Android gexin 1 как удалить

Android.Gexin.1

#1 Nurdieleben

  • Members
  • 2 Сообщений:
  • После проверки dr web обнаружил Android.Gexin.1 в папках /system/app/jjhome/jjhome.apk и /system/app/oat/arm/jjhome.odex. Предлагает только игнорировать, удалить не может. По поиску не нахожу, что это за вредоносная программа. Другие антивирусы ничего не находят.

    Подскажите, что делать?

    Телефон Xiaomi Redmi Note 4X, android 6.0.1, MIUI 8.2.

    Прикрепленные файлы:

    • qx8afEafOEs.jpg91,97К 1 Скачано раз
    • mK40lOEyjLU.jpg96,18К 0 Скачано раз

    #2 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Для удлаление приложений из системного раздела нужен root. Либо перепрошивка на прошивку без троянца.

    #3 Nurdieleben

  • Members
  • 2 Сообщений:
  • Для удлаление приложений из системного раздела нужен root. Либо перепрошивка на прошивку без троянца.

    Сбросил до заводских настроек — вирус остался. Перепрошил на новый андроид — теперь всё чисто. Спасибо!

    Источник

    Adware.Gexin.2.origin

    #1 muravey2000

  • Posters
  • 15 Сообщений:
  • Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia

    Хотелось бы узнать:

    -возможно ли удалить этот вирус без рут?

    -что это за зараза и на, что она влияет?

    -и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.

    #2 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia

    Хотелось бы узнать:

    -возможно ли удалить этот вирус без рут?

    -что это за зараза и на, что она влияет?

    -и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.

    Сделайте полную проверку и скиньте скриншот с детектами. Не всегда можно удалять с рутом системные приложения, т.к. это может привести к проблемам в работе устройства. Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os обычно чистые, но не всегда рабочие.

    #3 muravey2000

  • Posters
  • 15 Сообщений:
  • Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia

    Хотелось бы узнать:

    -возможно ли удалить этот вирус без рут?

    -что это за зараза и на, что она влияет?

    -и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.

    Сделайте полную проверку и скиньте скриншот с детектами. Не всегда можно удалять с рутом системные приложения, т.к. это может привести к проблемам в работе устройства. Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os обычно чистые, но не всегда рабочие.

    Первоначально телефон не содержал вирусов, кроме одного

    Еще заметил, одну интересную особенность перед тем, как устанавливается приложение com.adpush.box.russia в котором содержится троянец, в памяти телефона создается папка с файлом внутри Media0\afw\impl_default_4.0.12.jar, при ее удалении через определенное время она опять появляется. Узнать какое приложение эту папку создает мне так и не удалось. Может быть вы подскажите?

    Прикрепленные файлы:

    • Screenshot_20181018-064548.png165,09К 2 Скачано раз
    • Screenshot_20181018-064652.png145,6К 0 Скачано раз

    #4 muravey2000

  • Posters
  • 15 Сообщений:
  • Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os обычно чистые, но не всегда рабочие.

    Читайте также:  Установить ассистента для андроид

    Первоначально телефон не содержал вирусов, кроме одного Adware.Patacore.2.origin (Рекламная программа), по пути /system/app/STS-FS5540-2w/STS-FS5540-2w.apk, но данное приложение было с успехом отключено и больше ни как себя не проявляло.

    #5 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
    Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
    Для этого нужны ваши приложения:

    В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
    2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

    В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
    3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

    #6 muravey2000

  • Posters
  • 15 Сообщений:
  • muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
    Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
    Для этого нужны ваши приложения:

    В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
    2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

    В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
    3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

    Да я делал полную проверку! Данное приложение при проверке не высвечивается, а устанавливается с периодичностью два-три раза в сутки и ловится монитором SplDer Guard и как только оно появляется я его удаляю.

    Прошу прощение может за не очень корректный вопрос. Для архивирование программой RarLab раздела /system я должен открыть права ROOT на телефоне?

    #7 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • muravey2000, Нет, для архивирования системного раздела права root не нужны. Возможно будут сообщения, что некоторые файлы не удалось скопировать, но это не страшно.

    #8 muravey2000

  • Posters
  • 15 Сообщений:
  • muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
    Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
    Для этого нужны ваши приложения:

    В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
    2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup

    В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
    3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.

    Да я делал полную проверку! Данное приложение при проверке не высвечивается, а устанавливается с периодичностью два-три раза в сутки и ловится монитором SplDer Guard и как только оно появляется я его удаляю.

    Прошу прощение может за не очень корректный вопрос. Для архивирование программой RarLab раздела /system я должен открыть права ROOT на телефоне?

    Как вы и сказали сделал копию системных приложений и приложений установленных на телефон, что бы Вы сумели проанализировать какое приложение устанавливает троянца. Архивы закачаны файлообменник Яндекс диск. Пароль на архивах virus.

    Ссылки на скачивание:

    Архив папки \system:

    Копий приложений установленных на телефон:

    #9 muravey2000

  • Posters
  • 15 Сообщений:
  • Читайте также:  Android чем занят процессор

    Так же к данному письму решил прикрепить копию приложения которое содержит данный вирус в архиве с тем же паролем virus и скриншот с телефона, где видно какую девушку показывает этот вирус.

    Прикрепленные файлы:

    • Screenshot_20181018-170842.png1,48Мб 1 Скачано раз
    • 系统输入法-com.adpush.box.russia-2-v1.0.2.rar1,57Мб 7 Скачано раз

    #10 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • muravey2000, Пока обнаружились троянцы в приложениях \system\app\Rsota (Android.DownLoader.820.origin), \system\app\STS-FS5540-2w (Adware.Patacore.5)
    При том, \system\app\STS-FS5540-2w должен был задетектиться при полной проверке, а у вас почему то не задетектился, попробуйте скачать новую версию.

    Как их удалить —
    Получить рут права. Kingroot это самый простой способ, но не всегда работает. Подробнее в этой теме — https://4pda.ru/forum/index.php?showtopic=571948

    Если получить права с помощью Kingroot не удасться, то посмотрите инструкции в теме по вашему устройству (в прошивке указано что это FLY FS554): https://4pda.ru/forum/index.php?showtopic=849517&st=100#entry70840860

    — версия по ссылке выше может использовать права рута. Сделать полную проверку, предоставить антивирусу рут права, удалить вирусы.

    затем выполнить команды:

    su
    (програма запросит root права, предоставить)

    mount -o remount,rw /system

    rm -r /system/app/Rsota

    rm -r /system/app/STS-FS5540-2w

    mount -o remount,ro /system

    Если антивирус будет ругаться, на удаление файлов из системной области то его можно проигнорировать.

    Сообщение было изменено Sergey Bespalov: 19 Октябрь 2018 — 17:38

    #11 muravey2000

  • Posters
  • 15 Сообщений:
  • muravey2000, Пока обнаружились троянцы в приложениях \system\app\Rsota (Android.DownLoader.820.origin), \system\app\STS-FS5540-2w (Adware.Patacore.5)
    При том, \system\app\STS-FS5540-2w должен был задетектиться при полной проверке, а у вас почему то не задетектился, попробуйте скачать новую версию.

    Как их удалить —
    Получить рут права. Kingroot это самый простой способ, но не всегда работает. Подробнее в этой теме — https://4pda.ru/forum/index.php?showtopic=571948

    Если получить права с помощью Kingroot не удасться, то посмотрите инструкции в теме по вашему устройству (в прошивке указано что это FLY FS554): https://4pda.ru/forum/index.php?showtopic=849517&st=100#entry70840860

    — версия по ссылке выше может использовать права рута. Сделать полную проверку, предоставить антивирусу рут права, удалить вирусы.

    затем выполнить команды:

    su
    (програма запросит root права, предоставить)

    mount -o remount,rw /system

    rm -r /system/app/Rsota

    rm -r /system/app/STS-FS5540-2w

    mount -o remount,ro /system

    Если антивирус будет ругаться, на удаление файлов из системной области то его можно проигнорировать.

    Здравствуйте! троян по адресу /system/app/STS-FS5540-2w/STS-FS5540-2w.apk детектится при полной проверке, но данное приложение с успехом отключено через настройки телефона и не мешает жить.

    Сегодня у знакомого при проверки телефона Флай другой модели, не помню точно какой, но тоже на Андройде 7-ке, при проверке тоже обнаружилось это приложение 系统输入法-com.adpush.box.russia-2-v1.0.2, и все с тем же трояном.

    Помогите пожалуйста с определением приложения которое устанавливает троянца.

    Заранее большое спасибо.

    Рут права можно получить на этом телефоне и я делал это, но это очень «муторно». Хотелось бы все таки выяснить может это не системное приложение устанавливает 系统输入法-com.adpush.box.russia-2-v1.0.2

    #12 muravey2000

  • Posters
  • 15 Сообщений:
  • И скажите пожалуйста удаление приложения Rsota, которое отвечает за беспроводное обновление ни как не повлияет на работу устройства?

    Ниже скинул скрин, что приложение STS удалось отключить стандартными средствами, и оно не должно влиять на работу устройства.

    Прикрепленные файлы:

    • Screenshot_20181019-183132.png177,51К 0 Скачано раз
    • Screenshot_20181019-183054.png120,37К 0 Скачано раз

    #13 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • muravey2000, Да повлияет, обновлений по воздуху не будет, но вреда от этого приложения больше чем пользы.

    muravey2000, Можете попробовать его отключить, если это возможно. Его имя в списке приложений — «Upgrade». либо «Беспроводное обновление», в зависимости от того, какой у вас выбран язык.

    Отключение приложений не всегда эффективно. Это приложение может снова быть включено каким либо системным приложением, например, после перезагрузки устройства. Надо периодически смотреть, остается ли приложение отключенным.

    Сообщение было изменено Sergey Bespalov: 19 Октябрь 2018 — 19:23

    #14 Sergey Bespalov

    Читайте также:  Work player для андроид
  • Virus Analysts
  • 396 Сообщений:
  • muravey2000, Насчет возможности того, что это не системное приложение устанавливает трой. Это возможно только если данному, не системному, приложению предоставлены root права. Без root прав скрытно устанавливать приложения могут только системные троянцы.
    Не системные приложения я еще не смотрел.

    #15 muravey2000

  • Posters
  • 15 Сообщений:
  • muravey2000, Да повлияет, обновлений по воздуху не будет, но вреда от этого приложения больше чем пользы.

    muravey2000, Можете попробовать его отключить, если это возможно. Его имя в списке приложений — «Upgrade». либо «Беспроводное обновление», в зависимости от того, какой у вас выбран язык.

    Отключение приложений не всегда эффективно. Это приложение может снова быть включено каким либо системным приложением, например, после перезагрузки устройства. Надо периодически смотреть, остается ли приложение отключенным.

    Спасибо большое решился я еще раз поставить рут права и удалить эти два системных приложения с вирусами. Буду надеется, что это поможет и то приложение с вирусом подгружала именно rsota.

    #16 muravey2000

  • Posters
  • 15 Сообщений:
  • #17 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • 1. Подписки могут оформляться не системным приложением, поэтому не системные приложения тоже желательно прислать на алализ.

    2. Подписки могут оформляться если просто зайти на сайт в интернете и кликнуть по кнопке «Play». Здесь примерно описано как это происходит: https://habr.com/post/323356/

    Поэтому надо звонить оператору, требовать отключить возможность подключения подписок.

    #18 muravey2000

  • Posters
  • 15 Сообщений:
  • muravey2000, Посмотрю.

    1. Подписки могут оформляться не системным приложением, поэтому не системные приложения тоже желательно прислать на алализ.

    2. Подписки могут оформляться если просто зайти на сайт в интернете и кликнуть по кнопке «Play». Здесь примерно описано как это происходит: https://habr.com/post/323356/

    Поэтому надо звонить оператору, требовать отключить возможность подключения подписок.

    Спасибо! За информацию! Я Вас понял! Я не стал делать Вам копии установленных приложений потому, что они такие же, как и на моем телефоне FS554 и устанавливались из тех же источников, что и мои приложения которые я уже Вам посылал. Других там нет. А я так понял, что в моих вирусов не было обнаружено?

    #19 Sergey Bespalov

  • Virus Analysts
  • 396 Сообщений:
  • muravey2000, В ваших приложениях вирусов не обнаружено. Но если у вашего друга трой,загружающий и устанавливающий приложения, то он мог установить какие то приложения без вашего ведома.

    #20 muravey2000

  • Posters
  • 15 Сообщений:
  • muravey2000, В ваших приложениях вирусов не обнаружено. Но если у вашего друга трой,загружающий и устанавливающий приложения, то он мог установить какие то приложения без вашего ведома.

    Спасибо большое! Но странно! У него такая же проблема, как и у меня периодически устанавливается 系统输入法-com.adpush.box.russia-2-v1.0.2. Это приложение у меня перестало устанавливаться после удаления RSota в котором содержался троян Android.DownLoader.820.origin. Просто очень схожая ситуация. Я поэтому и предположил, что у него тоже может сидеть подобный троян который и загружает 系统输入法-com.adpush.box.russia-2-v1.0.2. Насчет приложений которые у него установлены я проверил ни чего не добавилось, да он сам и не умеет их загружать.

    Если Вы не против я завтра сделаю резервные копии установленных в ручную приложений и загружу сюда для анализа, что бы удостовериться наверняка.

    Скажите пожалуйста, а возможно такое, что вы тоже не сумели идентифицировать вирус который сидит в системных приложениях. Извините заранее.

    Я конечно написал в поддержку Fly об обнаружении вируса в системных приложениях. И о просьбе о выпуске нового обновления чистой прошивки, но я не уверен, что оно будет. Поэтому хотелось бы искоренить эту проблему своими силами и написав об этой проблеме на форуме 4Pda, узнал, что я далеко не один такой.

    Сообщение было изменено muravey2000: 23 Октябрь 2018 — 17:32

    Источник

    Оцените статью