小媒体病毒哪里跑!
玩家
手机病毒真是无处不在,前几日笔者被某主题的“美色”所诱惑,结果不幸中招,造成非常巨大的经济损失,这里将查杀病毒的经历分享给大家,希望能够给各位兄弟一些帮助。
找出手机中的可疑文件
笔者使用的WM系统手机,病毒是包含在一个名为Orange Today的CAB格式主题中的,安装主题之后,笔者发现手机无法使用短信查询套餐余额和话费余额了,而且经常自动联网,以前设置的联网成功振动的提示也没有了。
警觉的我马上通过Spb wireless monitor查看联网的程序,发现除了UC浏览器、QQ和System之外,还有一个陌生的、名为prog1.exe的可疑程序。于是打开资源管理器搜索,果不其然,这个文件正躺在Windows文件夹中,并且拥有隐藏和系统属性。点击按时间排序,结果还发现了prog1.exe、prog2.exe、tapi.exe(也可能是sapi.exe)、msgr.dll等可疑文件。
删除之后,发现手机没有再自动联网,但是10086的短信依旧没办法接收,看来病毒并不是那么容易清理完毕的。
清理注册表,搞定顽毒
于是我马上检查了自启动的Startup文件夹,但是并没有发现可疑文件,看来只能在注册表中寻找答案了。首先要排查的当然是负责控制短信拦截的项目,就是注册表中HKEY_LOCAL_MACHIN
E\Software\Microsoft\Inbox\Sv
c\SMS\Rules\这个项,这项下面平常除了一个defalut之外应该是空的,但是我却在里面发现了这样一个key:{3AB4C10E-673C-4
94c-98A2-CC2E91A48115},意思是10086。我恍然大悟,是它在拦截10086发过来的短信,这个key还同时出现在HKEY_
CLASSES_ROOT\CLSID\中,理所当然地将它们一起删除。
不过杀毒工作还没有结束,因为我们还没有找到开机自启动的幕后黑手,而tapi.exe就是其中关键,几番查找终于在[HKEY_LOCAL_MACHINE\in
it] Launch91=Windows\tapi.exe中发现罪魁祸首,最后一次删除,重启,世界清静了。
小媒体病毒,预防更重要
不过杀毒是治标不治本的方法,我们能不能让手机不再中毒呢?能!方法很简单,和对付当年的autorun.inf一样。在存储卡里面建立prog1.exe、prog2.exe、tapi.exe、sapi.exe、msgr.dll几个文件,并且把属性更改为只读和系统,那它就没办法替换我的文件了。完成所有操作后,终于大功告成,小媒体病毒绝对再也无法骚扰你了。
