- Android.Gexin.1
- #1 Nurdieleben
- Прикрепленные файлы:
- #2 Sergey Bespalov
- #3 Nurdieleben
- Adware.Gexin.2.origin
- #1 muravey2000
- #2 Sergey Bespalov
- #3 muravey2000
- Прикрепленные файлы:
- #4 muravey2000
- #5 Sergey Bespalov
- #6 muravey2000
- #7 Sergey Bespalov
- #8 muravey2000
- #9 muravey2000
- Прикрепленные файлы:
- #10 Sergey Bespalov
- #11 muravey2000
- #12 muravey2000
- Прикрепленные файлы:
- #13 Sergey Bespalov
- #14 Sergey Bespalov
- #15 muravey2000
- #16 muravey2000
- #17 Sergey Bespalov
- #18 muravey2000
- #19 Sergey Bespalov
- #20 muravey2000
Android.Gexin.1
#1 Nurdieleben
После проверки dr web обнаружил Android.Gexin.1 в папках /system/app/jjhome/jjhome.apk и /system/app/oat/arm/jjhome.odex. Предлагает только игнорировать, удалить не может. По поиску не нахожу, что это за вредоносная программа. Другие антивирусы ничего не находят.
Подскажите, что делать?
Телефон Xiaomi Redmi Note 4X, android 6.0.1, MIUI 8.2.
Прикрепленные файлы:
qx8afEafOEs.jpg91,97К 1 Скачано раз- mK40lOEyjLU.jpg96,18К 0 Скачано раз
qx8afEafOEs.jpg91,97К 1 Скачано раз#2 Sergey Bespalov
Для удлаление приложений из системного раздела нужен root. Либо перепрошивка на прошивку без троянца.
#3 Nurdieleben
Для удлаление приложений из системного раздела нужен root. Либо перепрошивка на прошивку без троянца.
Сбросил до заводских настроек — вирус остался. Перепрошил на новый андроид — теперь всё чисто. Спасибо!
Источник
Adware.Gexin.2.origin
#1 muravey2000
Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia
Хотелось бы узнать:
-возможно ли удалить этот вирус без рут?
-что это за зараза и на, что она влияет?
-и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.
#2 Sergey Bespalov
Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia
Хотелось бы узнать:
-возможно ли удалить этот вирус без рут?
-что это за зараза и на, что она влияет?
-и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.
Сделайте полную проверку и скиньте скриншот с детектами. Не всегда можно удалять с рутом системные приложения, т.к. это может привести к проблемам в работе устройства. Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os обычно чистые, но не всегда рабочие.
#3 muravey2000
Доброго времени суток! У меня телефон fly fs 554 и я на него поймал вирус Adware.Gexin.2.origin. Периодически он мне ставит приложение com.adpush.box.russia
Хотелось бы узнать:
-возможно ли удалить этот вирус без рут?
-что это за зараза и на, что она влияет?
-и если все таки придется ставить рут, то где его искать, что бы удалить в ручную.
Сделайте полную проверку и скиньте скриншот с детектами. Не всегда можно удалять с рутом системные приложения, т.к. это может привести к проблемам в работе устройства. Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os обычно чистые, но не всегда рабочие.
Первоначально телефон не содержал вирусов, кроме одного
Еще заметил, одну интересную особенность перед тем, как устанавливается приложение com.adpush.box.russia в котором содержится троянец, в памяти телефона создается папка с файлом внутри Media0\afw\impl_default_4.0.12.jar, при ее удалении через определенное время она опять появляется. Узнать какое приложение эту папку создает мне так и не удалось. Может быть вы подскажите?
Прикрепленные файлы:
- Screenshot_20181018-064548.png165,09К 2 Скачано раз
- Screenshot_20181018-064652.png145,6К 0 Скачано раз
Screenshot_20181018-064548.png165,09К 2 Скачано раз#4 muravey2000
Поможет установка чистой прошивки, но прошивки от производителя бывают уже с троянцами, cyanogen или lineage os обычно чистые, но не всегда рабочие.
Первоначально телефон не содержал вирусов, кроме одного Adware.Patacore.2.origin (Рекламная программа), по пути /system/app/STS-FS5540-2w/STS-FS5540-2w.apk, но данное приложение было с успехом отключено и больше ни как себя не проявляло.
#5 Sergey Bespalov
muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
Для этого нужны ваши приложения:
В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup
В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.
#6 muravey2000
muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
Для этого нужны ваши приложения:
В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup
В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.
Да я делал полную проверку! Данное приложение при проверке не высвечивается, а устанавливается с периодичностью два-три раза в сутки и ловится монитором SplDer Guard и как только оно появляется я его удаляю.
Прошу прощение может за не очень корректный вопрос. Для архивирование программой RarLab раздела /system я должен открыть права ROOT на телефоне?
#7 Sergey Bespalov
muravey2000, Нет, для архивирования системного раздела права root не нужны. Возможно будут сообщения, что некоторые файлы не удалось скопировать, но это не страшно.
#8 muravey2000
muravey2000, Вы делали полную проверку? Обычная проверка не проверяет системные файлы.
Если полная проверка выдает тоже самое что на скриншоте, то надо проанализировать все ваши приложения, что бы найти кто загружает троян.
Для этого нужны ваши приложения:
В этой программе переходите на верхний уровень, и архивируете директорию /system, смотрите, что бы архив сохранялся на sd карте, это должно быть прописано в имени архива. (иначе будет ошибка). Поставьте пароль для архива «virus»
2. https://play.google.com/store/apps/details?id=mobi.usage.appbackup
В этой программе делаете бекап всех приложений и архивируете их (с паролем «virus»). Файлы приложений будут находиться примерно по такому пути /storage/sdcard0/Mobi_Usage_AppBackup
3. Загрузите оба архива на файлообменник, например яндекс диск, и киньте сюда ссылку.
Да я делал полную проверку! Данное приложение при проверке не высвечивается, а устанавливается с периодичностью два-три раза в сутки и ловится монитором SplDer Guard и как только оно появляется я его удаляю.
Прошу прощение может за не очень корректный вопрос. Для архивирование программой RarLab раздела /system я должен открыть права ROOT на телефоне?
Как вы и сказали сделал копию системных приложений и приложений установленных на телефон, что бы Вы сумели проанализировать какое приложение устанавливает троянца. Архивы закачаны файлообменник Яндекс диск. Пароль на архивах virus.
Ссылки на скачивание:
Архив папки \system:
Копий приложений установленных на телефон:
#9 muravey2000
Так же к данному письму решил прикрепить копию приложения которое содержит данный вирус в архиве с тем же паролем virus и скриншот с телефона, где видно какую девушку показывает этот вирус.
Прикрепленные файлы:
- Screenshot_20181018-170842.png1,48Мб 1 Скачано раз
- 系统输入法-com.adpush.box.russia-2-v1.0.2.rar1,57Мб 7 Скачано раз
系统输入法-com.adpush.box.russia-2-v1.0.2.rar1,57Мб 7 Скачано раз#10 Sergey Bespalov
muravey2000, Пока обнаружились троянцы в приложениях \system\app\Rsota (Android.DownLoader.820.origin), \system\app\STS-FS5540-2w (Adware.Patacore.5)
При том, \system\app\STS-FS5540-2w должен был задетектиться при полной проверке, а у вас почему то не задетектился, попробуйте скачать новую версию.
Как их удалить —
Получить рут права. Kingroot это самый простой способ, но не всегда работает. Подробнее в этой теме — https://4pda.ru/forum/index.php?showtopic=571948
Если получить права с помощью Kingroot не удасться, то посмотрите инструкции в теме по вашему устройству (в прошивке указано что это FLY FS554): https://4pda.ru/forum/index.php?showtopic=849517&st=100#entry70840860
— версия по ссылке выше может использовать права рута. Сделать полную проверку, предоставить антивирусу рут права, удалить вирусы.
затем выполнить команды:
su
(програма запросит root права, предоставить)
mount -o remount,rw /system
rm -r /system/app/Rsota
rm -r /system/app/STS-FS5540-2w
mount -o remount,ro /system
Если антивирус будет ругаться, на удаление файлов из системной области то его можно проигнорировать.
Сообщение было изменено Sergey Bespalov: 19 Октябрь 2018 — 17:38
#11 muravey2000
muravey2000, Пока обнаружились троянцы в приложениях \system\app\Rsota (Android.DownLoader.820.origin), \system\app\STS-FS5540-2w (Adware.Patacore.5)
При том, \system\app\STS-FS5540-2w должен был задетектиться при полной проверке, а у вас почему то не задетектился, попробуйте скачать новую версию.
Как их удалить —
Получить рут права. Kingroot это самый простой способ, но не всегда работает. Подробнее в этой теме — https://4pda.ru/forum/index.php?showtopic=571948
Если получить права с помощью Kingroot не удасться, то посмотрите инструкции в теме по вашему устройству (в прошивке указано что это FLY FS554): https://4pda.ru/forum/index.php?showtopic=849517&st=100#entry70840860
— версия по ссылке выше может использовать права рута. Сделать полную проверку, предоставить антивирусу рут права, удалить вирусы.
затем выполнить команды:
su
(програма запросит root права, предоставить)
mount -o remount,rw /system
rm -r /system/app/Rsota
rm -r /system/app/STS-FS5540-2w
mount -o remount,ro /system
Если антивирус будет ругаться, на удаление файлов из системной области то его можно проигнорировать.
Здравствуйте! троян по адресу /system/app/STS-FS5540-2w/STS-FS5540-2w.apk детектится при полной проверке, но данное приложение с успехом отключено через настройки телефона и не мешает жить.
Сегодня у знакомого при проверки телефона Флай другой модели, не помню точно какой, но тоже на Андройде 7-ке, при проверке тоже обнаружилось это приложение 系统输入法-com.adpush.box.russia-2-v1.0.2, и все с тем же трояном.
Помогите пожалуйста с определением приложения которое устанавливает троянца.
Заранее большое спасибо.
Рут права можно получить на этом телефоне и я делал это, но это очень «муторно». Хотелось бы все таки выяснить может это не системное приложение устанавливает 系统输入法-com.adpush.box.russia-2-v1.0.2
#12 muravey2000
И скажите пожалуйста удаление приложения Rsota, которое отвечает за беспроводное обновление ни как не повлияет на работу устройства?
Ниже скинул скрин, что приложение STS удалось отключить стандартными средствами, и оно не должно влиять на работу устройства.
Прикрепленные файлы:
- Screenshot_20181019-183132.png177,51К 0 Скачано раз
- Screenshot_20181019-183054.png120,37К 0 Скачано раз
#13 Sergey Bespalov
muravey2000, Да повлияет, обновлений по воздуху не будет, но вреда от этого приложения больше чем пользы.
muravey2000, Можете попробовать его отключить, если это возможно. Его имя в списке приложений — «Upgrade». либо «Беспроводное обновление», в зависимости от того, какой у вас выбран язык.
Отключение приложений не всегда эффективно. Это приложение может снова быть включено каким либо системным приложением, например, после перезагрузки устройства. Надо периодически смотреть, остается ли приложение отключенным.
Сообщение было изменено Sergey Bespalov: 19 Октябрь 2018 — 19:23
#14 Sergey Bespalov
muravey2000, Насчет возможности того, что это не системное приложение устанавливает трой. Это возможно только если данному, не системному, приложению предоставлены root права. Без root прав скрытно устанавливать приложения могут только системные троянцы.
Не системные приложения я еще не смотрел.
#15 muravey2000
muravey2000, Да повлияет, обновлений по воздуху не будет, но вреда от этого приложения больше чем пользы.
muravey2000, Можете попробовать его отключить, если это возможно. Его имя в списке приложений — «Upgrade». либо «Беспроводное обновление», в зависимости от того, какой у вас выбран язык.
Отключение приложений не всегда эффективно. Это приложение может снова быть включено каким либо системным приложением, например, после перезагрузки устройства. Надо периодически смотреть, остается ли приложение отключенным.
Спасибо большое решился я еще раз поставить рут права и удалить эти два системных приложения с вирусами. Буду надеется, что это поможет и то приложение с вирусом подгружала именно rsota.
#16 muravey2000
#17 Sergey Bespalov
1. Подписки могут оформляться не системным приложением, поэтому не системные приложения тоже желательно прислать на алализ.
2. Подписки могут оформляться если просто зайти на сайт в интернете и кликнуть по кнопке «Play». Здесь примерно описано как это происходит: https://habr.com/post/323356/
Поэтому надо звонить оператору, требовать отключить возможность подключения подписок.
#18 muravey2000
muravey2000, Посмотрю.
1. Подписки могут оформляться не системным приложением, поэтому не системные приложения тоже желательно прислать на алализ.
2. Подписки могут оформляться если просто зайти на сайт в интернете и кликнуть по кнопке «Play». Здесь примерно описано как это происходит: https://habr.com/post/323356/
Поэтому надо звонить оператору, требовать отключить возможность подключения подписок.
Спасибо! За информацию! Я Вас понял! Я не стал делать Вам копии установленных приложений потому, что они такие же, как и на моем телефоне FS554 и устанавливались из тех же источников, что и мои приложения которые я уже Вам посылал. Других там нет. А я так понял, что в моих вирусов не было обнаружено?
#19 Sergey Bespalov
muravey2000, В ваших приложениях вирусов не обнаружено. Но если у вашего друга трой,загружающий и устанавливающий приложения, то он мог установить какие то приложения без вашего ведома.
#20 muravey2000
muravey2000, В ваших приложениях вирусов не обнаружено. Но если у вашего друга трой,загружающий и устанавливающий приложения, то он мог установить какие то приложения без вашего ведома.
Спасибо большое! Но странно! У него такая же проблема, как и у меня периодически устанавливается 系统输入法-com.adpush.box.russia-2-v1.0.2. Это приложение у меня перестало устанавливаться после удаления RSota в котором содержался троян Android.DownLoader.820.origin. Просто очень схожая ситуация. Я поэтому и предположил, что у него тоже может сидеть подобный троян который и загружает 系统输入法-com.adpush.box.russia-2-v1.0.2. Насчет приложений которые у него установлены я проверил ни чего не добавилось, да он сам и не умеет их загружать.
Если Вы не против я завтра сделаю резервные копии установленных в ручную приложений и загружу сюда для анализа, что бы удостовериться наверняка.
Скажите пожалуйста, а возможно такое, что вы тоже не сумели идентифицировать вирус который сидит в системных приложениях. Извините заранее.
Я конечно написал в поддержку Fly об обнаружении вируса в системных приложениях. И о просьбе о выпуске нового обновления чистой прошивки, но я не уверен, что оно будет. Поэтому хотелось бы искоренить эту проблему своими силами и написав об этой проблеме на форуме 4Pda, узнал, что я далеко не один такой.
Сообщение было изменено muravey2000: 23 Октябрь 2018 — 17:32
Источник
