订阅這個方法只在第二版機器上管用,三版機器沒試過 呵呵
今天偶然發現手機屏幕自動亮了一下,然後聽到短信報告的聲音,心中感覺不好。。。于是查詢10086,發現定制了一下夢網業務,恨死夢網業務了,沒一個好東西。趕緊退定了所有夢網業務,然後用appman查看進程,發現兩個可疑進程SYSOBSVC和Msgobsvc,把這兩個進程結束,用fileman刪除C盤下\SYSTEM\DATA下文件Etel3rdparty.dll Msgobsvc.exe 和SYSOBSVC.exe三個文件,刪除c:\system\recogs\裏的MDL1.MDL文件;再進入e盤,刪除\SYSTEM\DATA下的 Msgobsvc.exe和SYSOBSVC.EXE兩個文件。在操作時一定要注意appman的進程列表裏不要再産生那兩個可疑進程,如果産生了反複按照上述刪除步驟進行操作。
另外引用wda論壇裏的另一個案例的解決方案:
問題:今天早上突然聽到我的 手機 有收到 短信 的聲音,打開一看,什麽都沒收到卻在發 短信 (我自己沒發),然後很快收到一條什麽 感謝 定制某某業務的 短信 ,TMD,檢查通訊記錄發現是15901261563發來的,自動回複了12982110的不知什麽東西。郁悶,請DX 幫忙 ,應該如何防範,並提醒大家注意!!!
解決措施:刪除文件前請用APPMAN先關閉線程starter.exe 和smserv.app
或者刪除c:\system\recogs\801009.mdl文件後重啓動手機。再刪除其他文件。
已知出現的問題短信息丟失,自動發信息。流氓軟件(LOGO.EXE,smserv.app)分析。
簡單分析了一下此軟件中的流氓軟件。安裝文件中包含logo.exe 4252字節themes.dat 21528字節,根據文件看來很可能原來的主題流氓軟件也是這兩個文件,將這兩個文件打入安裝包中,並在安裝完成後運行LOGO.EXE,大多人可能以爲此LOGO.EXE是一個類似于BINPDA.EXE的顯示圖像,但是你會在運行後發現什麽也沒有顯示,其實這個LOGO.EXE在後台將THEMES.DAT解包,這個文件是個ZIP格式的文件。
裏面包含6個文件,zagmdl.mdl將會以文件801009.mdl保存到c:\system\recogs\用來開機自動運行,其他5個文件會保存到c:\system\data\下面,當程序運行後還會生成一些**文件最保險的方式是格機。但是刪除下面的文件應該也可以。刪除文件後暫時還沒有發現
發信息的問題
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓軟件運行方式,手機啓動後會自動加載c:\system\recogs\和e:\system\recogs\來找自動啓動的程序,並啓動它。801009.mdl會調用starter.exe來運行一個後台進程,
starter.exe會調用smserv.app來自動發送信息。因爲只是簡單的分析,沒有分析發送信息的內容和發送給誰。
預防措施:下載軟件時最好先看一下下面的網友的評論,如果你是第一個下載的就要小心提防了。
可以先使用UNMAKESIS將程序解開,看看有沒有安裝後自動運行的程序。如果有最好能弄清楚是否流氓軟件。
再就是看看安裝程序有沒有向e:\system\recogs\和c:\system\recogs\放文件來實現自動運行。
一點說明
c:\system\recogs或者e:\system\recogs目錄下面的文件有兩種
1.注冊對應的文件類型,可以在文件管理器裏面直接打開文件,就好像PC上雙擊RMVB文件會自動調用暴風影音一樣。
如:智能影院裏面的101feaf9.mdl,我安裝的是3.40
2.自動運行程序,可以實現手機啓動後自動啓動程序
如:好幫手裏面的MhAuto.mdl。
所以c:\system\recogs或者e:\system\recogs目錄下面的文件下面的文件不一定全是有害的,但是流氓軟件爲了實現自動運行一定會向c:\system\recogs或者e:\system\recogs目錄下面保存文件的。
如果你安裝的程序沒有自動啓動功能,但是向這兩個目錄下面放文件了,那就要小心了。或者軟件運行一次後,這兩個目錄下面多了文件,這是這個軟件運行後才釋放的流氓程序,也要小心
