刚我亲自检测宝贝G！本人是学软件的，反木马技术一般，高手出来指导下
说明！查看你的 C:\Documents and Settings\Administrator\Local Settings\Temp 里有个_ir_sf7_temp_0的文件 里面有个exe文件，图标和宝贝安装的一样！打开弹出一个提示框！（你也可以看看你下载的压缩出来的文件2个图片2个文件那个文件夹，有个XML文件，你点右键用记事本打开，在很下面的地方也有这个连接！）
C:\Documents and Settings\Administrator\Local Settings\Tem下面多出很多 DFXXXX的文件！删不掉！

好，开始说我的刚才监测  的！

我刚主动开放1433端口，计算机日志记录irsetup 在网上下载一个解读器！连接宝贝安装程序的XML文件，XML文件解析 DFXXXX文件！这时我断开的网线，我的outlook提示有未发送的shtml （加密格式的HTML），我用editplus(一个程序读写工具)打开，里面有个XML文件，再用VS2005打开之后里面是我电脑上我的上过的账号密码的temp！包括我的工行账号（好险）！发送给一个域名为http`192.168.112.xxx/register_con_system.jsp的域名！（这就是他们盗号的网站）

用过宝贝的！有需要的拿下面的系统清理工具去清理一下，重启一下就差不多了！

我压缩成包了，虽然只有1K，能解决问题，有任何问题找我，绝对不是什么盗号，破坏系统的东西

加我Q说我骗刀的那个，我不知道你是哪个，我在家上，我用的快车，我不缺刀，谢谢

放屁

不懂

没附件啊..

不是说有毒吗？？

附件加上了