Wie entfernt man ein hartnäckigen Virus?

[a.woellert]

Hallo,

folgendes, der Sohn meines Bekannten hat ein Mobiwire Ahiga. Damit hat er sich ein Virus eingefangen. Dieser Virus installiert ständig neue Apps und öffnet andauernd dubiose Internetseiten.

Da ich relativ fit im Umgang mit Android/ Root usw. bin, hab ich meine Hilfe angeboten.

Versuch 1: Handy zurück setzen. Weder über die Sicherheitseinstellung, noch über das Recovery Menü hat es geklappt, weil sich die Viren App als System App eingenistet hat.

Versuch 2: Handy rooten und von Hand löschen. Das klappt bis auf 3 übrig gebliebene Apps. Beim versuch diese mit root Rechten zu löschen, oder ihnen die Rechte zu entziehen kommt eine Error Meldung.

Hier sieht man die letzen 3 Viren: img_20160531_164442.jpg | picload.org

Da es sich um ein eher unbekanntes Telefon handelt gibt es auch keine Firmware vom Hersteller, um das Handy mal komplett neu aufzusetzen.

Ich weiß nicht weiter. Mit jedem Neustart installieren sich neue Apps. Auch ohne Internet.


Hat jemand von euch noch eine Idee?

Gruß

 

[mrrbr]

Dieser Virus

Das ist kein Virus! Ein Virus versucht sich weiter zu verbreiten. Das ist simple Mal- bzw. AdWare, die leider in einigen "Chinaböllern" vorinstalliert ist (auch noch in der Systempartition). Evtl. gibt es ein passendes ROM ohne diese AdWare.

 

[funkenwerner]

@a.woellert schon mal Titanium versucht? wenn du eh schon Root hast, dann Freez den Müll ein

 

[magicw]

Siehe hierzu auch Simply Simple: How to remove "Ghost Push" trojan from Android phone without reflashing ROM

So wie @funkenwerner schon schrieb - einfach die drei Apps per TitaniumBackup deinstallieren. TB kann auch system-Apps deinstallieren nicht nur einfrieren.
Alternativ: Link2SD oder auch SD-Maid - beide Apps sind ebenfalls in der Lage System-Apps zu deinstallieren.

 

[funkenwerner]

ich friere immer zuerst, dann testen, klappt alles, dann Deinstallieren

 

[a.woellert]

Riesen dank an magicw und co.

Also, das Problem habe ich zu 99% behoben.
Einfach einfrieren fand ich nicht so gut, weil man nie weiß, was das Telefon noch so im Hintergrund macht.

Die ganze Sache gestaltete sich schwieriger als gedacht. Nach jeder Deinstallation/ Löschen wurden die Apps permanent wieder installiert. Das wurde durch irgendwelche Scripte ausgelöst.

Folgende Lösung habe ich dann durchgeführt (meine Lösung):
1. Internet am Telefon deaktivieren
2. Telefon rooten
3. Dr. Web aus dem Play Store installieren, Viren scannen und löschen (bei mir waren es sage und schreibe 22 Viren)
4. Übrig bleiben 2 Viren, diese kann selbst Dr. Web nicht löschen
/system/bin/configopb <-- das ist so ein Script (glaube ich)
/system/app/GloablBCServiceInfo.apk
5. GloablBCServiceInfo.apk einfrieren <-- lässt sich ums Verecken nicht löschen
6. configopb mittels einen rootfähigen Dateimanagers löschen, das klappte erst nach mehreren Versuchen

Dieser XDA Thread ist auch ganz hilfreich:
FIX for Monkey Test & Time Service Virus (Without Flashing)
Wer mit chattr Probleme hat, muss Busybox (play Store) auf dem Handy installieren

 

[AlfredENeumann]

Warum immer so kompliziert?
Einfach das Gerät im ABGESICHERTEN Modus booten und die Apps deinstallieren die da nicht hingehören.
Browser Verlauf und Cache löschen.
Dann sollte ruhe sein.

 

[a.woellert]

Ne, das geht eben nicht.
Weil der Virus sich im System eingenistet hatte.
1. Kann man selbst im abgesichertem Modus keine System Apps deinstallieren (ohne root)
2. wurden nicht nur Apps, sondern auch Skripte im System manipuliert bzw. hinzugefügt


Ich bin wirklich kein Android Anfänger und hatte massive Probleme den Virus zu blocken. Einfach ein paar Apps löschen reicht da bei weitem nicht aus.
Das dachte ich mir damals auch, als ich das Handy mit nahm. Aber fehl gedacht.