刚我亲自检测宝贝G!本人是学软件的,反木马技术一般,高手出来指导下
说明!查看你的 C:\Documents and Settings\Administrator\Local Settings\Temp 里有个_ir_sf7_temp_0的文件 里面有个exe文件,图标和宝贝安装的一样!打开弹出一个提示框!(你也可以看看你下载的压缩出来的文件2个图片2个文件那个文件夹,有个XML文件,你点右键用记事本打开,在很下面的地方也有这个连接!)
C:\Documents and Settings\Administrator\Local Settings\Tem下面多出很多 DFXXXX的文件!删不掉!
好,开始说我的刚才监测 的!
我刚主动开放1433端口,计算机日志记录irsetup 在网上下载一个解读器!连接宝贝安装程序的XML文件,XML文件解析 DFXXXX文件!这时我断开的网线,我的outlook提示有未发送的shtml (加密格式的HTML),我用editplus(一个程序读写工具)打开,里面有个XML文件,再用VS2005打开之后里面是我电脑上我的上过的账号密码的temp!包括我的工行账号(好险)!发送给一个域名为http`192.168.112.xxx/register_con_system.jsp的域名!(这就是他们盗号的网站)
用过宝贝的!有需要的拿下面的系统清理工具去清理一下,重启一下就差不多了!
我压缩成包了,虽然只有1K,能解决问题,有任何问题找我,绝对不是什么盗号,破坏系统的东西
加我Q说我骗刀的那个,我不知道你是哪个,我在家上,我用的快车,我不缺刀,谢谢
[ 此贴被尐潴哆唲在2009-01-20 21:56重新编辑 ]