【转载】高度关注“QCellCore病毒”悄悄装在手机里的木马程序

狼人

  论坛里的ROM和软件很多，经常刷ROM和装软件的朋友是否发现过自己的爱机会经常不定时的自动登录GPRS网络？如果有，就要小心了，你的爱机里可能装了QCellCore木马程序。（它在后台运行）
- ^' \- C% l% T  首先，通过查询移动网上营业厅的通讯记录详单，看看你的手机是否已经向陌生号码发送过短信了？如果有，请按下列方法检查一下自己的爱机！收不到10086短信绝对跟机器或系统本身没有联系。为什么只是收不到10086短信？肯定有不可告人的秘密。原来很多收费服务，话费通知等等都是由10086短信来通知的，如果10086不来信息，你可能一辈子都不知道一些事情。比如安装流氓软件，你一按下确定就等于订制了某个服务，本来10086会有通知“你已经成功订阅了XXXX服务，收费15元每月”。这个“聪明”的流氓软件呢就在安装的过程中加了个短信过滤的小软件，修改了SMS的规则，比如完全屏蔽10086的短信。原来问题可能是发生在QCellCore（一个来电防火墙的软件），该软件含有病毒。
8 z& V4 e8 x8 z& a8 l4 O4 P- D  我当初也装了，不能用就卸载了。但是病毒还在。请按如下操作后：安装QCellCore数据包中病毒最近在手机进程里发现一个tapi.exe的进程，上网查了下，竟然是QCellCore数据包中包含的病毒。本人也多次下载新的数据库用的是安装版，感觉里面数据很全查查号码归属地蛮好的?????????
  网上是这样查杀的，文件都在Windows目录下，这4个文件： tapi.exe； msgr.dll； prog1.exe； prog2.exe，需要在资源管理器中打开查看隐藏文件选项，平时是只有TAPI.exe在后台进程里运行的，利用（MemMaid 2.3）等工具将它进程杀掉，然后删除以上列表的所有文件，然后打开注册表，找到 [HKEY_LOCAL_MACHINE\init]Launch91="windows\tapi.exe" 删除掉，再去找短信Filter的项目： HKEY_CLASSES_ROOT\CLSID\{3AB4C10E-673C-494c-98A2-CC2E91A48115} 删除掉 HKEY_LOCAL_MACHINE\Software\Microsoft\Inbox\Svc\SMS\Rules\{3AB4C10E-673C-494c-98A2-CC2E91A48115} 删除掉这样就清理完了。
  【tapi.exe】对应的文件名是data1.dat 它并非从启动目录里启动的，而是通过注册表的init项目。 tapi.exe负责启动prog1和prog2，并发送注册收费服务短信，所以这是木马的首脑存在。【msgr.dll】短信过滤库，原文件是data2.dat 【prog1.exe和prog2.exe】分别对应data3和data4，两个NETCF编写的网络访问器，大量刷百度和Google页面，会给机主带来很多网络流量【可能产生的其他文件】因为在tapi.exe里看到有一个cmk.exe，但是运行中未见其出现，所以不知道是不是在访问了那个页面后下载的，如果有的话也要清理掉。
! u2 Q( t+ R; s; F$ r3 c) h  以最近流传最广、危害最大的“QCellCore最新版”为例。用“WinCE CAB Manager”管理器打开该CAB包，发现CAB内包含了一些文件：“daemc.exe”、“data*.dat”。这些文件就是木马病毒的载体。 最近我发现我机子里的备份CAB安装包，有3个软件里有daemc.exe”、“data*.dat”。这些木马病毒的载体文件。可见，放毒者也是在全面撒网，就等你们这样********的鱼肉了。
) F8 q: Z" q* O=====================================================================
- D" n( J+ v0 _& P- |5 G以上是网络所刊登的内文，至于可信度如何只能说见件见智了。

563605580

不看不知道一看下一跳!我想问下楼主这是真的吗？我的能收到啊？

喔喔

哦  明白了 谢谢

xuwei1224

原来我的是中毒了。。。谢谢楼主

sakulaaim

我用的就是这个啊，没有这个情况啊，