moskalchuk: 15 Февраль 2016 - 17:56