Удалить вирус Android.DownLoader.225
- Тема закрыта
28 ответов в этой теме
#1 
ockupant«
Отправлено 10 Октябрь 2015 — 15:56
При активации телефона или после окончания звонка, происходит активизация вируса: Android.DownLoader.225 . Антивирус его перехватывает и удаляет (появляется ссылка на установку приложения Алиэкспресс). Но при проверке телефона антивирус не находит никаких зараженных файлов. Так же время от времени в настройках безопасности разрешается установка приложений из сомнительных источников.
SMS Backup+ настройка в 2020 году
Как можно удалить этот вирус?
Скриншот сообщения антивируса прилагаю.
#2 Alexander Goryachev
Alexander Goryachev
Отправлено 12 Октябрь 2015 — 15:11
Здравствуйте. Судя по детектируемому файлу, некая программа либо загружает трояна из сети, либо извлекает из себя, чтобы потом незаметно запустить. Для начала выполните обновление баз антивируса и затем — полное сканирование устройства. Возможно, за это время неизвестный троян уже был идентифицирован.
Также при помощи файлового менеджера (например, File Explorer) посмотрите, нет ли у вас следующих файлов в каталогах /system/app, /system/priv-app, /data/app
com.android.fallen
com.android.malposed
com.therefore.miner
father.rickety.ordinaire.sus
SysMarket_offline_noicon.apk
sys_market.apk
ease
lucky
Если обнаружатся — попробуйте скопировать их на компьютер и выслать на анализ через форму http://vms.drweb.com/sendvirus, описав проблему.
Кстати, ваше устройство — Jiayu S3? Какая версия прошивки установлена?
Сообщение было изменено Alexander Goryachev: 12 Октябрь 2015 — 15:12
Freelancer
Корешки. 🙂
http://www.nasa.gov/mission_pages/station/multimedia/e27depart.html
Liftoff!
#3 Mikhail Golubev
Mikhail Golubev
Отправлено 12 Октябрь 2015 — 15:15
Антивирус его перехватывает и удаляет
Тогда мне не понятен ваш вопрос: Как можно удалить этот вирус?
#4 ockupant«
Как очистить память, не удаляя ничего НУЖНОГО? 4 вида мусорных файлов, которые надо УДАЛИТЬ.
Отправлено 12 Октябрь 2015 — 15:22
Антивирус его перехватывает и удаляет
Тогда мне не понятен ваш вопрос: Как можно удалить этот вирус?
Появляется ярлык ну например «Хола лаунчер», при нажатии вылетает сообщение о найденном вирусе. Удаляется ярлык и видно только это сообщение. После этого я выполняю сканирование и все чисто. Заблокировал — разблокировал тело и опа!, опять сообщение о найденном вирусе.
#5 ockupant«
Отправлено 12 Октябрь 2015 — 15:31
Кстати, ваше устройство — Jiayu S3? Какая версия прошивки установлена?
Прошивок сам не менял, все так как пришло от «друга». «Тело» уронил на пол и недели не прошло с момента покупки (5,5 дюймов зараза) и соответственно не пользовался с месяц. После включения что то обновлялось, потом заметил странный ярлык который я не ставил. Удалил с экрана, но в установленных программах не нашел его. Поставил др.Веб, сначала все хорошо было и сканирование без вопросов прошло. Но как только разблокировал — вылезло сообщение о вирусе.
Прикрепленные файлы:
- Screenshot_2015-10-12-18-24-23.png236,78К 4 Скачано раз
#6 ockupant«
Отправлено 12 Октябрь 2015 — 15:42
Также при помощи файлового менеджера (например, File Explorer) посмотрите, нет ли у вас следующих файлов в каталогах /system/app, /system/priv-app, /data/app
com.android.fallen
com.android.malposed
com.therefore.miner
father.rickety.ordinaire.sus
SysMarket_offline_noicon.apk
sys_market.apk
ease
lucky
Если обнаружатся — попробуйте скопировать их на компьютер и выслать на анализ через форму http://vms.drweb.com/sendvirus, описав проблему.
В каталогах: /system/app, /system/priv-app указанных файлов не нашел, а в /data меня не пускает
#7 Alexander Goryachev
Alexander Goryachev
Отправлено 12 Октябрь 2015 — 16:19
Также при помощи файлового менеджера (например, File Explorer) посмотрите, нет ли у вас следующих файлов в каталогах /system/app, /system/priv-app, /data/app
com.android.fallen
com.android.malposed
com.therefore.miner
father.rickety.ordinaire.sus
SysMarket_offline_noicon.apk
sys_market.apk
ease
lucky
Если обнаружатся — попробуйте скопировать их на компьютер и выслать на анализ через форму http://vms.drweb.com/sendvirus, описав проблему.
В каталогах: /system/app, /system/priv-app указанных файлов не нашел, а в /data меня не пускает
В таком случае, все же обновите базу и выполните полное сканирование устройства еще раз — есть вероятность, что троян уже ловится. Но если он будет в прошивке, и она заводская, то придется связываться с производителем и разбираться уже с ним. Можно, конечно, будет попытаться удалить вручную, но понадобится делать root — все это на свой страх и риск и без 100% гарантии.
Freelancer
Корешки. 🙂
http://www.nasa.gov/mission_pages/station/multimedia/e27depart.html
Liftoff!
#8 ockupant«
Отправлено 12 Октябрь 2015 — 17:08
В таком случае, все же обновите базу и выполните полное сканирование устройства еще раз — есть вероятность, что троян уже ловится. Но если он будет в прошивке, и она заводская, то придется связываться с производителем и разбираться уже с ним. Можно, конечно, будет попытаться удалить вручную, но понадобится делать root — все это на свой страх и риск и без 100% гарантии.
Вот последовательно сделанные «скрины» операций: обновление баз, сканирование, блокировка-разблокировка устройства.
И еще такой момент: когда я смотрел список активных приложений (долгое нажатие средней кнопки), то приложением в котором запускалась вирусная ссылка бы «требушет».
Сейчас ДрВеб не дает появиться ссылке.
Прикрепленные файлы:
- Screenshot_2015-10-12-19-57-48.png215,95К 5 Скачано раз
- Screenshot_2015-10-12-19-59-26.png127,37К 4 Скачано раз
- Screenshot_2015-10-12-19-59-59.png76,74К 4 Скачано раз
#9 ockupant«
Отправлено 12 Октябрь 2015 — 17:16
Если будет интересно вот аналогичная проблема с сайта 4пда с моделью Jinga IGO L2:
«проблему пока не решил, обратился в дрвеб т.к. он у меня платный установлен, пусть отрабатывают))) вообще там ситуация такая — в корне карты памяти папка какая то образуется .kpsh в файл KpshPlatform.jar вот его то и определяет дрвеб как вирус. я уже прям беру и удаляю эту папку целиком, его она зараза появляется вновь после каждого выхода в инете. че делать пока не знаю. жду ответа от специалистов дрвба, посмотрим. «
#10 ockupant«
Отправлено 12 Октябрь 2015 — 17:44
А если вместо удаления вируса отправить в карантин, получится отправить эти данные вам? И есть ли в них смысл.
#11 Alexander Goryachev
Alexander Goryachev
Отправлено 12 Октябрь 2015 — 18:43
Нет, тот файл, что уже детектируется, отправлять не за чем. Главное сейчас — понять, какая их программ виновна в его загрузке.
Вирусные аналитики занимаются этим вопросом, поэтому как только трояна локализуют, он будет добавлен в базу.
Freelancer
Корешки. 🙂
http://www.nasa.gov/mission_pages/station/multimedia/e27depart.html
Liftoff!
#12 ockupant«
Отправлено 12 Октябрь 2015 — 18:48
Нет, тот файл, что уже детектируется, отправлять не за чем. Главное сейчас — понять, какая их программ виновна в его загрузке.
Вирусные аналитики занимаются этим вопросом, поэтому как только трояна локализуют, он будет добавлен в базу.
Буду рад помочь. Если существует возможность сделать какой-нибудь бэкап и он может помочь — напишите.
#13 Sergey Bespalov
Sergey Bespalov
Отправлено 13 Октябрь 2015 — 12:49
Обновите вирусные базы, и сделайте полную проверку.
Если троян не будет найден, то нужно найти данное приложение и прислать его нам на анализ. Найти его можно следующим образом:
* Зайти в Настроки(Setting) — Приложения(Apps)
* Перейти на вкладку «Выполняется»(Running)
* При нажатии на запущенное приложение открывается список процессов приложения.
* Если среди запущенных служб (Services) имеется хотя бы одна из приведённых ниже, то это приложение нужно прислать на анализ.
Службы:
bhtj
CollService
PushService
KpshService
KpshServiceImpl
PayServiceHullV5
SdkServiceHullV5
(com.kpsh.manager.KpshService)
Данные службы, скорее всего, запустятся при включении интернета.
Как найти файл, который нужно отправить на анализ:
1. С помощью специализированных приложений, например APK Extractor (в Google Play таких приложений полно, я не пробовал)
2. Найти приложение самостоятельно в папках /data/app (здесь имя приложения обычно совпадает с именем процесса в Setting->Apps->Running), /system/app
Можете, так же прислать детектируемый файл, это может помочь.
#14 ockupant«
Отправлено 13 Октябрь 2015 — 20:11
Обновите вирусные базы, и сделайте полную проверку.
Если троян не будет найден, то нужно найти данное приложение и прислать его нам на анализ. Найти его можно следующим образом:
* Зайти в Настроки(Setting) — Приложения(Apps)
* Перейти на вкладку «Выполняется»(Running)
* При нажатии на запущенное приложение открывается список процессов приложения.
* Если среди запущенных служб (Services) имеется хотя бы одна из приведённых ниже, то это приложение нужно прислать на анализ.
Службы:
bhtj
CollService
PushService
KpshService
KpshServiceImpl
PayServiceHullV5
SdkServiceHullV5
(com.kpsh.manager.KpshService)
Данные службы, скорее всего, запустятся при включении интернета.
Как найти файл, который нужно отправить на анализ:
1. С помощью специализированных приложений, например APK Extractor (в Google Play таких приложений полно, я не пробовал)
2. Найти приложение самостоятельно в папках /data/app (здесь имя приложения обычно совпадает с именем процесса в Setting->Apps->Running), /system/app
Можете, так же прислать детектируемый файл, это может помочь.
Все оказалось просто, зараженным оказался требушет (лаунчер). На 4пда скачал почищенный лаунчер и установил. Пока все тихо в системе. Перестали появляться новые ярлыки и папка «кипиш».
Источник: forum.drweb.com