Перейти к содержимому


Фото

Неудаляемые вирусы на Android


  • Закрыто Тема закрыта
11 ответов в этой теме

#1 Юлия_87

Юлия_87

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 06 Ноябрь 2018 - 19:44

Добрый день! Дочь поймала вирусы на телефон. Dr Web (единственный из антивирусников) их нашел, но удалить не может, только игнорировать предлагает. 

Сброс настроек результата не дал, рут права на этот телефон не получить.

Телефон Vertex Impress Luck.

Вирусы:

1) Android.Downloader.3737 (располагается /system/app/AdupsFota/oat/arm/AdupsFota.odex (вижу эту папку и файл в проводнике, но не удаляется)

2) Android.Downloader.3737 (располагается /system/app/AdupsFota/AdupsFota.apk (вижу эту папку и файл в проводнике, но не удаляется)

3) not a virus Tool.SilentInstaller.3.origin (Программа взлома) (располагается /system/priv-app/DCore/oat/DCore.odex) (вижу эту папку и файл в проводнике, но не удаляется)

4) Android.Mobifun.30 (располагается /system/priv-app/PhoneServer/oat/arm/PhoneServer.odex) (в проводнике такой папке вообще нет)

5) Android.Mobifun.30 (располагается /system/priv-app/PhoneServer/PhoneServer.apk) (в проводнике такой папке вообще нет)



#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 06 Ноябрь 2018 - 19:46

Юлия_87, думаю, эти вирусы изначально были в прошивке от производителя.



#3 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 07 Ноябрь 2018 - 13:19

Юлия_87,

Эти троянцы изначально встроены в прошивку телефона.
1. Первые 3 трояна находятся в /system/app, а два послежних в  /system/priv-app. Возможно, вы не перешли из /system/app в /system/priv-app, поэтому не смогли их найти.

 

2. Пришлите пожалйста файлы /system/priv-app/PhoneServer/PhoneServer.apk и /system/priv-app/PhoneServer/oat/arm/PhoneServer.odex на анализ. Скопируйте их на sd карту (директория /sdcard) через проводник.
Зайдите в антивирус. Выберите - Проверка -> Выборочная проверка -> затем долгое нажатие на файл -> выбрать Отправить в лбораторию -> указать категорию - Ложное срабатывание. Скиньте мне или сюда присвоенный обращению номер.

 

3. Что бы удалить троянцев из раздела /system нужно получить root права. В самый простой способ это KingRoot. Инструкции и ссылки на скачивание можно посмотреть в этой теме: https://4pda.ru/forum/index.php?showtopic=571948

Если с помощью этой программы не удасться получить root права, то нужно прочитать/спросить как их получить в теме о вашем устройстве: https://4pda.ru/forum/index.php?showtopic=839161

После получения root прав троян можно удалить pro версией антивируса, или проводником, который работает с root правами. ( например https://play.google.com/store/apps/details?id=com.jrummyapps.rootbrowser.classic )

 

Так же можно перепрошиться на другую прошивку, инструкции и прошивки есть в теме о вашем смартфоне. Лучше не брать прошивки от производителя, в них скорее всего опять будут троянцы. (https://4pda.ru/forum/index.php?showtopic=839161)
 



#4 Vidovx

Vidovx

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 09 Август 2020 - 06:18

На Андроиде был установлен другой антивирус, который не находил AdupsFota. 

 

Проблема:

Уже в течении нескольких месяцев, когда телефон не используется начала включаться аудио реклама Миринды. Сегодня помимо этой рекламы самопроизвольно включается аудио реклама прокладок Олвейс. Телефон лежит с заблокированным экраном и никто им не пользуется во время включения рекламы.

 

 

Мучения:

Установил DrWeb Security Space и он нашел вирусы AdupsFota. Получив права root - вирусы не удаляются ( хотя всплывает сообщение об удалении, но файл остается). Если при воспроизведении аудио рекламы включить сканер антивируса, то реклама отключается.

 

Есть предположение, что аудио реклама включается не этим вирусом, но антивирус больше ничего не находит.

 

Кеш приложений сбрасывал. 

 

Есть предположение, что данную аудио рекламу воспроизводит какое то официальное приложение (например Мегафон, VLC, браузер). Установка приложений выставлено "только из проверенных источников". До этого было установлено приложение "Мои звонки" скаченное не из Гугл Плей. Сейчас оно удалено, но аудио реклама воспроизводится.

 

Куда копать, что смотреть чтобы удалить данную аудио рекламу?

 

В интернете именно по воспроизведению аудио рекламы при блокированном телефоне ничего не нашел.



#5 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 09 Август 2020 - 07:52

Первая мысль-разрешение браузеру на воспроизведение пуш уведомлений с сайтов. И т.п.

#6 Vidovx

Vidovx

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 15 Август 2020 - 04:54

разрешение браузеру на воспроизведение пуш уведомлений с сайтов

 

1. Стер данные браузеров и сбросил кеш в приложении.

2. Заблокировал уведомления встроенного браузера и браузера Гугл.хром.

3. В аккаунтах Гугл запретил показы уведомлений.

 

Результата нет, помимо аудио рекламы "Миринды", началась реклама "малинового чаяпития в Пятерочке". Впечатление, что стало больше рекламы.

 

Смартфон: Highscreen Power Rage Evo, Андроид 6.0, обновлений от производителя нет с 2016 года. 

 

Похоже надо менять телефон (((



#7 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 814 Сообщений:

Отправлено 15 Август 2020 - 09:53

Я для HighScreen шил в свое время альтернативку. Хуже-то вряд ли будет, но зато никакого bloatware. Ну и для этой модели на 4pda полно вариантов.



#8 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 24 Август 2020 - 17:54

Vidovx, Пришлите файлы на проверку.
 

 

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "virus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

 

Если из /system не получается, то для начала можно только не системные приложения (п.2).



#9 Дмитрий_55_

Дмитрий_55_

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 06 Сентябрь 2020 - 06:53

Здравствуйте, антивирус нашел android.locker.179 в приложении com.android.browser удалить не получается. Как мне поступить?

#10 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 06 Сентябрь 2020 - 10:58

Здравствуйте, антивирус нашел android.locker.179 в приложении com.android.browser удалить не получается. Как мне поступить?

Все аналогично с предыдущими случаями. Уже много раз писалось, есть информация и в справке.

#11 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 06 Сентябрь 2020 - 16:39

ТС не появлялась в теме с ноября 2018 года.

Скорее всего проблема для неё уже не актуальна.

Тема закрыта.

Модератор.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#12 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 07 Сентябрь 2020 - 14:23

Дмитрий_55_, создайте, пожалуйста, новую тему, в которой более подробно опишите Вашу проблему.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid



Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых