Virus oder nicht?

  • 11 Antworten
  • Neuester Beitrag
Diskutiere Virus oder nicht? im Android Sicherheit - AntiVirus, Firewalls, Datenschutz, Verschlüsselung im Bereich Tools.
franc

franc

Experte
Hallo

Ich habe auf meinem SGS4 mit CM13 gestern eine sonderbare root Anfrage erhalten, angeblich von zygote:

Bildschirmfoto 2017-02-17 um 11.40.52.png

Natürlich habe ich abgelehnt.
Recherche ergibt Indiz dass es ein Virus sei, z.B. bei securelist.com oder bei android.stackexchange.com
Kann das hier jemand bestätigen?

Ich habe im Terminal nach zygote gesucht (ps | grep "zygote"), aber nur den original Zygote gefunden.
Zuvor hatte ich SwiftKey installiert und auch wieder deinstalliert. Ansonsten fallt mir nichts besonderes ein, was das plötzlich diese Anfrage auslösen konnte.

Jemand eine Idee?

Danke
franc
 
Zuletzt bearbeitet:
R

rudolf

Lexikon
Flash doch dein CM nochmal, dann ist alles was sich in der Systempartition versteckt weg.
Zygote kann kein root anfordern, da es schon zu root gehört. Da ist also was faul.
 
franc

franc

Experte
Ich hab erst mal das CM13 neu geflascht.
 
franc

franc

Experte
Nun habe ich genau die selbe Anfrage nach root durch zygote(80) schon wieder. Vor zwei Wochen hatte ich komplett neu installiert, Lineage13, habe natürlich abgelehnt, aber sehr sonderbar!
 
KyleRiemen

KyleRiemen

Ehrenmitglied
Ist das eine offizielle Version von LineageOS oder inoffiziell?
 
franc

franc

Experte
Offiziell
 
KyleRiemen

KyleRiemen

Ehrenmitglied
Da muss irgendwas faul sein! Zygote kann niemals nach Root fragen. Unmöglich.

Ich würde an deiner Stelle dein kompletten System platt machen. Also Format Data inkl. Internen Speicher. Dann frisch die neuste nightly flashen und Gapps natürlich auch nur aus seriösen Quellen.

Was nutzt du denn für eine Superuser app?
 
franc

franc

Experte
SuperSU v2.79

Hatte ich ja schon mal platt gemacht, s.o. Wird langsam lästig.
Ich müsste wenn, dann komplett auf die Gapps verzichten, weil Google ja dann machen (installieren) kann was es (u.a.) will.

Kann ich nicht ausschließen, dass sich jemand zwischen die seriösen Quellen dazwischen platziert, da kann ich ja nichts machen, außer es sein lassen.
Aber falls das so wäre, also dass "jemand" mir einen B-Trojaner unter jubeln wollte, wäre so eine SU-Anfrage von "zygote" ja ein Oberpfusch.
Was mich allerdings auch nicht sehr wundern würde ;)
 
franc

franc

Experte
Das "80" in der Klammer hinter der Meldung von "zygote" von SuperSU ist doch die uid, oder?
Damit müsste ich es doch finden...
Code:
which zygote
ergibt allerdings keine Ausgabe :(
 
franc

franc

Experte
Leider gibt es dort keine einschlägige Antwort. Ich glaube ich habe beim letzten Mal (s.o.) das schon gelesen.
Das Telefon würde ich schon neu aufsetzen, zwei Wochen nachdem ich das schon gemacht hatte (ja, full wipe!!!) aber ohne dass ich weiß, woran es liegt mache ich es sicher nicht, da es ja dann wieder kommen wird.

Ich habe mal nach dem Prozess mit der UID 80 geforscht:
Code:
root@jflte:/ # cat /proc/80/status | grep Name
root@jflte:/ # irq/337-mdm sta
Klingt nicht so verdächtig.
Im Moment habe ich Prevent Running, ein Xposed Modul im Verdacht, das bremst gelegentlich das System aus, dann muss ich es deaktivieren und dann bald kann ich es wieder aktivieren, dann lauft es wieder, was auch sonderbar ist.
 
Zuletzt bearbeitet:
Ähnliche Themen - Virus oder nicht? Antworten Datum
3
3