Перейти к содержимому


Фото

происходит постоянное заражение на смартфоне,не обнаруживает и не помогает ни один известный антивирусник

вирус неизвестный

  • Please log in to reply
11 ответов в этой теме

#1 str@nnik74

str@nnik74

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 02 Апрель 2017 - 17:20

Здравствуйте. У меня аналогичная ситуация ,описанная данным пользователем:  https://forum.drweb.com/index.php?showtopic=324900&st=0&gopid=825287&#entry825287. Не смотря,что с момента открытия темы пользователем прошло немало времени и,казалось бы данная зараза должна быть известна многим антивирусам,но похоже,что это не так. У меня вдруг самопроизвольно стал открываться браузер ,кто-то шарит по сайтам ,например посещает сайт www.quedepova.com и т.п без моего ведома,Касперский не обнаруживает данный вирус,один только раз обнаружил,удалил--потом опять все сначала-похоже где-то в памяти вирус все-таки сохраняется, доктор веб  даже если обнаруживает, удаляет--все равно потом проблема возвращается. Объясню поподробнее--сейчас у меня другой антивирусный продукт,но тем не менее ситуация аналогична той,что описал пользователь в своем к Вам вопросе. Сейчас угроз нет,но непонятно что-то с телефоном.Я отключаю установку из неизвестных источников--ее через какое -то время кто-то включает,несмотря на антивирус типа Internet Security. Антивирус сообщает,что включена установка из неизвестных источников--приходиться все время отключать ее. Самопроизвольно устанавливается Nine Store 9 без моего ведома. До этого был троян под видом приложения Google Store ,которое кто-то опять без моего ведома через интернет установил,было даже,что хакер запускает игру из Nine Sore9,перед этим устанавливая его мне на телефон и запускает дурацкую игру какую-то с музыкой. Антивирус его успешно удалил этот Google Store. Все исчезло,но как я уже говорил--кто-то постоянно включает установку из неизвестных источников,как-то захожу в приложения и вижу этот Google Store (который антивирус мне успешно удалил) в приложениях и он тут же оттуда исчезает,видимо чтобы я его не увидел.Видимо понимая и зная куда я в данный момент зашел--он (хакер)его  оттуда удалил. У меня подозрение что в своем телефоне я не один! К сожалению...Телефон Micromax (Китай) ,были на нем всякие приложения-я их после покупки в Билайне удалил ,некоторые установил только из офиц иального магазина Goggle Play. После покупки прошло 6 месяцев и началась такая ерунда. А у меня ведь на телефоне и пароли и номера банк.карт и т.п Я боюсь за свою информацию и не понимаю,за что я оплатил деньги за ту же подписку Касперского-он угроз не замечает,и доктор веб тоже если находит,удаляет,но ситуация повторяется.Кстати несмотря что стоит брандмауэр.Почему антивирусы известные не справляются с угрозой? Помогите,пожалуйста  что делать?



#2 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 03 Апрель 2017 - 12:18

str@nnik74,  Здравствуйте. Посмотрите тему на 4pda по вашему телефону. Возможно троян там был изначально.

Для того что бы вам помочь, нужны все файлы из директорий /sbin, /system/app, /system/bin, /system/xbin, /system/lib, /system/priv-app (и вообще всё что удастся скопировать из /system) и /data/app. Скорее всего, что бы всё это вытащить понадобится рут. Запакуйте эти директории в архив с паролем "virus" и выложите на файлообменник, например яндекс диск.
Или можете перепрошить телефон на чистую прошивку.



#3 str@nnik74

str@nnik74

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 04 Апрель 2017 - 23:36

str@nnik74,  Здравствуйте. Посмотрите тему на 4pda по вашему телефону. Возможно троян там был изначально.

Для того что бы вам помочь, нужны все файлы из директорий /sbin, /system/app, /system/bin, /system/xbin, /system/lib, /system/priv-app (и вообще всё что удастся скопировать из /system) и /data/app. Скорее всего, что бы всё это вытащить понадобится рут. Запакуйте эти директории в архив с паролем "virus" и выложите на файлообменник, например яндекс диск.
Или можете перепрошить телефон на чистую прошивку.

Я не знаю как это сделать...Приложения в Гугл плэй  не дают рут -прав, Чистой прошивки на 4 pda вообще нет для Микромакс Canvas 413



#4 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 05 Апрель 2017 - 12:32

str@nnik74, К содержимому системных папок доступ есть и без рута. Иожете попробовать записать их все в архив с помощью архиватора: https://play.google.com/store/apps/details?id=com.rarlab.rar
А приложения, с помощью программы для бекапа приложений, например: https://play.google.com/store/apps/details?id=com.idea.backup.smscontacts



#5 str@nnik74

str@nnik74

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 05 Апрель 2017 - 19:40

str@nnik74, К содержимому системных папок доступ есть и без рута. Иожете попробовать записать их все в архив с помощью архиватора: https://play.google.com/store/apps/details?id=com.rarlab.rar
А приложения, с помощью программы для бекапа приложений, например: https://play.google.com/store/apps/details?id=com.idea.backup.smscontacts

Я скачал,но у меня ничего не получается,не пишет архив выдает ошибки.SD карты у меня нет,приложения скопировать и сохранить в архив не удается.То ли телефон тупой,то ли приложения ,которые вы дали,я архивы не первый раз создаю,а тут ничего не получается.



#6 str@nnik74

str@nnik74

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 07 Апрель 2017 - 20:08

str@nnik74, К содержимому системных папок доступ есть и без рута. Иожете попробовать записать их все в архив с помощью архиватора: https://play.google.com/store/apps/details?id=com.rarlab.rar
А приложения, с помощью программы для бекапа приложений, например: https://play.google.com/store/apps/details?id=com.idea.backup.smscontacts

Вас не затруднит дать прямую ссылку на файл apk заводской прошивки Android Lollipop 5.0 или 5.1 на сайте 4pda.ru? Я не нашёл ссылку на скачивание , вернее есть ссылка на эту опер  систему,но скачать нет возможности,нет именно там ссылки.2) Архиватором rar не получается создать архив,он начинает писать и пишет с ошибками или виснет. 3) Приложение для бэкапа приложений,которое Вы дали -- оно копирует их ,а возможности сохранить эту копию в приложении для создания бэкапа нет.



#7 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 10 Апрель 2017 - 14:36

str@nnik74,

 

Я не знаю как прошить ваш телефон. Попробуем без прошивки удалить вирусы.

У вас есть возможность подключить телефон к PC?

1. https://developer.android.com/studio/index.html  отсюда в самом конце табличка "Get just the command line tools". Скачать архив.
2. здесь универсальный драйвер http://adbdriver.com/downloads/
3. далее погуглите видео или статью "android 5.0 включить отладку по usb"
4. подключите телефон, поставьте драйвера, запустите sdk\tools\monitor.bat из первого архива
5. если всё ок, откроется окно, в котором будет ваш телефон. Тыкаете по телефону, затем справа появится список файлов и папок, выбираете папку system и нажимаете иконку с дискетой - вы скопируете файлы на компьютер.
6. переходите в папку \sdk\platform-tools из скаченного в шаге 1 архива. Запускаете командную строку. (удерживая shift правый клик, выбрать "открыть командную строку здесь")
 

выполнить:
adb shell
pm list packages -f|grep /data/app

будет выведен список файлов такого вида :
package:/data/app/com.drweb.pro.market-1.apk=com.drweb.pro.market

открываете еще одно консоли и в нём для каждого файла в списке выполняете команду:
adb pull /data/app/com.drweb.pro.market-1.apk

копируете полученные файлы вместе с тем, что было скопировано из /system кладете в архив с паролем virus, залейте на файлообменник, киньте ссылку сюда.

так же скопируйте и скиньте сюда текстовым файлом вывод следующих команд:
adb shell
ls -a -l /system/bin

ls -a -l /system/xbin

ls -a -l /system/app

ls -a -l /system/priv-app

ls -a -l /system/lib


 



#8 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 399 Сообщений:

Отправлено 18 Апрель 2017 - 17:32

1. https://play.google.com/store/apps/details?id=com.rarlab.rar

В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива "visrus"
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

В этой программе делаете бекап всех приложений и архивируете их (с паролем "virus"). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

Я проверил, данные приложения позволяют скопировать файлы из этих разделов без рута, можете попробовать данный способ.



#9 str@nnik74

str@nnik74

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 18 Апрель 2017 - 19:44

К ПК я боюсь подключать,ведь возможно вирусы неизвестные. Я на днях сделал следующее-- обратился в их авторизованный сервисный центр, обновили мне прошивку ,заплатил штуку рублей, прихожу домой-- через полчаса тоже самое,вирусы обнаруживает лучше Dr.Web, Касперский обнаруживал иногда лишь, удаляется приложение как рекламное или как вирус ,а потом вновь кто-то или само включается установка из Неизвестных источников, снова устанавливаются удаленные антивирусом вредоносные приложения и опять та же песня,как говорится. По поводу Вашего последнего сообщения мне https://play.google.com/store/apps/details?id=com.rarlab.rar   -- у меня sd-карты как раз нету. Но я попробую сделать как Вы просили,если получится залью на диск.


Сообщение было изменено str@nnik74: 18 Апрель 2017 - 19:45


#10 Ky3bkuHaM@Tb

Ky3bkuHaM@Tb

    Newbie

  • Posters
  • 97 Сообщений:

Отправлено 19 Апрель 2017 - 06:51

Наверно эта гадость встроена в прошивку изначально.Поэтому чтобы вот так не мыкаться надо перед тем как что-то покупать поискать информацию о том, что собираешься купить(совет на будущее).Ну и написать в Билайн о том, что они продают(если подтвердиться версия о встроенном в прошивку вирусе).С условием если вы конечно не обновляли прошивку по воздуху(ОТА) уже после покупки.Тогда ставьте старую(установленную на момент покупки) и больше не обновляйте ее.

#11 lostping

lostping

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 10 Июнь 2018 - 18:24

У меня тоже Micromax Q413. Время от времени включается "Установка из неизвестных источников" и устанавливаются приложения. DrWeb с определенного момента (точно не скажу, по ощущениям с полгода) сообщает о четырех вредоносах в прошивке. Пока руки не дошли их удалить (отключить). Может быть, телефон будет интересен как ловушка для вирусов? Сегодня установилось 4 приложения, одно из них, TBrowser, было удалено DrWeb-ом, бэкап трех оставшихся прилагаю: https://yadi.sk/d/J1eB99Bz3Xg7oo пароль архива virus.



#12 Edward Moskalchuk

Edward Moskalchuk

    Member

  • Virus Analysts
  • 162 Сообщений:

Отправлено 10 Июнь 2018 - 20:02

Приложения добавлены в базу:

npt-com.laomao.ouq-1-v1.0.apk - Android.Xiny.2134
services.toolss-com.services.toolss-1-v1.0.apk - Android.HiddenAds.288.origin
SysBTL-com.ad.btlad-3-v1.2.apk - Android.HiddenAds.289.origin

 

Спасибо.

 

В следующий раз присылайте пожалуйста подозрительные файлы через форму https://vms.drweb.ru/sendvirus/




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых