这个方法只在第二版机器上管用,三版机器没试过 呵呵
今天偶然发现手机屏幕自动亮了一下,然后听到短信报告的声音,心中感觉不好。。。于是查询10086,发现定制了一下梦网业务,恨死梦网业务了,没一个好东西。赶紧退定了所有梦网业务,然后用appman查看进程,发现两个可疑进程SYSOBSVC和Msgobsvc,把这两个进程结束,用fileman删除C盘下\SYSTEM\DATA下文件Etel3rdparty.dll Msgobsvc.exe 和SYSOBSVC.exe三个文件,删除c:\system\recogs\里的MDL1.MDL文件;再进入e盘,删除\SYSTEM\DATA下的 Msgobsvc.exe和SYSOBSVC.EXE两个文件。在操作时一定要注意appman的进程列表里不要再产生那两个可疑进程,如果产生了反复按照上述删除步骤进行操作。
另外引用wda论坛里的另一个案例的解决方案:
问题:今天早上突然听到我的 手机 有收到 短信 的声音,打开一看,什么都没收到却在发 短信 (我自己没发),然后很快收到一条什么 感谢 定制某某业务的 短信 ,TMD,检查通讯记录发现是15901261563发来的,自动回复了12982110的不知什么东西。郁闷,请DX 帮忙 ,应该如何防范,并提醒大家注意!!!
解决措施:删除文件前请用APPMAN先关闭线程starter.exe 和smserv.app
或者删除c:\system\recogs\801009.mdl文件后重启动手机。再删除其他文件。
已知出现的问题短信息丢失,自动发信息。流氓软件(LOGO.EXE,smserv.app)分析。
简单分析了一下此软件中的流氓软件。安装文件中包含logo.exe 4252字节themes.dat 21528字节,根据文件看来很可能原来的主题流氓软件也是这两个文件,将这两个文件打入安装包中,并在安装完成后运行LOGO.EXE,大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,但是你会在运行后发现什么也没有显示,其实这个LOGO.EXE在后台将THEMES.DAT解包,这个文件是个ZIP格式的文件。
里面包含6个文件,zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行,其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现
发信息的问题
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息。因为只是简单的分析,没有分析发送信息的内容和发送给谁。
预防措施:下载软件时最好先看一下下面的网友的评论,如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开,看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。
一点说明
c:\system\recogs或者e:\system\recogs目录下面的文件有两种
1.注册对应的文件类型,可以在文件管理器里面直接打开文件,就好像PC上双击RMVB文件会自动调用暴风影音一样。
如:智能影院里面的101feaf9.mdl,我安装的是3.40
2.自动运行程序,可以实现手机启动后自动启动程序
如:好帮手里面的MhAuto.mdl。
所以c:\system\recogs或者e:\system\recogs目录下面的文件下面的文件不一定全是有害的,但是流氓软件为了实现自动运行一定会向c:\system\recogs或者e:\system\recogs目录下面保存文件的。
如果你安装的程序没有自动启动功能,但是向这两个目录下面放文件了,那就要小心了。或者软件运行一次后,这两个目录下面多了文件,这是这个软件运行后才释放的流氓程序,也要小心
