Опасный вирус Ghost Push заражает Android-смартфоны

Небольшая наша статейка на тему Вирусы остались после factory reset,wipe, сброса на заводские настройки

Добрый день.
Недавно нам принесли смартфон Lenovo p780. Ничем не примечательная андройд-трубка под 4.4.
Жалоба клиента — вирусы, порнография лезет, вообщем работать с телефоном невозможно.
телефон леново p780

 

По заявлениям клиента важных данных на телефоне нет, поэтому можно все стирать и мы принялись за работу.

Естественно первым делом показалось что проблема решается просто — делаем «сброс до заводских настроек»

(такой сброс делается следующим образом — 1. Выключаем телефон 2. Зажимаем обе кнопки громкости +и- сбоку 3. Нажимаем кнопку питания и держим все три кнопки пока не появится символ андройда с восклицательным знаком. 4. Кнопкой громкость минус перемещаем курсор на wipe data/factory reset 5. Кнопкой громкость плюс — подтверждаем 6. Также громкость минус до строчки YES и громкость плюс подтверждаем.)

Вроде бы все хорошо, можно радоваться. Да все не так. Телефон сбрасывается, удаляет пользовательские данные, предлагает зарегистрироваться. Выходит на рабочий стол, а там… те же порновирусы с рекламой висят, то есть вирусы остаются после сброса на заводские настройки телефона, wipe/factory reset не помогает.

Итак что же случилось с телефоном. Опасный андройд-вирус Ghost Push делает ROOT в телефоне чтобы добраться до системных файлов. Модифицирует блок Recovery (чтобы при сбросе все это вернулось с вирусами), прописывает в системную область свои приложения.

Если после сброса на заводские настойки у вас не получилось избавится от вирусного заражения, вы можете обратиться за помощью к специалистам компьютерного сервиса «Джинн» или попробовать решить проблему самостоятельно.

Есть два пути решения проблемы. 1. Полная прошивка телефона с компьютера (которая хорошо описана на форуме сайта 4PDA) с полной перезаписью всей памяти устройства. и 2. Лечение устройства антивирусами и прямыми руками.

Рассмотрим вариант именно лечения. Нам потребуется Антивирус DR.WEB для Android  Напомню что Компьютерный сервис Джинн является официальным дилером компании ДокторВеб. Программа имеет возможность удалить вирус и в системной области, но ей необходим ROOT. Сначала устанавливаем, активируем бесплатную пробную версию, сканируем и удаляем все что удаляется. Теперь вирус станет менее активным, нужно сделать ROOT на устройстве.

Мы использовали http://www.iroot.com/ приложение, но вообще их множество и как сделать рут описано на этом же сайте. Подключаем телефон USB кабелем. В настройках Android включаем отладку по USB. В приложении айрут давим ROOT. Ждем пару минут и одну перезагрузку телефона. Если айрут говорит все ок то идем дальше. Устанавливаем https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller&hl=ru Этой штуке тоже необходим рут. Отключаем интернет на телефоне включив режим «в самолете». Прогоняем Trojan.Killer. Если ROOT получен правильно то штука удалит часть заражений в системной области. Отлично. Дальше DRWEB в Root режиме. Вы проверяете работает ли рут на телефоне, запускаете DrWeb Security Space, делаете полное сканирование и после, в списке вирусов, при попытке удалить вирус у вас возникнет окно iRoot с подтверждением что необходимо предоставить доступ к системной области. Соглашаетесь.

После этого перезагружаем телефон. Больше вирусов на нашем экземпляре небыло.

Чтобы не заразится вирусом на телефоне Android просто следуйте простым правилам.

 


Февраль 19, 2016 в 12:50 | Нет комментариев