All Activity

Спасибо AlexeyK.

Просканировать устройство антивирусом. И вообще использовать его на постоянной основе, раз уже есть прецедент. Если угроз при сканировании нет - то и проблемы нет. Про последствия точно ничего нельзя сказать, зловреды не сообщают о том, что именно они успели сделать. Но по банковской части, думаю, Вы уже все сделали (даже может где-то и сверх меры).

Для начала знать что за телефон, если телефон изготовлен фирмой "дедушка Чен и братья", его просто выбросить, и купить новый.

Скажите, а какой алгоритм вы бы предложили мне, какие возможные варианты для решения моей проблемы с вирусом (или его последствиями) ?

App reinstalling is a great power. Let's hope the next OS/app update doesn't break everything again. 🙂

the re install worked thanks. made the rules from start and everything works as it should. thanks for helping the the only man in planet earth....

Эти буквы вообще ничего для пользователя не значат, можно не обращать внимания на них. Мы никак не сможем точно сказать, что у Вас происходит на устройстве. Как выше сообщил @andrew75 - если после удаления больше срабатываний нет, то скорее всего он действительно полностью удален. Если сканирование антивирусом ничего не находит - все должно быть в норме. Однако, если зловред был, к примеру, в предустановленном приложении, то при сбросе на заводские настройки он наоборот может снова появиться.) Ваше приложение СБ запретило вход до тех пор, пока не был удален зловред, а значит как минимум банковские данные в безопасности. И да, ложное срабатывание тоже вполне возможно.

@Moinum Welcome. Your URL has been submitted to Kaspersky Virus Lab , the verdict will be provided when available.

Антивирус не может удалить вирус в прошивке. Поэтому в вашем случае он видимо нашел его не там. Есть вероятность что это вообще ложное срабатывание. мы тоже этого не знаем. Мы даже не знаем определенно а был ли вирус. Поэтому советовать что-то в данном случае сложно.

Спасибо за комментарий AlexeyK, но я изначально не путал эти трояны. Когда искал свой вирус, то нашёл только bbdw (совсем другой, я понимаю). А скажите пожалуйста, антивирус обнаружит вирус в прошивке ? Удалит его ? Если ответ положительный, то тогда сохранить данные, сделать сброс до заводских настроек, тогда проблема должна исчезнуть. как я понимаю. Но самое плохое, что я не знаю, что этот вирус делает, какие последствия.

Нет, не путайте, Ваше приложение находило bngd. 🙂 Та же самая ссылка на пустое описание: No family description. 🙂

...bbdw - этот троян я находил.

Есть вот такое https://threats.kaspersky.com/en/threat/Trojan.AndroidOS.Piom.bbdw/ Но да, на форуме этим точно никто заниматься не будет. А больше никуда с бесплатной версией антивируса обращаться нет смысла. Поскольку антивирус его удалил, то вряд ли он был в прошивке. Поэтому с некоторой долей вероятности можно спать спокойно. На что и намекают в Сбербанке.

Вы обратились на форум, чтобы получить вот это? 👆 Тут точно этого не делается. Да и в вирлабе ЛК тоже не будут заниматься анализами, да еще и углубленными.) В базе знаний никакой конкретной инфы по данному типу угрозы не предоставлено.

Здравствуйте ! Исходные данные ----------------------------------------------- Версия Android 9 PPR1.180610.011 Kaspersky Free Версия 11.124.4.14286 Вирус: UDS:Trojan.AndroidOS.Piom.bngd ----------------------------------------------- 11.08.2025 г. я как обычно решил войти в приложение "СберБанк" на смартфоне. Версия приложения СберБанк последняя 16.12.0. Сразу при входе в приложение СберБанк появилось сообщение, что обнаружены вирусы (UDS:Trojan.AndroidOS.Piom.bngd) и предложено удалить его. Скриншот прилагаю (Screenshot_2025-08-11-17-30-20-539_ru.sberbankmobile.jpg). В тот момент я не стал удалять этот вирус и запустил приложение DrWeb на быструю проверку вирусов. Ничего не было обнаружено. После этого я снова запустил приложение СберБанк и опять выдалось вышеуказанное сообщение. Теперь я нажал "Удалить" этот вирус. Позже входил в это приложение несколько раз и проблем не возникало. Чуть позднее я снова запустил DrWeb на полную проверку вирусов, но опять ничего не было обнаружено. Я переустановил приложение "Сбербанк". Потом всё же обратился в тех.поддержку Сбербанка. Ответ из Сбербанка: "Вирус находится внутри прошивки телефона. Удалить его стандартными способами невозможно Обратитесь к производителю телефона." ------------------------------------------------------------------------------ Несмотря на то, что я удалил этот вирус, появилась проблема на смартфоне. Иногда гас экран и мне долго приходилось выводить его из этого сотояния. Иногда при перезагрузке телефона экран опять долго был чёрным и снова вывести его из этого состояния долго не получалось. Всё это было непредсказуемо во времени. А иногда перезагрузка проходила как обычно без задержек. В интернете я не нашёл конкретно этот вирус. Находил другие, которые отслеживают нажатие кнопок на телефоне. Я понимаю, что этот вирус относится к Троянам, но что делает, какие последствия и как от них избавиться, не знаю. В интернете я находил противоречивую информацию о вирусах, обнаруженных в прошивке телефона. Кто-то говорил, что из прошивки вирус удалить невозможно. И даже сброс до заводских настроек не поможет (вирус всё-равно останется) ------------------------------------------------------------------------------ Ответ из Сбербанка после моей просьбы идентифицировать этот вирус: "Вирус на устройстве был обнаружен 11 августа и через некоторое время удален вами. На текущий момент этого вируса нет." На всякий случай я заблокировал удалённый доступ к банковским приложениям. После этого в офисе Сбербанка я снова сделал запрос на то, чтобы всё-таки идентифицировали этот вирус. Мне ответили из Сбербанка: "В приложении Сбербанк Онлайн ошибок не найдено Вирус был обнаружен 11 августа 2025 года в прошивке вашего телефона и впоследствии успешно удалён вами. Сейчас на телефоне вируса нет. Если вам необходима более подробная информация о характеристиках и последствиях воздействия этого вируса, рекомендуем обратиться в компанию "Лаборатория Касперского". Их эксперты проведут углублённый анализ и предоставят полный отчёт о природе угрозы." *****

Hi Kaspersky community, our domain/website https://ost-immobilien.com/ appears to be flagged as malware in Kaspersky. This may have been justified years ago when the domain was owned by someone else. But we registered the domain not long ago and are not related in any way to previous owners. Our website is not malicious. Can you please help to remove the false warning in Kaspersky products? Thanks!

Ciao, volevo segnalare che nel popup emesso dopo la scansione viene visualizzato questo messaggio: "Nessuna minaccia trovata. Tutti gli oggetti cpntrollati possono essere utilizzati in modo sicuro" "cpntrollati", c'è la "p" al posto della "o" colgo l'occasione per ringraziarvi per il vostro supporto, mi è servito spesso per risolvere alcune problematiche grazie, ciao

@Tahmeed702 Hi, Thanks for your help. All the items were already checked except for the first one. I checked it as well. I will inform you about the result. Thanks

Did you follow the WebConsole installation steps? https://support.kaspersky.com/KSCLinux/14.2/en-US/181968.htm https://support.kaspersky.com/KSCLinux/14.2/en-US/181969.htm

Возможно Вы имеете ввиду, что этого не делаете вручную. Возможно, что опрос у Вас происходит автоматически. Как вариант покажите/ изучите настройки задач опроса, политику центра администрирования.

А, ну вот... У меня-то 21.21... Да ладно, отключил их. Может, обновится моя версия, так включу потом, посмотрю 😀

Problem There are several problems with similar causes: 1) KESL postinstall script produces error. Warning: Failed to set up KSN 2) KESL is installed and running. However, the kesl-control command outputs something like that: kesl-control --app-info Connection refused. Invalid user permissions for /var. Only root user should have write access to this path. kesl-control --app-info Could not connect to Kaspersky Endpoint Security 11.2.2 for Linux 3) KESL is installed and running, kesl-control indicates no problems. However, kesl-gui shows the Application is currently unavailable error. 4) KESL is installed and running, nagent indicates no connectivity problems. However, KSC shows that KESL is stopped and can't be started. 5) (Starting from 11.3) KESL journal errors "RemoteConnectionRejected" EventType=RemoteConnectionRejected EventId=4385 Initiator=Product Date=2024-04-09 16:28:59 DangerLevel=Critical Reason=InvalidPermissions Path=/var Process=/var/opt/kaspersky/kesl/11.4.0.1096_1684141407/opt/kaspersky/kesl/bin/kesl-control 6) (Starting from 11.3) Nagent errors "Remote Connection Rejected" Note that in case the problem is with nagent itself (i.e not kesl-control or kesl-gui), nagent actually will not send these events to KSC due to very same issue. Root cause KESL service implements defensive internal logic which denies connections from not "trusted" processes. One of the causes is that the process executable file or some library it loads can be overwritten by a non-root user: 1) The Owner is not "root". 2) FS write permission is granted to "Group" or "Other". Such errors often serve as indication of some erratic configuration. For example: Some system administrators change ACL for /opt or other folder (which is supposed to not be widely accessible) to 777 because they don't want to work via sudo; In Astra Linux, the owner of the /var directory is sometimes changed to the fly-dm service user due to an error in the fly-dm package. Astra developers confirmed this bug and released fix. If the issue reproduces with new fly-dm versions, address Astra support. LD_PRELOAD variable may be used to load arbitrary libraries for any given process including KESL. This is usually the case when you see non-root permissions errors for some third-party libraries. Solution To restore proper permissions, use the chown and/or chmod commands: chown root:root /path/to/folder chmod g-w,o-w /path/to/folder Please exercise caution and rely upon common sense when changing permissions for / and folders straight under /. It depends on the environment which files/folders are checked, thus a complete list cannot be provided. 1) # ls -ld / /var /var/opt /opt /opt/kaspersky /bin /usr /usr/lib /usr/lib64 | egrep -v '^d.{4}-.{2}-.*root root' drwxr-xr-x. 20 x root 279 Apr 5 14:30 /var 2) (kesl 11.3+) check for RemoteConnectionRejected events. Path parameter should contain faulty directory. Check for events by directly querying events.db, or querying event database via kesl-control, or kesl-control errors depending on scenario. See examples Broken permissions for kesl, kesl-control errors root@dc-ubuntu:~# chmod 777 /var/opt/kaspersky/kesl/ root@dc-ubuntu:~# kesl-control --app-info Connection refused. Invalid user permissions for '/var/opt/kaspersky/kesl'. Only root user should have write access to this path. Broken permissions for klnagent, events.db query via kesl-control root@dc-ubuntu:~# chmod 777 /opt/kaspersky/klnagent64 root@dc-ubuntu:~# systemctl restart klnagent64 root@dc-ubuntu:~# kesl-control -E --query 'EventType=="RemoteConnectionRejected"' | tail -n 20 Process=/opt/kaspersky/klnagent64/sbin/klnagent EventType=RemoteConnectionRejected EventId=11301 Initiator=Product Date=2024-04-10 18:01:53 DangerLevel=Critical Reason=InvalidPermissions Path=/opt/kaspersky/klnagent64 Process=/opt/kaspersky/klnagent64/sbin/klnagent EventType=RemoteConnectionRejected EventId=11302 Initiator=Product Date=2024-04-10 18:02:04 DangerLevel=Critical Reason=InvalidPermissions Path=/opt/kaspersky/klnagent64 Process=/opt/kaspersky/klnagent64/sbin/klnagent events.db query via 3rd party tool (sqlite3 utility) root@dc-ubuntu:~# sqlite3 /var/opt/kaspersky/kesl/private/storage/events.db 'SELECT date,process,path FROM events WHERE eventtype=134 ORDER BY date DESC LIMIT 3' 2024-04-10 16:17:16|/var/opt/kaspersky/kesl/11.4.0.1096_1684141407/opt/kaspersky/kesl/bin/kesl-control|/var 2024-04-10 15:09:04|/opt/kaspersky/klnagent64/sbin/klnagent|/opt/kaspersky/klnagent64 2024-04-10 15:08:49|/opt/kaspersky/klnagent64/sbin/klnagent|/opt/kaspersky/klnagent64 3) To get a full list of files loaded by KESL or klnagent, you can read /proc/<pid>/maps. Use commands in the example below to filter out all application-specific files that are located in the folders listed above and to see what other files are used: # cat /proc/$(pidof -s klnagent)/maps | awk '{print $6}' | grep ^/ | grep -v 'kaspersky' | sort | uniq /usr/lib64/gconv/gconv-modules.cache /usr/lib64/ld-2.17.so /usr/lib64/libattr.so.1.1.0 /usr/lib64/libbz2.so.1.0.6 /usr/lib64/libc-2.17.so /usr/lib64/libcap.so.2.22 /usr/lib64/libdl-2.17.so /usr/lib64/libdw-0.176.so /usr/lib64/libelf-0.176.so /usr/lib64/liblzma.so.5.2.2 /usr/lib64/libm-2.17.so /usr/lib64/libnss_dns-2.17.so /usr/lib64/libnss_files-2.17.so /usr/lib64/libnss_myhostname.so.2 /usr/lib64/libpthread-2.17.so /usr/lib64/libresolv-2.17.so /usr/lib64/librt-2.17.so /usr/lib64/libz.so.1.2.7 /usr/lib/locale/locale-archive # cat /proc/$(pidof kesl)/maps | awk '{print $6}' | grep ^/ | grep -v 'kaspersky' | sort | uniq /usr/lib64/gconv/gconv-modules.cache /usr/lib64/ld-2.17.so /usr/lib64/libc-2.17.so /usr/lib64/libdl-2.17.so /usr/lib64/libm-2.17.so /usr/lib64/libnss_dns-2.17.so /usr/lib64/libnss_files-2.17.so /usr/lib64/libpthread-2.17.so /usr/lib64/libresolv-2.17.so /usr/lib64/librt-2.17.so /usr/lib64/libz.so.1.2.7 /usr/lib/locale/locale-archive

Ничего из вышеперечисленного. Скачивал приложение не помню где уже. Сейчас попробую устанавливать из разных источников, которые вы перечислили выше. Очень странная штука выходит. Если юзать приложение установленное или обновленное через appstore\galaxy store - в приложении безопасного соединения нет, а вот если устанавливать напрямую апкшник который был скачан через офф сайт- соединение есть, то есть оно сейчас появилось после переустановки с офф сайта. В таком случае проблема аппстора остается открытой. На ios же нельзя сторонние приложухи качать)

А что изменилось за эту неделю: обновили приложение или продлили лицензию? Откуда скачивали версию для Android?

Не опрашиваю. Написал в сообщении "доменов", а подразумевал AD ) Не пойму откуда узлы без адресов в нераспределённых