Платные опросы: вся правда - без преукрас

Мы за 100% прозрачность отрасли оплачиваемых опросов!

По секрету - всему свету, обо всём, с чем сталкивался лично и что может быть кому-то когда-то полезно. :)

Вирус под Android - com.google.provision, как удалить?

Рейтинг:   / 0
ПлохоОтлично 

Вирус под Android "COM.GOOGLE.PROVISION" - метод устранения только один.

     Впервые столкнулся с данным, как оказалось, весьма противным и сложным для удаления вирусом (com.google.provision), на смартфоне "FLY FS501". После штатной замены дисплейного модуля на данной модели, выявилась местами неадекватная работа телефона. Например находясь в разделе настроек, автоматически выбрасывало на домашний экран. Помимо этого, при каждой перезагрузке, телефон загружался с отключенным звуком (в режиме вибрации) несмотря на то, что до перезагрузки звук был включен на максимум. В общем складывалось ощущение что телефон немного живёт своей жизнью, хотя работал "без тормозов", активно реагируя на команды с сенсора. 

     Запустил на смартфоне антивирус, который идёт в составе предустановленной программы "Clean Master" и понеслось... Проверка обнаруживала порядка 10 заражённых объектов. Тогда и узнал об этом "com.google.provision". Система антивируса обнаружив этот троянский объект, запрашивала удаление и после подтверждения вроде как удаляла этот работающий процесс, но спустя немного времени он вновь всплывал из не откуда и его вновь "ловил" антивирус и так по кругу.

   Помимо этого, в конце списка предустановленных (заводских) программ, находился ярлык некоего приложения (картинка в виде зелёного робота Андроида, к сожалению, название вылетело из головы, что-то типа "Weslave", но это не точно) и это приложение антивирус также определял как троянскую программу. Как известно, все предустановленные программы, просто так не удалить, их можно отключить (в настройках, раздел "Приложения") чтобы они не обновлялись, но их исходный размер будет занимать память (в моделях где внутренняя память телефона не большая, это достаточно критичный показатель, получается какое-то приложения нам не нужно, но и удалить его совсем не можем). Но тут речь про нормальные приложения, вирусное же приложение, чувствующее себя как "предустановленное" как правило не только не удалить просто так, но даже не отключить, оно автоматически активируется вновь (появляется в списке активных приложений в настройках).

   Сначала предположил, что "com.google.provision" это основной "паровоз", автоматически тянущий за собой (почувствовав подключение к Интернету) десятки заражённых программ. Но, учитывая, что система его удаляла успешно, а потом он появлялся вновь, склонился к мысли что основным источником, поддерживающим заражение смартфона, являлась та "предустановленная" программа о которой писал выше. Если этот "com.google.provision" удалялся и появлялся вновь, то "предустановленный вирус" максимум можно было отключить, но он самовключался вновь.

   Телефон был возвращён к заводским настройкам, используя настройку сброса в меню телефона. В результате при проверке антивирусом, "com.google.provision" исчез (немного позднее вернулся опять), но предустановленное заражённое приложение никуда не исчезло. Не помог и повторный сброс на заводские настройки, с помощью recovery, опять же с удалением всех пользовательских данных. "Предустановленный вирус" чувствовал себя в полной безопасности, так как в какой-то момент стал частью хозяина (как биологические вирусы внедряются в ДНК хозяина) и Android чувствовал его "своим". (Кстати после возврата на заводские настройки, антивирусом было обнаружено 59 видов угроз, преимущественно различных троянов.)

    Ну что же, поскольку прошивка - это крайние меры, которые могут либо помочь решить проблему, либо превратят устройство в неработоспособный "кирпич" (а телефон то чужой, принятый в ремонт), то следующим этапом, была попытка нейтрализовать заражение с помощью рут-прав (root). Для тех, кто не знает, рут-права дают возможность удалить заводские, предустановленные приложения, те, которыми пользователь не пользуется, чтобы не занимали внутреннюю память телефона (главное тут не удалить системные важные приложения, без которых Android корректно работать (или вообще) не сможет. На "FLY FS501" рут-права были легко получены с помощью программы "Kingo Root" установленной на компьютере под управлением Windows 10. Достаточно чтобы в настройках телефона была включена "Отладка по USB" (находится в изначально скрытом от пользователя разделе "Для разработчиков"). После получения рут-прав, к сожалению, проблема решена не была. После попытки удаления вирусов через меню программы "Kingo Root", они не исчезали из списка (а те, что исчезали появлялись вновь позднее), круговая вирусная порука работала на высоте, такое чувство что неудалённые следы заражения воспроизводили удалённые трояны вновь.

   Оставалась последняя надежда на прошивку. Других вариантов уже не было. Но тут возникла другая сложность, драйвера под "FLY FS501" нормально под Windows 10 не ставятся. Попытка отключить цифровую подпись драйверов на компьютере (говорят помогает), лично в моём случае не работает, при последней перезагрузке после которой должен появится список действий в котором нужно выбрать "Отключить цифровую подпись драйверов", компьютер отключается как будто ему была дана команда на отключение, а не на перезагрузку (вирусов нет, тут что-то другое). В итоге, программа прошивальщика телефона не видит.

   В заключение того, что вообще ещё можно было сделать для этого телефона, была произведена прошивка через стандартную телефонную флешку micro-SD. (Надо сказать самый безопасный способ прошивки, главное, чтобы файл прошивки был подходящим.) Файл архива прошивки (версия SW11) под названием "scx35_sp7731geaplus_dt-ota-1450844349.zip" (обычные прошивки для программы прошивальщика не подойдут) был залит на флешку (распаковывать не нужно, перед прошивкой система сама распакует на этой же флешке) и запущен через recovery. Прошивка прошла успешно, без приключений. Ура!) Правда процедуру пришлось повторить, поскольку после прошивки был выбран режим перезагрузки телефона, а нужно было сначала прогнать через режим отката на заводские настройки (с удалением пользовательских данных). В итоге, после первой перепрошивки "предустановленный вирус" наконец-то исчез (!!!), но "com.google.provisionоткуда-то опять вылез, видимо успел прописать себя среди пользовательских данных ранее. Повторная перепрошивка "FLY FS501" с затиркой пользовательских данных, навсегда уничтожила все следы вирусной заражённости смартфона. Телефон отремонтирован и возвращён клиенту.

    Если у Вас когда-либо возникнет вопрос "com.google.provision - как удалить?", ответ Вы найдёте в этой статье, и он таков: com.google.provision - удалить можно только с помощью прошивки (через программу прошивальщик или флешку micro-SD), предварительно вернув телефон к заводским настройкам. Надеюсь, это сэкономит Вам массу драгоценного времени.

   Что касается данного вируса "com.google.provision", согласно официальной информации, он служит для удалённого управления телефоном, с полным набором вирусных угроз, вплоть до кражи средств с банковских счетов.

   На этом всё, Всех Благ!

Комментарии  

# admin888 12.04.2018 17:40
В связке с вышеописанным вирусом работал ещё один - "Netalpha". Кстати безопасный режим тоже не помогал, как и попытка чистить утилитами рекомендуемыми для подобного заражения. Они просто висли и выдавали ошибку. :-)

У Вас нет прав для размещения комментариев.

В поиске

Ты заходи, если что...

Статистика


Яндекс цитирования
Рейтинг@Mail.ru
Яндекс.Метрика

Сейчас онлайн

Сейчас 26 гостей и ни одного зарегистрированного пользователя на сайте