Solucionado Malware en mi android?

[McGr3gor]

Vereis, desde hace un tiempo he notado que se me crea en la carpeta "Downloads" de la SD dos carpetas con estos nombres:

"sav_amd_dir"
"Otro nombre parecido, no lo recuerdo"

En el primer directorio, se crea un archivo llamado "md.ini" con este contenido:

Código:

com.hummingbird.wuhujiang.xinmatai    692aa0455385f7a1b28213a7781d55df
com.ixigo.cabs    82eed0280e8e4e614b8760cb0a3cf0e2
me.xceed.party    a81410e0521f53899f3ca9fc0f2a86b0
com.webprancer.google.GarfieldsDiner    c68842cc1d14e46a7dbd97a817715f76
com.sweepgaming.potprofit    6108e3f33c98aa6cf762dab6565152fa
vn.playpark.dpq    99765533119b39caa64d81353e3aad35
com.qdazzle.linghunqiyue.russia    1bc48625526d247a6c0c8b848f484231
it.gruppoapi.ipetrolifera    3eb12530a5118d6741916e273917fb9e
com.hitwe.android    e3f02a0fc2567330c91fcc0c344a1c61
jp.co.blazegames.littlenoah    9a6b2c3c0001cffee9163e2997b19625
com.gamebasics.osm    ab5307c5982a421a5b0b0b22a5594a28
com.belauncher    3e7e18c768894547a33176dab98aefa4
com.mechanist.google.masterasnov    ef948eeba72f633a3b521ba7cad804d4
com.gv.mhsg    0ddd2ba9a56836d1ca14ae1e9c7e2737
com.nielsen.odm    434d4b9ccf3e62005997c8997659741d
com.magmamobile.game.HiddenObject    3a90393802ae29fff9a127af1e7d802f
com.igg.android.deckheroeses    4e6f4369471784a83d33549fe294864a
com.appsmob.briscolapro    c7176c4ea264b210c8f96bbe55854564
kingsoft.studio.sunsetbeachlivewallpaper    7131443e07aa3f60836d573d777b0dea
com.timesnowmobile.TimesNow    707a86002a85dc25e6bcb93c13d6589b
com.thinkyeah.privatespacefree    7543ba8bd8980c45b991abdb85e45d5b
com.zhancheng.sanguolua.google    cf26dc41a79518868b816c359c1a3d11
com.jingame.monmas.v2    4be744930e54c2fe3cffb07e90579e13
com.duolingo.testcenter    7cb4cab222fe5d71d9fb18eea23e3cb4
com.qdazzle.shushan.dny    43e4314caa08d81c53f4232e6f55c38c
com.zavity.swipeit    33a7fb11ad27daaefc2a1e0f3344e6bb
com.D9.hero.zqgame.en.andriodgpnew    f3455b33a9fbb4aa59dfbfaabf754ee5
com.Gameade.SGday.google.kakao    b95a45612e13f7d6d6dbcfff8f0714e0
com.path    98746918cc419226b80c8b0bb139af7c
com.dg.puzzlebrothers.mahjong.happydoglife    5a8015936e58bd3b989bb5e47e6f6d88
com.bitmango.go.make7hexapuzzle    70f9b8585b4de3139513cf4ad59c1666
com.krot.colorpuzzle    8bb97782a245d76a3243456de7931c2d
com.fairprice.mcomapp    386136d7a48a0714ab17f4cf17d30aea
kingsoft.skystartsfallinglivewallpaper    2872f2f39055d605123f83d928392e37
com.souq.app    763f808be9280c0d3e382570f9b7a777
com.fandango.movieclips    80dffaef66d4eb4c46db8c9e26779487
com.etsy.android    50f9e5b4bdb5e17bda72c2e6a6a6effb
com.bleacherreport.android.teamstream    2737f09512269613a0fdc46df8a3b7a6
com.openwager.spintopia    1a713754a41bebe49918bb90249d1f50
com.bubbleshooter.google    71cb4f0122e0b7d8f78ece72af992424
com.services.movistar.ar    7d1bfbbd4a678ce7c6582a1156254b85
com.bitmango.popstarice    4e3f7fd39f8af3271953e280fb4a0546
com.keek    59e0abbf56122d2ae57d3805b0a364dc
com.viator.mobile.android    3d02759635c59d089d6c2ca892e2aafe
com.tap.game.mongcuuthe    c7714e299531598c65ba9c624edbbb1d
mdqz.dj.gp.tw    2f63c6cee031e9e0e198d773c078d701
com.dealnews.android.ui    32a9e835ec896f29c0ce7b8ea4e21d2b
com.threed.bowling    619a77df42d102b9f0c2e38bfe9c153e
com.vbn.easyrambooster    38dfedc41b56b88cd66a9d175fda1e18

No estan todas las líneas, no me caben en el mensaje, pero son todas asi.
Parecen nombres de aplicaciones y algún tipo de checksum, pero ni idea.
Si las borro vuelven a aparecer.
Me empezaron a aparecer tras instalar un juego chorra (me aburria) de la PlayStore, pero lo he desinstalado y siguen apareciendo.
Le he pasado el antivirus gratuito de Kaspersky y me dice que esta todo limpio.
Lo que me interesaria es averiguar que aplicacion esta creando esos archivos (imagino que se los descargara de algun sitio) para poder cargarmela.

¿Sabeis que puede ser?, ¿como puedo averiguar que aplicacion me crea estas carpetas y archivos ?

Gracias de antemano por la ayuda

[Rumivi]

Puedes dar más información sobre tu móvil?
Al desinstalar la aplicación chorra borraste datos? Pasa el sd maid para que te borre todo lo inútil.
Los nombres de las. Aplicaciones que aparecen, las tienes o te suenan de haberlas visto el otro lado? Por ejemplo las de duolingo o suoq?

Enviado desde mi GT-I9300 mediante Tapatalk

[McGr3gor]

Datos de mi movil:
Doogee F3 (rooteado)
Android 5.1

El SD Maid lo paso todas las semanas, hoy mismo lo he pasado. Tambien el CCleaner
Los nombres que aparecen no me suenan de nada, no tengo esas aplicaciones instaladas.
Buscando en internet solo he encontrado un mensaje de alguien al que le paso y parece ser que era un juego de carreras (uno conocido "Need for speed no limits", no uno chorra como el que me baje).

¿Existe alguna app que te diga que aplicacion ha creado el archivo?

[Rumivi]

Por lo que sé, es imposible saber qué app ha creado una carpeta en la sd.
Así que me temo que tendrás que investigar más o formatearlo

Enviado desde mi GT-I9300 mediante Tapatalk

[sergioo_24]

Hasta hace poco tenía un Doogee Latte D450 y cada día tenía virus: apps como SexyStorm o similares. Lo formateé pero a los pocos días igual. Opté por instalar antivirus como Malwarebytes que al menos detenía la instalación de esas apps, así como el antivirus de Clean Master. Nunca supe porque, quizás era por alguna vulnerabilidad de KitKat o por el propio Doogee. Me pasaba tanto rooteado como sin estarlo.

Enviado desde mi LG-D855 mediante Tapatalk

Puedes formatear o incluso reinstalar el software y asi te puedes ahorrar dolores de cabeza.

[kzyw]

Borra esa mierda desde system y ya!

[jvq24]

A mi tb me pasa. He leido por ahi q es por la aplicacion need for speed no limits, pero yo no la tengo

[McGr3gor]

 Cita: Originalmente Escrito por kzyw

Borra esa mierda desde system y ya!

¿A que te refieres?

[McGr3gor]

A ver, novedades, a ver si sacamos que es ....

Ayer actualize el SD Maid, y parece que el archivo "md.ini" y la carpeta "sav_amd_dir" ya no me la hace, pero la segunda carpeta, que siempre a tardado mas en crearla, ya que las borraba, me ha vuelto a aparecer, esto es lo que contiene:

Carpeta en Download: "name_ver_dir"
Contiene dos archivos: "pname_version.txt" y "ver.data"

Los dos archivos contienen lo mismo, parecido a "md.ini", este es su contenido:

Código:

com.hummingbird.wuhujiang.xinmatai	 com.ixigo.cabs	58 me.xceed.party	90 com.webprancer.google.GarfieldsDiner	17 com.sweepgaming.potprofit	12 vn.playpark.dpq	36 com.qdazzle.linghunqiyue.russia	9 it.gruppoapi.ipetrolifera	29 com.hitwe.android	66 jp.co.blazegames.littlenoah	163 com.gamebasics.osm	 com.belauncher	242 com.mechanist.google.masterasnov	 com.gv.mhsg	1010 com.nielsen.odm	98 com.magmamobile.game.HiddenObject	10 com.igg.android.deckheroeses	10020000 com.appsmob.briscolapro	19 kingsoft.studio.sunsetbeachlivewallpaper	2 com.timesnowmobile.TimesNow	17 com.thinkyeah.privatespacefree	38 com.zhancheng.sanguolua.google	 com.jingame.monmas.v2	18 com.duolingo.testcenter	370 com.qdazzle.shushan.dny	 com.zavity.swipeit	7 com.D9.hero.zqgame.en.andriodgpnew	361 com.Gameade.SGday.google.kakao	10070101 com.path	582 com.dg.puzzlebrothers.mahjong.happydoglife	1000025 com.bitmango.go.make7hexapuzzle	25 com.krot.colorpuzzle	20 com.fairprice.mcomapp	29 kingsoft.skystartsfallinglivewallpaper	2 com.souq.app	56 com.fandango.movieclips	10 com.etsy.android	44000042 com.bleacherreport.android.teamstream	3237 com.openwager.spintopia	29

No lo pongo todo, pero es asi todo el rato.

Los borro y al cabo de un dia, o un rato largo, vuelven a aparecer.

¿Que puedo hacer para averiguar que app los crea?, ¿habra alguna app que bloquee el acceso a la SD y que cuando alguna otra app quiera escribir en ella me pida permiso?

Se que es complicado, pero tiene que haber algo.

[kzyw]

 Cita: Originalmente Escrito por McGr3gor

A ver, novedades, a ver si sacamos que es ....

Ayer actualize el SD Maid, y parece que el archivo "md.ini" y la carpeta "sav_amd_dir" ya no me la hace, pero la segunda carpeta, que siempre a tardado mas en crearla, ya que las borraba, me ha vuelto a aparecer, esto es lo que contiene:

Carpeta en Download: "name_ver_dir"
Contiene dos archivos: "pname_version.txt" y "ver.data"

Los dos archivos contienen lo mismo, parecido a "md.ini", este es su contenido:

Código:

com.hummingbird.wuhujiang.xinmatai com.ixigo.cabs58 me.xceed.party90 com.webprancer.google.GarfieldsDiner17 com.sweepgaming.potprofit12 vn.playpark.dpq36 com.qdazzle.linghunqiyue.russia9 it.gruppoapi.ipetrolifera29 com.hitwe.android66 jp.co.blazegames.littlenoah163 com.gamebasics.osm com.belauncher242 com.mechanist.google.masterasnov com.gv.mhsg1010 com.nielsen.odm98 com.magmamobile.game.HiddenObject10 com.igg.android.deckheroeses10020000 com.appsmob.briscolapro19 kingsoft.studio.sunsetbeachlivewallpaper2 com.timesnowmobile.TimesNow17 com.thinkyeah.privatespacefree38 com.zhancheng.sanguolua.google com.jingame.monmas.v218 com.duolingo.testcenter370 com.qdazzle.shushan.dny com.zavity.swipeit7 com.D9.hero.zqgame.en.andriodgpnew361 com.Gameade.SGday.google.kakao10070101 com.path582 com.dg.puzzlebrothers.mahjong.happydoglife1000025 com.bitmango.go.make7hexapuzzle25 com.krot.colorpuzzle20 com.fairprice.mcomapp29 kingsoft.skystartsfallinglivewallpaper2 com.souq.app56 com.fandango.movieclips10 com.etsy.android44000042 com.bleacherreport.android.teamstream3237 com.openwager.spintopia29

No lo pongo todo, pero es asi todo el rato.

Los borro y al cabo de un dia, o un rato largo, vuelven a aparecer.

¿Que puedo hacer para averiguar que app los crea?, ¿habra alguna app que bloquee el acceso a la SD y que cuando alguna otra app quiera escribir en ella me pida permiso?

Se que es complicado, pero tiene que haber algo.

Te pasa al reiniciar?
Creo que es una aplicación de esas que se mantienen una vez borradas y al reiniciar te vuelve a salir todo
Mira en system a ver que ves y lo borras desde ahí

Algún launcher o navegador te has descargado últimamente o juegos?

[McGr3gor]

 Cita: Originalmente Escrito por kzyw

Te pasa al reiniciar?
Creo que es una aplicación de esas que se mantienen una vez borradas y al reiniciar te vuelve a salir todo
Mira en system a ver que ves y lo borras desde ahí

Algún launcher o navegador te has descargado últimamente o juegos?

Me pasa desde que instale el juego chorra este, pero lo desinstale y sigue ocurriendo.
¿Que tengo que mirar en el System? (no conozco tanto el sistema android), se que es la carpeta "System" de la raiz, pero ¿que tengo que buscar ahi?, dentro de esa carpeta, he ido a la carpeta "app", pero no he visto nada raro.

Vale, en cuanto he reiniciado me ha vuelto a aparecer la dichosa carpeta "sav_amd_dir" y el puñetero archivo "md.ini"

Menudo mosqueo llevo .....

[kzyw]

 Cita: Originalmente Escrito por McGr3gor

Me pasa desde que instale el juego chorra este, pero lo desinstale y sigue ocurriendo.
¿Que tengo que mirar en el System? (no conozco tanto el sistema android), se que es la carpeta "System" de la raiz, pero ¿que tengo que buscar ahi?, dentro de esa carpeta, he ido a la carpeta "app", pero no he visto nada raro.

Vale, en cuanto he reiniciado me ha vuelto a aparecer la dichosa carpeta "sav_amd_dir" y el puñetero archivo "md.ini"

Menudo mosqueo llevo .....

Eres root?
En System, busca la ruta y borra el "apk base" de ese juego
Luego reinicia!

[McGr3gor]

 Cita: Originalmente Escrito por kzyw

Eres root?
En System, busca la ruta y borra el "apk base" de ese juego
Luego reinicia!

He buscado en la carpeta "/System/app" y no veo nada del juego, tambien he instalado la aplicacion Startup manager y tampoco veo nada raro .....
Confirmado, cada vez que reinicio, aparece la carpetita.

[jorgeescmen]

Posiblemente sea malware ligado a ese juego.
Lo que te recomendaría de primeras es un formateo de fabrica, sino se soluciona, buscar la rom del movil e instalarla.

[kzyw]

 Cita: Originalmente Escrito por McGr3gor

He buscado en la carpeta "/System/app" y no veo nada del juego, tambien he instalado la aplicacion Startup manager y tampoco veo nada raro .....
Confirmado, cada vez que reinicio, aparece la carpetita.

Busca bien que estar está jeje
Lo sé porque a mi también me pasó algo parecido
Busca otra ruta que system
Quizás en storage
No sé ni que móvil tienes...

[jvq24]

A mi se me crean en el almacenamiento interno, en Downloads y no he instalado nunca el juego que refiere ek compañero

[McGr3gor]

 Cita: Originalmente Escrito por jvq24

A mi se me crean en el almacenamiento interno, en Downloads y no he instalado nunca el juego que refiere ek compañero

Que movil tienes y que version de Android?

[jvq24]

En mi tablet también me aparecían las carpetas. He mirado aplicaciones coincidentes, desinstalandolas y demàs, y de momento, la que creo que es la culpable es Xender, transferencia rapida. Desde que la he borrado no me aparecen las dichosas carpetas. A ver si sigue así

[McGr3gor]

 Cita: Originalmente Escrito por jvq24

En mi tablet también me aparecían las carpetas. He mirado aplicaciones coincidentes, desinstalandolas y demàs, y de momento, la que creo que es la culpable es Xender, transferencia rapida. Desde que la he borrado no me aparecen las dichosas carpetas. A ver si sigue así

Joder, pero Xender lleva instalada desde el principio

¿Te da problemas el haberla desinstalado?
¿Sigue sin hacertelo?, cuenta, cuenta.