Перейти к содержимому


Фото

Adware.Gexin.2.origin


  • Please log in to reply
24 ответов в этой теме

#1 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 17 Октябрь 2018 - 17:32

Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia

 

Хотелось бы узнать:

 

-возможно ли удалить этот вирус без рут?

-что это за зараза и на, что она влияет?

-и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.



#2 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 17 Октябрь 2018 - 18:29

Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia

 

Хотелось бы узнать:

 

-возможно ли удалить этот вирус без рут?

-что это за зараза и на, что она влияет?

-и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.

 

Сделайте полную проверку и скиньте скриншот с детектами. Не всегда можно удалять с рутом системные приложения, т.к. это может привести к проблемам в работе устройства. Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os  обычно чистые, но не всегда рабочие.



#3 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 18 Октябрь 2018 - 08:46

 

Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia

 

Хотелось бы узнать:

 

-возможно ли удалить этот вирус без рут?

-что это за зараза и на, что она влияет?

-и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.

 

Сделайте полную проверку и скиньте скриншот с детектами. Не всегда можно удалять с рутом системные приложения, т.к. это может привести к проблемам в работе устройства. Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os  обычно чистые, но не всегда рабочие.

 

Первоначально телефон не содержал вирусов, кроме одного 

 

 

Еще заметил, одну интересную особенность перед тем, как устанавливается приложение com.adpush.box.russia в котором содержится троянец, в памяти телефона создается папка с файлом внутри Media0\afw\impl_default_4.0.12.jar, при ее удалении через определенное время она опять появляется. Узнать какое приложение эту папку создает мне так и не удалось. Может быть вы подскажите?

Прикрепленные файлы:



#4 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 18 Октябрь 2018 - 09:07

 

Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os  обычно чистые, но не всегда рабочие.

 

 

 

 

Первоначально телефон не содержал вирусов, кроме одного Adware.Patacore.2.origin (Рекламная программа), по пути /system/app/STS-FS5540-2w/STS-FS5540-2w.apk, но данное приложение было с успехом отключено и больше ни как себя не проявляло.

 

 

 

 



#5 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 18 Октябрь 2018 - 13:03

muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
Для этого нужны ваши приложения:

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.



#6 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 18 Октябрь 2018 - 13:37

 

muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
Для этого нужны ваши приложения:

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

 

 

Да я делал полную проверку! Данное приложение при проверке не высвечивается, а устанавливается с периодичностью два-три раза в сутки и ловится монитором SplDer Guard и  как только оно появляется я его удаляю.

 

Прошу прощение может за не очень корректный вопрос. Для архивирование программой RarLab раздела /system я должен открыть права ROOT на телефоне?



#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 18 Октябрь 2018 - 13:55

muravey2000, Нет, для архивирования системного раздела права root не нужны. Возможно будут сообщения, что некоторые файлы не удалось скопировать, но это не страшно.



#8 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 18 Октябрь 2018 - 17:22

 

 

muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
Для этого нужны ваши приложения:

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

 

 

Да я делал полную проверку! Данное приложение при проверке не высвечивается, а устанавливается с периодичностью два-три раза в сутки и ловится монитором SplDer Guard и  как только оно появляется я его удаляю.

 

Прошу прощение может за не очень корректный вопрос. Для архивирование программой RarLab раздела /system я должен открыть права ROOT на телефоне?

 

Как вы и сказали сделал копию системных приложений и приложений установленных на телефон, что бы Вы сумели проанализировать какое приложение устанавливает троянца. Архивы закачаны файлообменник Яндекс диск. Пароль на архивах virus.

 

Ссылки на скачивание:

 

Архив папки \system:

https://yadi.sk/d/LtPmUMm6seX5Jw

 

Копий приложений установленных на телефон:

https://yadi.sk/d/xsBPo9k0pz7GMw



#9 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 18 Октябрь 2018 - 17:23

Так же к данному письму решил прикрепить копию приложения которое содержит данный вирус в архиве с тем же паролем virus и скриншот с телефона, где видно какую девушку показывает этот вирус.

Прикрепленные файлы:



#10 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 19 Октябрь 2018 - 17:38

muravey2000, Пока обнаружились троянцы в приложениях \system\app\Rsota (Android.DownLoader.820.origin), \system\app\STS-FS5540-2w (Adware.Patacore.5)
При том, \system\app\STS-FS5540-2w должен был задетектиться при полной проверке, а у вас почему то не задетектился, попробуйте скачать новую версию.

Как их удалить -
Получить рут права. Kingroot это самый простой способ, но не всегда работает. Подробнее в этой теме -  https://4pda.ru/forum/index.php?showtopic=571948

Если получить права с помощью Kingroot не удасться, то посмотрите инструкции в теме по вашему устройству (в прошивке указано что это FLY FS554): https://4pda.ru/forum/index.php?showtopic=849517&st=100#entry70840860

 

https://play.google.com/store/apps/details?id=com.drweb.pro 

- версия по ссылке выше может использовать права рута. Сделать полную проверку, предоставить антивирусу рут права, удалить вирусы.

 

Либо скачать терминал: https://play.google.com/store/apps/details?id=jackpal.androidterm

затем выполнить команды:

su
(програма запросит root права, предоставить)

mount -o remount,rw /system

rm -r /system/app/Rsota

rm -r /system/app/STS-FS5540-2w

mount -o remount,ro /system

 

Если антивирус будет ругаться, на удаление файлов из системной области то его можно проигнорировать.


Сообщение было изменено Sergey Bespalov: 19 Октябрь 2018 - 17:38


#11 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Октябрь 2018 - 18:27

muravey2000, Пока обнаружились троянцы в приложениях \system\app\Rsota (Android.DownLoader.820.origin), \system\app\STS-FS5540-2w (Adware.Patacore.5)
При том, \system\app\STS-FS5540-2w должен был задетектиться при полной проверке, а у вас почему то не задетектился, попробуйте скачать новую версию.

Как их удалить -
Получить рут права. Kingroot это самый простой способ, но не всегда работает. Подробнее в этой теме -  https://4pda.ru/forum/index.php?showtopic=571948

Если получить права с помощью Kingroot не удасться, то посмотрите инструкции в теме по вашему устройству (в прошивке указано что это FLY FS554): https://4pda.ru/forum/index.php?showtopic=849517&st=100#entry70840860

 

https://play.google.com/store/apps/details?id=com.drweb.pro 

- версия по ссылке выше может использовать права рута. Сделать полную проверку, предоставить антивирусу рут права, удалить вирусы.

 

Либо скачать терминал: https://play.google.com/store/apps/details?id=jackpal.androidterm

затем выполнить команды:

su
(програма запросит root права, предоставить)

mount -o remount,rw /system

rm -r /system/app/Rsota

rm -r /system/app/STS-FS5540-2w

mount -o remount,ro /system

 

Если антивирус будет ругаться, на удаление файлов из системной области то его можно проигнорировать.

 

Здравствуйте! троян по адресу /system/app/STS-FS5540-2w/STS-FS5540-2w.apk детектится при полной проверке, но данное приложение с успехом отключено через настройки телефона и не мешает жить.

 

Сегодня у знакомого при проверки телефона Флай другой модели, не помню точно какой, но тоже на Андройде 7-ке, при проверке тоже обнаружилось это приложение 系统输入法-com.adpush.box.russia-2-v1.0.2, и все с тем же трояном.

 

Помогите пожалуйста с определением приложения которое устанавливает троянца.

 

Заранее большое спасибо.

 

 

Рут права можно получить на этом телефоне и я делал это, но это очень "муторно". Хотелось бы все таки выяснить может это не системное приложение устанавливает 系统输入法-com.adpush.box.russia-2-v1.0.2



#12 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Октябрь 2018 - 18:43

И скажите пожалуйста удаление приложения Rsota, которое отвечает за беспроводное обновление ни как не повлияет на работу устройства?

 

 

Ниже скинул скрин, что приложение STS удалось отключить стандартными средствами, и оно не должно влиять на работу устройства.

Прикрепленные файлы:



#13 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 19 Октябрь 2018 - 19:08

muravey2000, Да повлияет, обновлений по воздуху не будет, но вреда от этого приложения больше чем пользы.

 

muravey2000, Можете попробовать его отключить, если это возможно. Его имя в списке приложений - "Upgrade". либо "Беспроводное обновление", в зависимости от того, какой у вас выбран язык.

 

Отключение приложений не всегда эффективно. Это приложение может снова быть включено каким либо системным приложением, например, после перезагрузки устройства. Надо периодически смотреть, остается ли приложение отключенным.


Сообщение было изменено Sergey Bespalov: 19 Октябрь 2018 - 19:23


#14 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 19 Октябрь 2018 - 19:31

muravey2000, Насчет возможности того, что это не системное приложение устанавливает трой. Это возможно только если данному, не системному, приложению предоставлены root права. Без root прав скрытно устанавливать приложения могут только системные троянцы.
Не системные приложения я еще не смотрел.



#15 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Октябрь 2018 - 20:02

muravey2000, Да повлияет, обновлений по воздуху не будет, но вреда от этого приложения больше чем пользы.

 

muravey2000, Можете попробовать его отключить, если это возможно. Его имя в списке приложений - "Upgrade". либо "Беспроводное обновление", в зависимости от того, какой у вас выбран язык.

 

Отключение приложений не всегда эффективно. Это приложение может снова быть включено каким либо системным приложением, например, после перезагрузки устройства. Надо периодически смотреть, остается ли приложение отключенным.

Спасибо большое решился я еще раз поставить рут права и удалить эти два системных приложения с вирусами. Буду надеется, что это поможет и то приложение с вирусом подгружала именно rsota.



#16 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 23 Октябрь 2018 - 11:31

Здравствуйте Сергей!
 
Спасибо большое за помощь в определении приложения которое посылало вирус, удаление Rsota помогло!
 
И у меня к Вам будет еще одна просьба у моего знакомого только теперь на Fly FS529 такая же ситуация на телефоне, как и у меня. Так же, какое то приложение устанавливает другое приложение все с тем же вирусом  Adware.Gexin.2.origin. И плюс к этому у него сами по себе устанавливаются различные услуги на Билайне. Вы бы не смогли бы проанализировать его системные приложения, т.к. антивирус распознает только STS c Adware.Patacore.5, который я ему уже удалил. А Доктор Веб других вирусов не видит. Хотел сразу ему удалить Rsota, но у него этого  приложения нет, есть update, но я думаю это не факт, что именно в нем в этот раз будет вирус.
 
Я прикрепил ссылку на архив с его системными приложениями, пароль на архиве virus.
 
 
Заранее большое спасибо!


#17 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 23 Октябрь 2018 - 13:17

muravey2000, Посмотрю.

 

1. Подписки могут оформляться не системным приложением, поэтому не системные приложения тоже желательно прислать на алализ.

2. Подписки могут оформляться если просто зайти на сайт в интернете и кликнуть по кнопке "Play". Здесь примерно описано как это происходит: https://habr.com/post/323356/

Поэтому надо звонить оператору, требовать отключить возможность подключения подписок.



#18 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 23 Октябрь 2018 - 13:28

muravey2000, Посмотрю.

 

1. Подписки могут оформляться не системным приложением, поэтому не системные приложения тоже желательно прислать на алализ.

2. Подписки могут оформляться если просто зайти на сайт в интернете и кликнуть по кнопке "Play". Здесь примерно описано как это происходит: https://habr.com/post/323356/

Поэтому надо звонить оператору, требовать отключить возможность подключения подписок.

Спасибо! За информацию! Я Вас понял! Я не стал делать Вам копии установленных приложений потому, что они такие же, как и на моем телефоне FS554 и устанавливались из тех же источников, что и мои приложения которые я уже Вам посылал. Других там нет. А я так понял, что в моих вирусов не было обнаружено?



#19 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 23 Октябрь 2018 - 16:19

muravey2000, В ваших приложениях вирусов не обнаружено. Но если у вашего друга трой,загружающий и устанавливающий приложения, то он мог установить какие то приложения без вашего ведома.



#20 muravey2000

muravey2000

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 23 Октябрь 2018 - 17:27

muravey2000, В ваших приложениях вирусов не обнаружено. Но если у вашего друга трой,загружающий и устанавливающий приложения, то он мог установить какие то приложения без вашего ведома.

 Спасибо большое! Но странно! У него такая же проблема, как и у меня периодически устанавливается 系统输入法-com.adpush.box.russia-2-v1.0.2. Это приложение у меня перестало устанавливаться после удаления RSota в котором содержался троян Android.DownLoader.820.origin. Просто очень схожая ситуация. Я поэтому и предположил, что у него тоже может сидеть подобный троян который и загружает 系统输入法-com.adpush.box.russia-2-v1.0.2. Насчет приложений которые у него установлены я проверил ни чего не добавилось, да он сам и не умеет их загружать.

 

Если Вы не против я завтра сделаю резервные копии установленных в ручную приложений и загружу сюда для анализа, что бы удостовериться наверняка.

 

Скажите пожалуйста, а возможно такое, что вы тоже не сумели идентифицировать вирус который сидит в системных приложениях. Извините заранее.

 

Я конечно написал в поддержку Fly об обнаружении вируса в системных приложениях. И о просьбе о выпуске нового обновления чистой прошивки, но я не уверен, что оно будет. Поэтому хотелось бы искоренить эту проблему своими силами и написав об этой проблеме на форуме 4Pda, узнал, что я далеко не один такой.


Сообщение было изменено muravey2000: 23 Октябрь 2018 - 17:32



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых