Перейти к содержимому


Фото
- - - - -

Android.BackDoor.271, Android.Backdoor.461.origin, Android.Xiny.96


  • Please log in to reply
5 ответов в этой теме

#1 evildesign

evildesign

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 13 Ноябрь 2016 - 18:47

Планшет Optima Prime 3G TT7000PG. Android 4.4.2. Поймал дрянь, которая подгружала целый букет триад - реклама, порно, тормоза. Вычистил Drwebом, поставив Kingroot 4.9.7 для рута. После перезагрузки появляется попеременно  Android.Xiny.96 в com.android.installer.protect system/app/InstallerProtect.apk или  Android.BackDoor.271,Android.Backdoor.461.origin  в com.android.providers.helpserver CertificateInstallerProviders.apk  Если не чистить начинает постепенно подтягивать друзей.

Посмотрел похожие темы. Описанных там процессов и папок не наблюдаю. Папку System отгрузил с паролем [drweb.com #7328179].



#2 I.Zhilyakov

I.Zhilyakov

    Newbie

  • Virus Analysts
  • 54 Сообщений:

Отправлено 14 Ноябрь 2016 - 14:11

Добавил 2 угрозы, Android.Rootkit.46, Android.Rootkit.47.

Нужно удалить файлы

/system/xbin/.hulu

/system/bin/helperd_server

/system/bin/.luser/.hu
/system/app/cleaner.apk - Adware.Appsad.3.origin

Так же часть угроз должна дублироваться в директории /sbin/

/sbin/.hulu

/sbin/helperd_server

и /data/, но у текущей версии антивируса туда нет доступа, так что файлы нужно сканировать вручную


Сообщение было изменено I.Zhilyakov: 14 Ноябрь 2016 - 14:15


#3 evildesign

evildesign

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 15 Ноябрь 2016 - 13:45

Спасибо большое за оперативность- с момента обращения до добавления в базы прошло меньше часа. 

Пока одна проблема- не могу удалить ни один из файлов ни через drweb, ни через ES проводник. drweb пишет нет рут доступа, а ES проводник- read-only file system. Заново подтянутые друзья удаляются. Хотя kingroot и root checker говорят, что права есть. Не знаю с чем связано- может какие-то особенности kingroot.

Не подскажите, как их удалить.



#4 Emir

Emir

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 07 Декабрь 2016 - 07:28

Планшет Elenberg 730-2. С прилавка вирусы. Так как нет нормальной прошивки решил попробовать удалить все через антивирус. В итоге после проверки удалил около 300 файлов. Осталась 1 проблема, антивирус ругается постоянно на Android.BackDoor.271,Android.Backdoor.461.origin в com.android.providers.helpserver CertificateInstallerProviders.apk. Файлов перечисленных в ответе I.Zhilyakov на планшете нет. Искал через ES проводник. Root есть. Помогите, пожалуйста.



#5 Emir

Emir

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 07 Декабрь 2016 - 09:19

Файлы которые нужно удалить нашел, но удалить не могу... пишет Operation not permitted



#6 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 342 Сообщений:

Отправлено 07 Декабрь 2016 - 13:16

Emir, Лучше пришлите нам /system в архиве с паролем virus, т.к. может там еще что то есть.
можете попробовать удалить через терминал https://play.google.com/store/apps/details?id=jackpal.androidterm&hl=ru
например удаление /system/bin/.hulu будет выглядеть как то так:
su -c mount -o remount,rw /system

su -c chattr -ia /system/bin/.hulu
su -c rm /system/bin/.hulu

 

после удаления всех файлов
su -c mount -o remount,ro /system




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых