塞班智能手机论坛-Symbian NOKIA PDA PPC PocketPC Palm GPS smart phone » 诺基亚6600论坛 » 同志们小心流氓软件~~~我发现的,大家要注意啊,小心钱飞了.
2007-8-27 18:10
帅猪猪
同志们小心流氓软件~~~我发现的,大家要注意啊,小心钱飞了.
看帖的机友们请顶帖,要让更多的兄弟姐妹们免受流氓软件的侵害!!谢谢你们了
流氓软件一但被安装在我们手机里就会给我们的经济造成损失.我们要防住他!!!
怀疑对象:根据我的亲身经历,我被一个叫快拍(也就是大头帖)的软件侵害了2次.十分愤怒.也许并不是大头帖软件的错,但问题是那个流氓软件就捆绑在这上面啊.我中的2次(同一种病毒)全是因为安装大头帖.大家最好警惕一下.
又发现一个叫动感部落插件的软件被捆绑流氓软件。解决办法和解决大头的一样。
预防:为了及时发现流氓软件,我们最好定时去通讯记录看看有没有GPRS数据连接(非法的也就是不是本人进行的).还有一种就是开机莫名其妙删除短信的情况,也是中了流氓软件.大家一旦发现被怀疑为流氓软件的文件最好不要轻易将其打开(有的一但打开就会收费,很可恶的)还有就是一旦发现有什么您已经订购(使用)本公司业务时请务必给移动或联通服务台打电话说明情况(语气厉害一点说要投诉他们只类的话,他们会双倍反换的.因为他们通常都是一伙的).
自动上网流氓软件解决方法>>我转载的:
关于自动联网的阻挡:手机设置,连接设置,接入点,编辑接入点,设置用户名和密码。建议只保留一个接入点,或者所有接入点都设置密码。
[size=4][color=red][b]关于卸载悦听在线:去程序管理里删,还要手动删除system\programs里的3个流氓。见图打勾的[/b][/color][/size]
[attach]995421[/attach][attach]995422[/attach][attach]995420[/attach][attach]995423[/attach]
网友推测是和uc与自带浏览器多的两个可疑书签有关,叫天网软件下载和天天导航。
悦听在线的软件打开后,发现在SYSTEM目录下会装有3个文件夹:apps(包含文件夹Mplayer)、help(包含7个Musicplayer文件)、SharedData(包含一个名为“10204A0D”的配置文件,内容是SDDataDir=C:/system/apps/MPlayer)。其中最可疑的文件就属那个APPS文件夹下子文件夹Mplayer大家可以看到,有4个压缩包,而且名称两两相同。图中灰条覆盖的那个文件和压缩包为不明文件。一名为"Setting"的配置文件已经解开。截图,大家可以看到软件的自动下载:开!
目前还没有很有效的对付此软件的解决方案,不过大家可以尝试一下初步的解决方案。首先,防患于未然,将彩信的提取方式改为“推迟提取”或“拒绝彩信接收”。其次,听说该软件会通过CMNET接入点连接,请将GPRS的CMNET接入点诺基亚的“Nokia.com”接入点删除或改乱(不能正常使用就行)。最后,到关键步骤:
1、打开Fileman,找到悦听在线的文件(E盘)有与其相关的内容则全部删除(目录E:\SYSTEM\APPS\MPLAYER);
2、进入程序管理,找到悦听在线的卸载文件,按正常步骤删除;
3、进入APPMAN,查找是否还?有”“LIVEUPDATESERVER.EXE“这?个进程,终止它;
?4、重新启动手机。
悦听在线是无良sp利用nokia.com这个接入点传播的,最方便的方法就是毁掉这个接入点(貌似这样自带浏览器不能用了),重新弄个接入点。或者就给这个接入点加上密码吧”
服务号码023001SP企业号码818502wap信息自动发到0230011.5元一条!只要连上网就自动发!
程序管理里把软件安装设为“关”,自己要装软件时再开。
关于软件“悦听在线”通过GPRS直接私自安装的原因已初步查明,该原因与安装过的软件没有关系。请大家查看下自己手机是否有异常的彩信记录,某些无良的SP使用彩信作弊群发软件,将SIS、JAR格式的软件通过GPRS连接的方式安装在用户手机中。该软件可以不经用户授权,以彩信直装的方式,将软件悄悄地安装在收到彩信的用户手机上。 解决方法:将彩信的提取方式由“自动”改为“手动”,或拒绝彩信接收。 (8.4 8:19)以上方法并非软件私自安装的唯一途径,不过这是一个彩信漏洞,根据我身边朋友中招的情况看,他就是收到了莫名其妙的彩信后就有了这软件。总之,大家提高警惕吧,软件的更多传播方式还在调查中,大家也可以回帖提供。 (8.4 11:39)有这个软件还没删除的百友,哪位可以把它的SIS格式的安装文件传上来,我们好分析解决。 (8.4 11:52)目前收集到的该软件的症状有但不限于: ①APPMAN的程序目录打不开,一直是“收集信息中…”的状态; ②从文件管理中查看音乐、图片会多了些exe文件。图片文件夹中多了一个名为“黄金圣斗士”文件夹,里面也是exe文件; ③umd、txt格式的书籍中有的书多了复本,是.qri格式,有的txt书籍被改成.chm的格式; ④点击软件中内容就会自动发信息出去,每次2元; ⑤软件下载当日或次日扣费20元…… 目前就知道这么多症状,欢迎大家及时补充!
[size=5][color=red][b]而开机自动删除短信流氓软件解决方法[/b][/color][/size]:>>>>
如果是开机收件箱短信消失的话,你小心了~~中毒了~~给你个解决办法~~
手机中毒!症状是往某159号码自动发短信,大概一天一条,短信末尾还附带了几个数字。号码经查是北京的。或者关机后收件箱短信自动消失. 解决办法:
1,用appman查看smserv进程,将其关闭。
2,用Fileman进入C盘,删除以下文件
C:\system\data\下的smserv.app、starter.exe、smserv.rsc、smserv_caption.rsc
C:\system\recogs\下的801009.mdl 流氓软件(LOGO.EXE,smserv.app)分析
简单分析了一下此软件中的流氓软件
安装文件中包含
logo.exe 4252字节
themes.dat 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件
将这两个文件打入安装包中,并在安装完成后运行LOGO.EXE
大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示,
其实这个LOGO.EXE在后台将THEMES.DAT解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件
最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现
发信息的问题
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动
的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息
因为只是简单的分析,没有分析发送信息的内容和发送给谁。
==========================================================
怎样预防
下载软件时最好先看一下下面的网友的评论,如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开,看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。
[size=5][color=red][/color][/size]
[size=5][color=red][b]自动发短信流氓软件的解决方法[/b][/color][/size]
目前已知造成短信息丢失、自动发信息问题的流氓软件LOGO.EXE,smserv.app,现分析如下:
一、检查机子中是否有[u][b][color=#ff0000]流氓软件[/color][/b][/u] 当你的手机出现短信息丢失、自动发信息等问题,请检查一下有无以下文件,以确定你的机手是否安装了[u][b][color=#ff0000]流氓软件[/color][/b][/u]:
1、c:\system\recogs\目录中有无801009.mdl文件
2、c:\system\data\目录中有无以下文件:smserv.app,smserv.rsc,starter.exe,updater.app,updater.rsc,Tid.txt
如果以上文件有,那恭喜你,已中[u][b][color=#ff0000]流氓软件[/color][/b][/u]了。
二、已中该[u][b][color=#ff0000]流氓软件[/color][/b][/u]解决办法
最保险的方式是格机,不格机,可采取以下方法,也能彻底清除:
第一步、用APPMAN先关闭线程starter.exe 和smserv.app,或删除c:\system\recogs\801009.mdl文件后重启动手机。
第二步、删除以下文件:
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
三、该[u][b][color=#ff0000]流氓软件[/color][/b][/u]运行分析
该[u][b][color=#ff0000]流氓软件[/color][/b][/u]安装文件中包含
logo.exe 4252字节
themes.dat 21528字节
其它软件将这两个文件打入安装包中,即捆绑了此[u][b][color=#ff0000]流氓软件[/color][/b][/u],并在安装完成后运行LOGO.EXE,大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,但是你会在运行后发现什么也没有显示,其实这个LOGO.EXE在后台将THEMES.DAT解包。THEMES.DAT文件是个ZIP格式的文件,里面包含6个文件:
1、zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
2、其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件
当手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息
[[i] 本帖最后由 帅猪猪 于 2007-11-25 16:48 编辑 [/i]]
看帖的机友们请顶帖,要让更多的兄弟姐妹们免受流氓软件的侵害!!谢谢你们了
流氓软件一但被安装在我们手机里就会给我们的经济造成损失.我们要防住他!!!
怀疑对象:根据我的亲身经历,我被一个叫快拍(也就是大头帖)的软件侵害了2次.十分愤怒.也许并不是大头帖软件的错,但问题是那个流氓软件就捆绑在这上面啊.我中的2次(同一种病毒)全是因为安装大头帖.大家最好警惕一下.
又发现一个叫动感部落插件的软件被捆绑流氓软件。解决办法和解决大头的一样。
预防:为了及时发现流氓软件,我们最好定时去通讯记录看看有没有GPRS数据连接(非法的也就是不是本人进行的).还有一种就是开机莫名其妙删除短信的情况,也是中了流氓软件.大家一旦发现被怀疑为流氓软件的文件最好不要轻易将其打开(有的一但打开就会收费,很可恶的)还有就是一旦发现有什么您已经订购(使用)本公司业务时请务必给移动或联通服务台打电话说明情况(语气厉害一点说要投诉他们只类的话,他们会双倍反换的.因为他们通常都是一伙的).
自动上网流氓软件解决方法>>我转载的:
关于自动联网的阻挡:手机设置,连接设置,接入点,编辑接入点,设置用户名和密码。建议只保留一个接入点,或者所有接入点都设置密码。
[size=4][color=red][b]关于卸载悦听在线:去程序管理里删,还要手动删除system\programs里的3个流氓。见图打勾的[/b][/color][/size]
[attach]995421[/attach][attach]995422[/attach][attach]995420[/attach][attach]995423[/attach]
网友推测是和uc与自带浏览器多的两个可疑书签有关,叫天网软件下载和天天导航。
悦听在线的软件打开后,发现在SYSTEM目录下会装有3个文件夹:apps(包含文件夹Mplayer)、help(包含7个Musicplayer文件)、SharedData(包含一个名为“10204A0D”的配置文件,内容是SDDataDir=C:/system/apps/MPlayer)。其中最可疑的文件就属那个APPS文件夹下子文件夹Mplayer大家可以看到,有4个压缩包,而且名称两两相同。图中灰条覆盖的那个文件和压缩包为不明文件。一名为"Setting"的配置文件已经解开。截图,大家可以看到软件的自动下载:开!
目前还没有很有效的对付此软件的解决方案,不过大家可以尝试一下初步的解决方案。首先,防患于未然,将彩信的提取方式改为“推迟提取”或“拒绝彩信接收”。其次,听说该软件会通过CMNET接入点连接,请将GPRS的CMNET接入点诺基亚的“Nokia.com”接入点删除或改乱(不能正常使用就行)。最后,到关键步骤:
1、打开Fileman,找到悦听在线的文件(E盘)有与其相关的内容则全部删除(目录E:\SYSTEM\APPS\MPLAYER);
2、进入程序管理,找到悦听在线的卸载文件,按正常步骤删除;
3、进入APPMAN,查找是否还?有”“LIVEUPDATESERVER.EXE“这?个进程,终止它;
?4、重新启动手机。
悦听在线是无良sp利用nokia.com这个接入点传播的,最方便的方法就是毁掉这个接入点(貌似这样自带浏览器不能用了),重新弄个接入点。或者就给这个接入点加上密码吧”
服务号码023001SP企业号码818502wap信息自动发到0230011.5元一条!只要连上网就自动发!
程序管理里把软件安装设为“关”,自己要装软件时再开。
关于软件“悦听在线”通过GPRS直接私自安装的原因已初步查明,该原因与安装过的软件没有关系。请大家查看下自己手机是否有异常的彩信记录,某些无良的SP使用彩信作弊群发软件,将SIS、JAR格式的软件通过GPRS连接的方式安装在用户手机中。该软件可以不经用户授权,以彩信直装的方式,将软件悄悄地安装在收到彩信的用户手机上。 解决方法:将彩信的提取方式由“自动”改为“手动”,或拒绝彩信接收。 (8.4 8:19)以上方法并非软件私自安装的唯一途径,不过这是一个彩信漏洞,根据我身边朋友中招的情况看,他就是收到了莫名其妙的彩信后就有了这软件。总之,大家提高警惕吧,软件的更多传播方式还在调查中,大家也可以回帖提供。 (8.4 11:39)有这个软件还没删除的百友,哪位可以把它的SIS格式的安装文件传上来,我们好分析解决。 (8.4 11:52)目前收集到的该软件的症状有但不限于: ①APPMAN的程序目录打不开,一直是“收集信息中…”的状态; ②从文件管理中查看音乐、图片会多了些exe文件。图片文件夹中多了一个名为“黄金圣斗士”文件夹,里面也是exe文件; ③umd、txt格式的书籍中有的书多了复本,是.qri格式,有的txt书籍被改成.chm的格式; ④点击软件中内容就会自动发信息出去,每次2元; ⑤软件下载当日或次日扣费20元…… 目前就知道这么多症状,欢迎大家及时补充!
[size=5][color=red][b]而开机自动删除短信流氓软件解决方法[/b][/color][/size]:>>>>
如果是开机收件箱短信消失的话,你小心了~~中毒了~~给你个解决办法~~
手机中毒!症状是往某159号码自动发短信,大概一天一条,短信末尾还附带了几个数字。号码经查是北京的。或者关机后收件箱短信自动消失. 解决办法:
1,用appman查看smserv进程,将其关闭。
2,用Fileman进入C盘,删除以下文件
C:\system\data\下的smserv.app、starter.exe、smserv.rsc、smserv_caption.rsc
C:\system\recogs\下的801009.mdl 流氓软件(LOGO.EXE,smserv.app)分析
简单分析了一下此软件中的流氓软件
安装文件中包含
logo.exe 4252字节
themes.dat 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件
将这两个文件打入安装包中,并在安装完成后运行LOGO.EXE
大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示,
其实这个LOGO.EXE在后台将THEMES.DAT解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件
最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现
发信息的问题
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动
的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息
因为只是简单的分析,没有分析发送信息的内容和发送给谁。
==========================================================
怎样预防
下载软件时最好先看一下下面的网友的评论,如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开,看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。
[size=5][color=red][/color][/size]
[size=5][color=red][b]自动发短信流氓软件的解决方法[/b][/color][/size]
目前已知造成短信息丢失、自动发信息问题的流氓软件LOGO.EXE,smserv.app,现分析如下:
一、检查机子中是否有[u][b][color=#ff0000]流氓软件[/color][/b][/u] 当你的手机出现短信息丢失、自动发信息等问题,请检查一下有无以下文件,以确定你的机手是否安装了[u][b][color=#ff0000]流氓软件[/color][/b][/u]:
1、c:\system\recogs\目录中有无801009.mdl文件
2、c:\system\data\目录中有无以下文件:smserv.app,smserv.rsc,starter.exe,updater.app,updater.rsc,Tid.txt
如果以上文件有,那恭喜你,已中[u][b][color=#ff0000]流氓软件[/color][/b][/u]了。
二、已中该[u][b][color=#ff0000]流氓软件[/color][/b][/u]解决办法
最保险的方式是格机,不格机,可采取以下方法,也能彻底清除:
第一步、用APPMAN先关闭线程starter.exe 和smserv.app,或删除c:\system\recogs\801009.mdl文件后重启动手机。
第二步、删除以下文件:
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
三、该[u][b][color=#ff0000]流氓软件[/color][/b][/u]运行分析
该[u][b][color=#ff0000]流氓软件[/color][/b][/u]安装文件中包含
logo.exe 4252字节
themes.dat 21528字节
其它软件将这两个文件打入安装包中,即捆绑了此[u][b][color=#ff0000]流氓软件[/color][/b][/u],并在安装完成后运行LOGO.EXE,大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,但是你会在运行后发现什么也没有显示,其实这个LOGO.EXE在后台将THEMES.DAT解包。THEMES.DAT文件是个ZIP格式的文件,里面包含6个文件:
1、zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
2、其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件
当手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息
[[i] 本帖最后由 帅猪猪 于 2007-11-25 16:48 编辑 [/i]]
2007-8-27 18:57
帅猪猪
那么多人看,没人支持没人顶......这可是我自己慢慢写的啊,很打消我积极性的.我是为大家着想的.怕大家被那可恶的流氓软件侵害而做出的努力啊.可是却没人支持......我只是自己默默为我们的肥6专区做着自己力所能及的事.就算一直没人支持我我也会继续下去.
不喜欢说这句话,可还是说了吧.>>>我的帖子我沙发!!!
不喜欢说这句话,可还是说了吧.>>>我的帖子我沙发!!!
2007-8-27 20:59
lct203712
用心良苦,虽然我看不懂,太复杂了,帮你顶,让会用的人看一下,为反对收费陷阱贡献自己一份力量
2007-8-27 21:06
ЪaЪyル剣
谢谢
2007-8-27 21:29
愛大象啲老虎
頂起來。
2007-8-27 23:10
帅猪猪
555......人家的心血啊
2007-8-27 23:40
babyfullest
楼主我爱你!太感谢你了!我就是中了你说的第一的流氓软件!和你说的完全一样!总是自动上网却不知如何解决!现在好了!太谢谢你了!我决定以身相许!
2007-8-28 00:16
lwaqq320
非常感谢
[s:29] [s:22]
[s:29] [s:22]
2007-8-28 02:37
帅猪猪
呵呵~~大家说的我都不好意思了!!呵呵~~为大家做力所能及的贡献!!!
2007-8-28 11:39
liukai6600
帮你顶了,继续加油啊。
2007-8-28 12:44
calvin_xinyu
支持。支持。[s:23] [s:23]
2007-8-28 22:03
3023808
同情 辛苦
2007-8-28 22:30
小波52360
不错~~
2007-8-29 07:34
★随缘★
谢谢提供
2007-8-29 08:38
jxdak
[s:25] [s:25] [s:25]
2007-8-29 12:20
帅猪猪
呵呵~~~谢谢★随缘★大哥的加分!!以后会再接再厉!!
2007-8-30 11:31
ly1987418
好人啊,感动ING
2007-8-30 14:42
zxcvbnmxxx
顶了
2007-8-30 15:19
btooo
可怕的病毒!![s:21]
2007-9-1 19:01
帅猪猪
要是能帮到论坛的兄弟姐妹,就算骂我灌水我也不怕
2007-9-1 19:35
wy970908
[s:27]
2007-9-1 21:09
xiaobuo
太好了!顶顶呀!!!!!!!!!!!!!!!!!!!!!1
2007-9-2 03:08
JGTX419
DDDDDDDDDDDDDDDDDDDDDDDDDDDD
2007-9-2 05:41
阿富
我兄弟太有才了
大哥绝对支持你
大哥绝对支持你
2007-9-2 13:28
q00202603
顶起来啊
2007-9-3 06:52
帅猪猪
嘎嘎~~~~谢谢大哥!!!!嘿嘿~~以后再接再厉!!
2007-9-3 08:12
wangquanfu
有这么厉害的东西,我看还是少安装一些软件的好
2007-9-5 12:47
cesi
小兄弟我支持你的创作
本该像类似的帖子应该得到大家的一致认可的,但是最近发现不少人,不珍惜别人的劳动成果呢,大家都顶起来吧,这样对团队的合作开发很有帮助!
本该像类似的帖子应该得到大家的一致认可的,但是最近发现不少人,不珍惜别人的劳动成果呢,大家都顶起来吧,这样对团队的合作开发很有帮助!
2007-9-5 16:53
帅猪猪
顶顶顶~~~[yct06]
2007-9-5 17:06
zxy8549
加油!!!![s:27]
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 同志们小心流氓软件~~~我发现的,大家要注意啊,小心钱飞了.
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.