后使用快捷导航没有帐号？
只需一步，快速开始
查看: 354646|回复: 287
在线时间562 小时经验值576 最后登录注册时间帖子阅读权限60UID824028
大学本科, 积分 576, 距离下一级还需 124 积分
TA的每日心情衰 12:18签到天数: 12 天[LV.3]偶尔看看II
G币386 最后登录注册时间
马上注册，结交更多机友，下载更多应用，让你轻松玩转手机。
已有帐号？　　　下载游戏和软件，请【】进入机锋市场！
本帖最后由 namven 于
05:16 编辑
是因为你们装了个&&一键VIPN（I省略去掉）
以下系列解决方法得益于以下博友倾情帮助，笔者表示深深感谢和佩服：impliu& && &5422811& && &ExVita& && & liujia_0421
为了避免原文篇幅过长，而且细致的分析不易被大家接受，此处特启一文，重点谈解决方法，忽视技术细节。关于这个问题的原始描述和解决思路探寻的过程敬请移步博文：倡议：对流氓软件大众点评、游戏速递、Youni短信、京东商城以及背后灰色产业链进行全民讨伐
问题描述：常一些，比如大众点评、、有你短信、京东商城、当当网、银联、盛大切客、云中书城等，这些软件绝对不负有之称。流氓特征如下：
1、手机待机状态下自动下载安装包。
2、自动安装，不经任何允许。
3、自动启动，不经任何用户操作。
在使用安卓手机时遇上这样的流氓软件的感觉，就像欣赏眼前美景的时刻突然跑来一直苍蝇还直往你嘴里钻，那着实叫一个恶心。如果你遇到以上特征的流氓软件，很可能是因为您的手机不经意安装了病毒软件，让手机中了kongfu病毒。危害自然包括我们微薄的GPRS流量和令人烦躁而且自己不需要的软件。请注意，以下处理将不起作用：
1、安装什么360、神马安全管家等等。一句话：主流的安全软件都是过眼浮云，清理垃圾拦击短信简单事情还行，这种问题根本无法处理。经博友反映，大多的手机杀毒软件对此束手无策，所以这个问题至今未得到解决，有人是因为一键科学上网中毒的，但是杀毒软件能告诉你是一键科学上网是病毒软件，卸载掉，但是病灶本身已经进入系统内部，杀毒软件解决不了。您的手机照样还是“肉机”！
2、流量监控软件查不出问题。有人觉得知道什么软件偷偷下载大众点评安装包问题就解决了，但是这个病毒问题在于是通过系统内部命令文件执行来进行下载，流量监控只能显示应用软件的流量占用，但是如果是系统的就管不了了，就像windows上的360面对一些微软内部更新进程也无法限制流量一样，因为系统自己的操作比应用软件还底层，应用软件管不了那么宽。
3、某些模式的刷机无效。说是某些是因为安卓刷机模式有几种，大致分为升级和全新刷机两类，系统升级的原理是保留一些不需要更新的文件（一般是与原刷机相同的文件），但是系统有刷机包没有的文件就保留，所以升级掉不了用户数据原理就是因为这个，但是问题是同样这个病毒也会因此得以保留。而全新刷机（俗称强刷）则是完全格式原储存空间再复制刷机包。所以升级模式无法删除该病毒，但强刷可以。
难道只能强刷系统才能解决这个令人痛苦的问题吗？
以下是完全解决该问题的方案：（方案源自“趋势科技”和“卡巴斯基”关于该病毒的分析报告，详见文章开头提到的博文）
/system/xbin/ccb————病毒文件，删掉
/system/etc/.dhcpcd————病毒文件，删掉
/system/etc/.rild_cfg————病毒文件，删掉
/system/bin/installd————病毒文件 ,删掉，同目录下还有一个叫 installdd是系统原来正常的文件，把文件名改回installd
/system/bin/dhcpcd————病毒文件，删掉，同目录下还有一个叫 dhcpcdd是系统原来正常的文件，把文件名改回dhcpcd
/data/dhcpcd.lock————病毒文件，删掉
因为是删除系统文件，和我们以往删除联通电信定制软件会稍微麻烦些，下面删除操作的步骤，不可不看：
1，安装RE管理器，在弹出窗口选择获取永久root权限，相信中了这毒的手机都root了。（最好是汉化版RE管理器，便于看清后面的操作指示，不愿意去市场找可以在这个下载：RE管理器v2.17汉化版，这是我用的版本）
2，启动RE管理器，找到要删除的文件。如果RE管理器最上面显示“已挂载为只读”，按旁边按钮“挂载为读/写”，如果已经是“挂载为读/写”，则不做操作。
3、长按要删除的文件，在弹出窗口中选择“权限”，在接下的窗口中，将上面3X3排列的9个钩都打上，然后确定。
4，长按要删除的文件，在弹出窗口中选择“删除”，确定。
部分机型在第3步会遇上弹出错提示，关于“权限”或者英文“Permissions change was not successful. Please note that some file systems(e.g. SD card) do not allow permission changes”之类的提示。那需要的操作复杂了点，因为要使用到#chattr -i 命令修改权限：
1，安装“超级终端”软件，点击下载超级终端，并获取永久root权限，各大市场都有下载。
2、导入busybox。因为超级终端本身不带chattr命令，需要放入busybox（感谢impliu提醒）。操作如下：下载busybox，点击下载，把这个压缩包解压出来后是个无扩展名的busybox文件，放到内存卡上。然后用RE管理器拷贝到system/bin文件夹里（记得先切换成可读写状态，也就是“挂载读/写”），长按拷贝过来的busybox文件，在弹出菜单里选择“权限”，把第一行用户的读写执行3个全打上勾。
i建议：也可以在官方电子市场搜索Busybox，安装busybox Stephen(Stericson)版本的installer，运行后按提示安装busybox，它会自动将busybox装进系统，并在/system/bin下建立各个命令的软连接，这样就可以直接运行命令，比较方便。
3、启动超级终端，输入以下命令：“su回车换行busybox空格chattr空格-i空格/system/etc/.dhcpcd回车换行”，命令中中文是提示，不是让输汉字，没有出现异常提示即操作成功。接着上面第3步用RE管理器修改权限，然后删除。
PS：删除其他几个文件遇到权限问题同样需要在超级终端中类似地输入“su回车换行busybox空格chattr空格-i空格【文件路径】回车换行”后再修改权限后删除。
注：关于有博友提到系统找不到的备份installdd和dhcpcdd的问题，可能是kongfu病毒的变种并不保存系统源文件造成的，如果系统的installd和dhcpcd的日期和同目录的其他文件日期不同，说明已经被感染（除非你自己人工动过，正常情况这个目录下的文件日期都是统一的刷机的日期）。这里提供C8650的android2.3.3系统的原生installd和dhcpcd文件下载（installd下载 / dhcpcd下载），但这不能解决所有出现这种问题的博友，因为系统不同该文件可能不一样，甚至统一版本系统因为不同厂家定制的缘故也可能不一样（存在这种可能），遇到这种问题的最好找原来的卡刷包里去提取（如果是官方的rom就不太好办了）。弄到系统原本的文件后，拷贝到SD卡中，用RE复制到/system/bin/目录下（先要删除原来的文件，如果为了避免删除缺失造成系统崩溃，可自己将下载或提取的installd和dhcpcd重新命成其他名字，删除感染文件后，再将名字改回来）。注意：由于是RE管理器外部拷贝过来，文件的”所有者“和”权限“需要做一下修改，RE管理器先挂载目录”读/写“，然后修改成如下图所示（仅以dhcpcd为例，installd同样要修改）：
& && && &&&
以上是所有删除出现故障的解决方法，如果问题，欢迎大家留言反馈。
Wipe data 清除手机资料-格机
Wipe cache清除缓存数据
就是双wipe
在线时间562 小时经验值576 最后登录注册时间帖子阅读权限60UID824028
大学本科, 积分 576, 距离下一级还需 124 积分
TA的每日心情衰 12:18签到天数: 12 天[LV.3]偶尔看看II
G币386 最后登录注册时间
本帖最后由 namven 于
05:22 编辑
希望对大家有用。。。觉得好的就加个分吧，亲测方法。暂时没出现不良现象！这个图片是网友提供的
Wipe data 清除手机资料-格机
Wipe cache清除缓存数据
就是双wipe
在线时间1113 小时经验值1609 最后登录注册时间帖子阅读权限80UID3297553
研究生, 积分 1609, 距离下一级还需 91 积分
该用户从未签到
G币136 最后登录注册时间
目前没有碰到，但还是顶你，毕竟打字不容易
我回帖子，我得积分，你也得实惠
在线时间902 小时经验值849 最后登录注册时间帖子阅读权限70UID3539694
学士, 积分 849, 距离下一级还需 251 积分
该用户从未签到
G币1192 最后登录注册时间
3、启动超级终端，输入以下命令：“su回车换行busybox空格chattr空格-i空格/system/etc/.dhcpcd回车换行”
这一步在哪里输啊
在线时间1644 小时经验值2844 最后登录注册时间帖子阅读权限100UID559200
博士, 积分 2844, 距离下一级还需 656 积分
TA的每日心情无聊 18:33签到天数: 61 天[LV.6]常住居民II
G币828 最后登录注册时间
现在的水货手机都被植入了这些垃圾软件，删的手酸～直接刷机解决
特步，非一般的感覺
在线时间139 小时经验值732 最后登录注册时间帖子阅读权限70UID6158473
学士, 积分 732, 距离下一级还需 368 积分
该用户从未签到
G币150 最后登录注册时间
出现过两次现在没有发现，支持技术贴
在线时间158 小时经验值1224 最后登录注册时间帖子阅读权限80UID4141814
研究生, 积分 1224, 距离下一级还需 476 积分
TA的每日心情开心 07:08签到天数: 34 天[LV.5]常住居民I
G币291 最后登录注册时间
好文章顶个
在线时间1474 小时经验值1963 最后登录注册时间帖子阅读权限90UID800931
硕士, 积分 1963, 距离下一级还需 537 积分
该用户从未签到
G币3787 最后登录注册时间
这个破病毒我也中了～按照上面方法没删掉 还会自己建立～刷底包搞定了。。。
在线时间562 小时经验值576 最后登录注册时间帖子阅读权限60UID824028
大学本科, 积分 576, 距离下一级还需 124 积分
TA的每日心情衰 12:18签到天数: 12 天[LV.3]偶尔看看II
G币386 最后登录注册时间
& & 直接删除那些上面列出的文件就可以了，如果出现错误才用终端命令。哪个请下载附件
Wipe data 清除手机资料-格机
Wipe cache清除缓存数据
就是双wipe
在线时间902 小时经验值849 最后登录注册时间帖子阅读权限70UID3539694
学士, 积分 849, 距离下一级还需 251 积分
该用户从未签到
G币1192 最后登录注册时间
成功删除了，不知道有没有用
Powered by新型安卓病毒自动下载安装APP 无法正常卸载 - 网易济南
十天内免登录
新型安卓病毒自动下载安装APP 无法正常卸载
昨天，国家计算机病毒应急处理中心监测发现，一种新的感染安卓手机的病毒a.expense.GhostPush.a出现，该病毒可自动下载安装其他APP。
昨天，国家计算机病毒应急处理中心监测发现，一种新的感染安卓手机的病毒a.expense.GhostPush.a出现，该病毒可自动下载安装其他APP。据了解，该病毒是一款推送应用类病毒，开机自启动，自动下载其他应用，并静默安装成系统应用；在用户未知情的情况下，连接远程服务器获取推广应用信息，然后自动下载静默安装，消耗用户手机流量，用户无法正常卸载。经分析发现，在该病毒执行完安装后，会激活手机设备管理器，未经用户允许私自上传手机固件信息和手机已安装的应用到指定服务器；从服务器获取应用保存
到手机本地folder数据库；在用户未知情的情况下，静默安装多款恶意软件，启动后自动从服务器获取应用信息；病毒未经允许私自从服务器获取指定应用，
下载静默安装，创建快捷图标，并弹出通知栏框。针对已经感染该手机病毒的计算机用户，国家计算机病毒应急处理中心的专家建议立即升级手机中的防病毒软件，进行全面杀毒。对未感染的用户，建议打开手机中防病毒软件的“实时监控”功能，对手机操作进行主动防御。
本文来源：京华时报
责任编辑：jn-litiantian
相关新闻阅读
48小时评论排行
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
用微信扫描二维码分享至好友和朋友圈
&select name="site" class="left"&
&option value="网易" selected="selected"&新闻&/option&
&option value=""&网页&/option&【导语】：国家计算机病毒应急处理中心监测发现，近期一种感染安卓手机的病毒a.expense.GhostPush.a出现。该病毒是推送应用类病毒，开机自启动，自动下载其他应用；在用户未知情的情况下，消耗用户手机流量，同时用户无法正常卸载。　　据@人民日报：国家计算机病毒应急处理中心通过对互联网的监测发现，近期一种感染安卓手机的病毒a.expense.GhostPush.a出现。该病毒是一款推送应用类病毒，开机自启动，自动下载其他应用，并静默安装成系统应用;在用户未知情的情况下，连接远程服务器获取推广应用信息，然后自动下载静默安装，消耗用户手机流量，同时用户无法正常卸载。　　经分析发现，在病毒执行完安装后，激活手机设备管理器，未经用户允许私自上传手机固件信息和手机已安装的应用到指定服务器;从服务器获取应用保存到手机本地folder数据库;在用户未知情的情况下，静默安装多款恶意软件(如：TimeService、MonkeyTest)，启动后自动从服务器获取应用信息;病毒未经允许私自从服务器获取指定应用，下载静默安装，创建快捷图标，并弹出通知栏框。　　防范措施：　　(一)针对已经感染该手机病毒的计算机用户，我们建议立即升级手机中的防病毒软件，进行全面杀毒。　　(二)针对未感染该手机病毒的计算机用户，我们建议打开手机中防病毒软件的“实时监控”功能，对手机操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护手机安全的目的。　　(三)手机用户不要轻易上陌生的网站下载应用软件或是点击短信中的URL链接地址，如果是联系人发来的短信核实真实性后再点击打开。&
西安10月6日国足门票已售完！回复【国足】一键进入缺货登记！
城墙马拉松名额已满，报名成功，回复【马拉松】，了解参赛细则！
自9月28日起，西安咸阳机场大巴时刻表最新调整，回复机场大巴，了解最新时刻表！
1、2、3、4、5、6、手机自动下载安装垃圾软件咋办_百度知道很多人手机里面有这个木马程序，杀毒软件都查不出来，不知道怎么卸载
不知道怎么回事，手机上突然自己下载了个叫“节电工具”的程序（伪装成系统软件），刚开始还不在意，杀毒软件也没查出来，今天打开程序管理发现那个软件竟然卸载不了，上网一查网上很多人遇到过，现在我把卸载步骤写下来：一步一步来：系统设置——位置与安全——设备安全管理——里面会有个设备管理器，你把它的勾去掉（变成灰色）。然后你再返回系统设置——应用程序——管理系统程序（安装卸载），在你手机里（已下载或全部里）找到“节电工具”点进去，卸载！OK！卸载成功！亲测百分百有效。
该帖共收到 7 条回复！
发表于 日 21:16
RE: 很多人手机里面有这个木马程序，杀毒软件都查不出来，不知道怎么卸载
它会自动发送短信，一条一块钱，大家看看你的手机上有没有，我是小白，高手勿喷，写给和我这样的小白
发表于 日 21:28
从来没见过.
发表于 日 21:29
同学，，，安卓机不支持中毒，，你想多了吧
发表于 日 22:48
提示: 作者被禁止或删除 内容自动屏蔽
发表于 日 23:04
恶意软件？
发表于 日 23:11
RE: 很多人手机里面有这个木马程序，杀毒软件都查不出来，不知道怎么卸载
Akria、命脉 发表于 日 21:29
同学，，，安卓机不支持中毒，，你想多了吧
所谓的手机中毒就是自动发收费短信，拨打电话，后台下载软件（不包月或包月流量少的等着欠高额流量费吧）
发表于 日 23:20
求特洛伊木马