Перейти к содержимому


Фото

Android.DownLoader.89.origin

cloudsota CloudsService.apk

  • Please log in to reply
8 ответов в этой теме

#1 sanEdward

sanEdward

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 23 Февраль 2018 - 12:46

Добрый день.

Помогите пож. с виросом, я неделю перечитал весь интернет с этой заразой, так никто и не знает как вылечить.

 

Android.DownLoader.89.origin
/cloudsota/CloudsService.apk

 

Короче, купил дешевый китайский планшет для дочке с аллиэкспресс (Q88H, CPU: Allwinner A33). Система завирусована. Нашел все подходящие прошивки, штук 5 попробовал, одни и те же вирусы. Решил редактировать прошивку, в итоге остановился на пол пути, так как нет у меня знаний в Линукс систем.

Начал удалять вручную все следы вируса, но чего то я пропускаю. Все манипуляции описанные в интернете ничего не дают, так как после рестарта все восстанавливается, а именно:

Значит так, рут поставил, x-plore-file-manager (им без проблем удаляю любой фаил системы), Dr.Web Security Space, Terminal, BusyBox.

В пусковом фаиле init.sun8i.rc прописано в конце:

#clouds checkota service
service checkota /system/bin/checkota.sh
class main
oneshot

#clouds ota service
service shcmd /system/bin/shell_cmd_service
class main

 

Удалил эти надписи, сохранил, после рестарта это восстановилось.

Так же удалил все фаилы:

rm /system/bin/checkota.sh
rm /system/etc/CloudsService.apk
rm /system/app/CloudsService.apk

После рестарта эти и не появляются, но всегда возвращается папка в корне с названием cloudsota c фаилами:

CloudsService.apk
06ab80c8.0
checkota.sh
libshellcmd.so
shell_cmd_service

 

 



#2 sanEdward

sanEdward

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 23 Февраль 2018 - 13:08

тут скрины экрана с терминалом (ps) :

http://uploads.ru/dmCwa.png
http://uploads.ru/iPeJZ.png
http://uploads.ru/POAZJ.png
http://uploads.ru/uBFbw.png
http://uploads.ru/KcEix.png



#3 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 253 Сообщений:

Отправлено 26 Февраль 2018 - 14:21

sanEdward, Скиньте ссылку на прошивку которую вы установили. Сторонние прошивки, не от производителя не нашлись?



#4 sanEdward

sanEdward

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 28 Февраль 2018 - 21:55

https://www.needrom.com/download/q8v-v1-6-2016-0414-a33-4-4-2/

это единственная сторонняя прошивка которую я нашел и подходит на планшет, не смотря на то что камера не работает. Что у производителя, что сторонние прошивки, один и тот же вирус.

спс



#5 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 253 Сообщений:

Отправлено 03 Март 2018 - 12:59

sanEdward, Посмотрел прошивку, которую вы скинули. Там этот троян дететится в разделах boot и в recovery. Надо подумать как его от туда убрать... Пока только удалять при каждой перезагрузке.


Сообщение было изменено Sergey Bespalov: 03 Март 2018 - 13:01


#6 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 253 Сообщений:

Отправлено 06 Март 2018 - 13:46

sanEdward, Попробовал в вашей прошивке поудалять трои из разделов boot, recovery. И другие задетекченные трои и их компоненты.
Но проверить мне ее неначем и я не знаю заработает она или превратит ваш телефон в кирпич.

Можете попробовать на свой страх и риск.
https://drive.google.com/open?id=1LYFnOgku48l6mbCJPtP9FEr_nj7CE7WA

пароль "firmware".



#7 sanEdward

sanEdward

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 07 Март 2018 - 23:44

не грузится. Висит иконка зеленого робота при старте и все, 15 мин ждал.

спс за старание и за потраченное время, надеюсь скоро появятся еще идеи.



#8 Sergey Bespalov

Sergey Bespalov

    Member

  • Virus Analysts
  • 253 Сообщений:

Отправлено 14 Март 2018 - 16:03

sanEdward, Пересобрал прошивку с помощью программы DragonFace. Может быть заработает. Скачать можно по той же ссылке, что и пред идущую версию. (Заменил файл).



#9 sanEdward

sanEdward

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 17 Март 2018 - 12:02

попробовал, запустилось, при сканировании вирусов ничего не обнаружено, при том что есть остатки запуска вируса в пусковом фаиле init.sun8i.rc и в checkota.sh. Но самих вирусов нету, и папки cloudsota так же нету. Проверил тремя разными антивирусами. 

Спс большое за старание. Думаю эту прошивку многие еще будут искать. Удачи.




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых