0ka__高度关注“QCellCore病毒”悄悄装在手机里的木马程序 导致收不到10086短信

0ka__高度关注“QCellCore病毒”悄悄装在手机里的木马程序 导致收不到10086短信 论坛里的ROM和软件很多，经常刷ROM和装软件的朋友是否发现过自己的爱机会经常不定时的自动登录GPRS网络,如果有，就要小心了，你的爱机里可能装了QCellCore木马程序(它在后台运行) 首先，通过查询移动网上营业厅的通讯详单，看看你的手机是否已经向陌生号码发送过短信了,如果有，请按下列方法检查一下自己的爱机～ 收不到10086短信绝对跟机器或系统本身没有联系。为什么只是收不到10086短信,肯定有不可告人的秘密。原来很多收费服务，话费通知等等都是由10086短信来通知的，如果10086不来信息，你可能一辈子都不知道一些事情。比如安装流氓软件，你一按下确定就等于订制了某个服务，本来10086会有通知“你已经成功订阅了XXXX服务，收费15元每月”。这个“聪明”的流氓软件呢就在安装的过程中加了个短信过滤的小软件，修改了SMS的，比如完全屏蔽10086的短信。 原来问题可能是发生在QCellCore(一个来电防火墙的软件)，该软件含有病毒。我当初也装了，不能用就卸载了。但是病毒还在。请按如下操作后:安装QCellCore数据包中病毒最近在手机进程里发现一个tapi.exe的进程，上网查了下，竟然是QCellCore数据包中包含的病毒。本人也多次下载新的数据库用的是安装版，感觉里面数据很全查查号码归属地蛮好的。网上是这样查杀的，文件都在Windows目录下，这4个文件: tapi.exe; msgr.dll; prog1.exe; prog2.exe， 需要在资源管理器中打开查看隐藏文件选项，平时是只有TAPI.exe在后台进程里运行的，利用(MemMaid 2.3)等工具将它进程杀掉，然后删除以上列的所有文件，然后打开注册表，找到 [HKEY_LOCAL_MACHINE\init]Launch91="windows\tapi.exe" 删除掉，再去找短信Filter的项目: HKEY_CLASSES_ROOT\CLSID\{3AB4C10E-673C-494c-98A2-CC2E91A48115} 删除掉 HKEY_LOCAL_MACHINE\Software\Microsoft\Inbox\Svc\SMS\Rules\{3AB4C10E-673C-494c-98 A2-CC2E91A48115} 删除掉 这样就清理完了。 【tapi.exe】 对应的文件名是data1.dat 它并非从启动目录里启动的，而是通过注册表的init项目。 tapi.exe负责启动prog1和prog2，并发送注册收费服务短信，所以这是木马的首脑存在。 【msgr.dll】 短信过滤库，原文件是data2.dat 【prog1.exe和prog2.exe】 分别对应data3和data4，两个NETCF编写的网络访问器，大量刷百度和Google页面，会给机主带来很多网络流量 【可能产生的其他文件】 因为在tapi.exe里看到有一个cmk.exe，但是运行中未见其出现，所以不知道是不是在访问了那个页面后下载的，如果有的话也要清理掉。 以最近流传最广、危害最大的“QCellCore最新版”为例。用“WinCE CAB Manager”管理器打开该CAB包，发现CAB内包含了一些文件:“daemc.exe”、“data*.dat”。这些文件就是木马病毒的载体。 最近我发现我机子里的备份CAB安装包，有3个软件里有daemc.exe”、“data*.dat”。这些木马病毒的载体文件。 可见，放毒者也是在全面撒网，就等你们这样********的鱼肉了。