5/23/2009

http://85.114.141.207/adult http://85.114.141.207/meds s207.silver.fastwebserver.de http://dl.guarddog2009.com



Sono 5 file posteggiati nella cartella di C:\windows\temp.
Si chiamano? ( VRT1.tmp , VRT2.tmp ,VRT3.tmp ,VRT5.tmp ,VRT6.tmp ) non dovrebbero essere nocivi almeno sembra, li

stiamo studiando,una cosa è sicura gli antivirus non li registrano.
Praticamente ti apre una finestra di Internet Explorer (browser predefinito) e ti porta all'indirizzo

http://85.114.141.207/adult. tu la chiudi e riparte in automatico dopo alcuni minuti,il tutto molto fastidioso
Cancellando i 5 file come logica dovrebbe tornare stabile il sistema ma non è così tutto ritorna come prima ,non abbiamo ancora capito se anno infilato

qualcosa anche nella cartella System32 , sotto c'è il contenuto del file VRT2.tmp e VRT6.tmp ,il resto dei file

sono incomprensibili.


---------------------------------------------------------------------------------------
VTR2.tmp
------------
MZ�   ÿÿ ¸ @ ° º ´ Í!¸LÍ!This program cannot be run in DOS

mode.$ wEÚ3$z‰3$z‰3$z‰3$z‰ $z‰:\ï‰2$z‰Rich3$z‰ PE L ©qJ à     3 

@     @  Ó       @ <

@ .text ¨   

à.rdata È   @ @.data T 0 
@ À







è SHELL32.DLL

¸CB2ÿÐD$jj j è http://85.114.141.207/adult/ è open j ÿT$hÜ ¾t2„4ÿÖ¸4‚4BÿÐj0è& Lifetime access to all

porn resources è� Every day fresh passwords for paid PORN sites. Hundreds of passwords daily in your e-mail box.

Single payment, lifetime service! P¸rH2ÿÐ1º€î6 ÷âRÿÖééþÿÿh 0@ è/ ‹Øh 0@ Sè +ãH1@ ¡n@ ‹ £@ ¡†@ ‹ £Z@

¡ž@ ‹ £a@ ¡¤@ ‹ £@ j jèÐ ‹ØÇ 0@ ( h 0@ Sè× h 0@ SèÒ …À„™ �5D0@ VèÖ ƒø rÜð�Nü �~ü.exeuÊ�Nø

�~øoreruº�Nô �~ôexpluªÿ5(0@ j j:èl ‹ø¾3 j@h  Vj Wèm ƒø t+‹Ø¹3 j Qh @ SWèX j j ÿ5H1@ Sj j Wè j

è ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ%$ @ ÿ%( @ ÿ%, @ ÿ%8 @ ÿ%4 @





¼ Ò î ü ! ! ,! >!

N! V! h! ~! ®! ˜! | Š! ° ¼! 4 ¼ Ò î ü ! !

,! >! N! V! h! ~! ®! ˜! D CreateRemoteThread I CreateToolhelp32Snapshot u ExitProcess

)GetProcAddress ©LoadLibraryA ÖOpenProcess ãProcess32First åProcess32Next sSleep –VirtualAllocEx

ÃWriteProcessMemory âlstrlenA KERNEL32.dll GetForegroundWindow »MessageBoxA USER32.dll

SHELL32.DLL ShellExecuteA








-----------------------------------------------------------------------------------------------------
VTR6.tmp
------------
MZ�   ÿÿ ¸ @ ° º ´ Í!¸LÍ!This program cannot be run in DOS

mode.$ wEÚ3$z‰3$z‰3$z‰3$z‰%$z‰:\ï‰2$z‰Rich3$z‰ PE L J à     ó 

@     @  §       H P

H .text °   

à.rdata    @ @.data „ 0  @ À







è SHELL32.DLL

¸CB2ÿÐD$jj j è http://85.114.141.207/meds/ è open j ÿT$hÜ ¾t2„4ÿÖ¸4‚4BÿÐj0è Fix your bed life èV

Problems with sex? Impotence? Buy Viagra securely and anonymously, WORLDWIDE SHIPPING P¸rH2ÿÐ1º€î6 ÷âRÿÖé)ÿÿÿh 0@

èq ‹Øh 0@ Sè^ +ãx1@ ¡p@ ‹ £@ ¡ˆ@ ‹ £Y@ ¡ @ ‹ £`@ ¡¦@ ‹ £Ü@ j jè ‹ØÇP0@ ( hP0@ Sè hP0@ Sè

…À„™ �5t0@ Vè ƒø rÜð�Nü �~ü.exeuÊ�Nø �~øoreruº�Nô �~ôexpluªÿ5X0@ j j:è® ‹ø¾ó j@h  Vj Wè¯ ƒø

t+‹Ø¹ó j Qh @ SWèš j j ÿ5x1@ Sj j WèI h'@ è� Ph'@ jhD0@ h0@ h €èw Ph'@ jhD0@ h0@ h €è[ j è

ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ% @ ÿ%$ @ ÿ%( @ ÿ%, @ ÿ%@ @ ÿ%< @ ÿ%4 @





à ö ! ! 2! B! P! b! r!

z! Œ! ¢! ì! Ò! ¼! ˜ ®! Ô à! < Ì ú! 4

à ö ! ! 2! B! P! b! r! z! Œ! ¢! ì! Ò! ¼! D CreateRemoteThread I

CreateToolhelp32Snapshot u ExitProcess )GetProcAddress ©LoadLibraryA ÖOpenProcess ãProcess32First

åProcess32Next sSleep –VirtualAllocEx ÃWriteProcessMemory âlstrlenA KERNEL32.dll GetForegroundWindow

»MessageBoxA USER32.dll ™ SHSetValueA SHLWAPI.dll







SHELL32.DLL

ShellExecuteA Software\Microsoft\Internet Explorer\Main Start Page

---------------------------------------------------------------------

Ho fatto qualche prova, tanto di tempo ne ho a volontà perchè sono in cassa integrazione grazie alle politiche assurde dei nostri governanti,dopo aver ripulito tutto a mano compreso Regedit sembrerebbe un mutante, si è auto reinstallato tutto ma in forma diversa,ma forse questa volta ho avuto più fortuna: Sempre nella Temp di Windows i file hanno preso i nomi VRT1B.tmp,VRT1D.tmp eccetera, stesso gioco si apre internet che punta all'IP: 85.114.141.207:80 ,la mia sonda mi dice che il DNS di destinazione è (dl.guarddog2009.com ma facendo i LOOKUP l'indirizzo è 85.114.131.69 Quindi???
--------------------------------------------------------------------------------------------
Il file VRT1D.tmp è un programma eseguibile ( 0523.exe) scritto in Cinese.


---------------------------------------------------------------------------------------------
MZ�   ÿÿ ¸ @ ¸ º ´ Í!¸LÍ!This program cannot be run in DOS mode.$ ·ÛósiˆósiˆósiˆldˆòsiˆRichósiˆ PE L 8£J à     P @k ` p @      €         x ° p   UPX0 P   € àUPX1  `   @ à.rsrc  p
 @ À 2.00 UPX!

wHaÊûŒ§žÞA 4 @ & »¤û¡’ ÿ% @$dddd (,ddddofdd 0kh  ÍÉò@ è„0@»³ÿÿsyT£ê€ÖKŽu� ©¼nX qÍóÿÿufgjgsmvcbsq e33(7)
¸2ÈØ@hÄÈ÷ÿ_VB5!ðvb6chs.dllá*µm°O

/̾÷Z³•ðÿ } éihFîà@œx7}ÿ�¦†‡0523 Projeç¾díct1ºO— Û¾/Èÿ \0 í²œ5,q ÈsͶëšFLÐÛ˜§Àº®k¶R$`X Xkº¦k^`d/ðl Ó,›® Ô<ô¿¨H´TuM×5j‹€G´p v_
ßhewg6jvpdf�knÝ°“-CÄ“x·M×t \¨0 —|$lÝÎ5#k\!w"ü¿e×¼$&ºH¹‚uáÞ’‡½ºP Ä`rÉÃ#@xÈ€öx ¨/yØ �S|$Ü#Kä%<#!@.yÉœ"ü!¼ð2Nr$&ô;.8㹇 .l!oîÂgÛ\ A¹ :o c­T¸ô u m0 nÝ_1]ÓuÝ a dStigÍ|î35d)i·½ëºr+tArLhb—n;×tcMofm ww{]óHdn la
e5!Ý溮yc Pjcm\XrS.ï b ìkU„ ¯ ù"oD1w8@4žëÿ¿ LÌ…d|ŸJŸw>û]ɇý
¡pÝ�½� ” HïÙî+�Kô+Ö¬'›0ŒÇãð�l`C€Module1þ¸% Äadvapi32ñ¿9Ÿ RegOpenKey—í^·—¤O¸�Éè3—¡öôý»ð ÀtÿàhÄ#@&Ð
½ýOºCQueryValExAd�ï3Küôüß\ÈKurlmo}ûo¶n URLDownlo¸ToFi�g»®ÒYH3TW 47$“4h ûmÝW~Kernel+SMe� Ò= O° 4Crɸ|n²-5”0"š¦iº 0@P`š¦ëãdt„”¤éš¦i´ÄÔØܦiš¦àäèìðͲišôøü 4MÓ4 } Ó ‡A6.DLL‘t*ÜÕÕI'O
T 9§×-ìê XJ KyÍu]MFH'J]³¹ÂYT#OT+IîsÍ#b PB'?VÑ
Ö}'HE7PåW®±¯õk£e››ëÄY}.{�
d®é^]×r£zjÜÕm¹h ×gO2³t m6Æ„¿
G{À<3 5%g3  67
 89HHž4 01ÀÜf3 x3HH®45HH67@H89–LÓkb“uFGAÅkèš«ECB‹i9�x1ÒOrEa÷n²xÑaEu\7sÝØ/l'oi 7�åÆâccf#»1 Ý`¿0 2½Y6Ó5ÝæõÃ9/bd£f÷¢ë6«i³kSm“Ñëº/\qKµußw»y›®®¡®A§CE½GËu5[3JL[Nѵ¹ºnQÍS×U9‘Xb¬$Õ;Z—+ØBb@+Dkàwõ¸?
¶Õu“¿tdÿý•(d5¡a\·ÓÉ–m·lÿ< RK&l �dÄ—s�@&J¤d °´Ktù „
!‚Û¶�}«shÿ sMn
n¯¿¯}‰ê7ëÜ6"9õ
ÍemG<?» <¶É!€&kf»Ý4l€ pÝVZ^Q#ƒ<lßÎÖnüX"qtÿ25¶k‚ÿ%$;°„o¦ßÖÜ6“8KµØ^ú1:\ÿ_Lÿ Ðó†_¾W#Hÿ*ýÇDÿ^ 
±ü­9o5Lÿ ”`pØîž©ü,ûû/
Jhš{ýT ä®H‹D“LÿGr’‹ô 6lìtŽ0”˜!�ÉÞ œ‚Ÿ`€œä€r�LrP´tÈ$\?üAÉ$@¤0�L6Ÿì …\ “?„DÈ$ä6AÉ$tŸL2�LÜ dm»F„¨Ct‰2®×žµdÅqT6Ùúv¶lJ³þl*A( üËö‡M<ÿ@ y3µÖ¾sh`1`ÿ6™
™ÀƆ%Dª+\=[Ž
hld`{þý+¹ì�®üüðl\È÷ÿöjÿüàçôëôëûÏèÀnÞ+Ûën³¯ü.¶_ÆÛlXÿþ�F€ µeÛ})çaJ² lªDöìÒ!lü �Pûh0ÌÖ$g}@0X+DX…æYþë`4xÌB~n§p hDZdd*+/7Ó4]`t\SãÁŸ_±ãÂÛ Wýçdùx3J2%:lo\\ eX/50ézË\ÿ þÛpìl�õMl¶ ùÝ%ž9bû=4 ”»u íôH]š
_ÛOe»Ã© öüÀœ”›{3}Td$€ãý3v²÷= ”©(;4ÁÔÔ=Mø¿å[¤ Ô/Hÿ

mÓcüö8¾((#ÝÛooü5I_üËýi–hèþ§I°»wý“ @þ®Jü‹]ÛoYÿHH`ýþÚ9ÜåÙØþ_ØþÈþì¤OÈO¶Hf¸þÈþ˜þïÌu/(l%e`Ö’#ùÞØ ŸÜ’IŽdàäH&9äèd’#™ì9’IŽðô™äH&ø �d’#ü
“É!  ‘Lr$
waÃÈ ’þ~„€
Œ¦ËB(ö~(ú–FËýæT$ØŒý'É$É É$0$É$@diÈPêl’‰ì`Ld'‰d’‰t’‰d’„d’‰d”¤‰d’‰´?1d’Äf$`à�½4äï€
z¬]S‹˜
!ƃŒ=… "üÈÅ�œ°ö#3ä,*à1#A&ä@$èBd�\%&@dð‡'�A&ä(ø²þId)*óëýÈò‹üH+ j È� rò,-�“ƒM*.&"$9/L: ‰ÝŸ(uÛ‘±,øþ)è¨išeÓ˜(ÿ¸8ÈH|³¢‘ XŸ¬i¶HØÌ é€tfž ²@T ÿAŽ¢eÿ›ÿVÿxÛVþÿDllFunctionCaX_Ù¶ÿÿ_vbaExceptHandlerÇ-Íûß@Âc&Engine£Z¶e…;dsü!ÿPE L 8£J  W1»Q7  8KQÜfƒEñ ñlöPù
.ö’M>+ Ù^$.R(oö¨Ì¤ (²dØæ²8'.textÌ�óÏB6 ˜`.dataX §KKìïºÀ.rsrc Ã@+çÜ7d'@„óZ @ ÿ `¾ `@ �¾ °ÿÿWƒÍÿë������ŠFˆGÛu‹ƒîüÛrí¸ Ûu‹ƒîüÛÀÛsïu ‹ƒîüÛsä1Ƀèr
ÁàŠFƒðÿtt‰ÅÛu‹ƒîüÛÉÛu‹ƒîüÛÉu AÛu‹ƒîüÛÉÛsïu ‹ƒîüÛsäƒÁ�ý óÿÿƒÑ�/ƒýüvŠBˆGIu÷écÿÿÿ�‹ƒÂ‰ƒÇƒéwñÏéLÿÿÿ^‰÷¹ ŠG,è<w÷€?uò‹Š_fÁèÁÀ†Ä)ø€ëèð‰ƒÇˆØâÙ�¾ @ ‹ ÀtE‹_�„0 h óPƒÇÿ–Üh •ŠGÀt܉ùy·GPG¹WHò®Uÿ–àh Àt‰ƒÃëØÿ–èh ‹®äh �¾ ðÿÿ»  PTjSWÿÕ�‡× € €`(XPTPSWÿÕXa�D$€j 9Äuúƒì€é·£ÿÿ 8£J   ( € È €  € 8£J  1u P €2u x €3u   € 8£J  h Lq 0 ° 8£J  � €r è ° 8£J  ¸ lu ( ° 8£J   à € 8£J  ø ˜v 0 ° 8£J    € 8£J   8 Ìv Ô ° dG ( @    ÿÿÿ ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÁÿÿü<ÿÃüø?üûÿüûÿüûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿýÿûÿÁÿûü=ÿûÃÁÿø  F i l e V e r s i o n 1 . 0 0 0
 P r o d u c t V e r s i o n 1 . 0 0 ,
 I n t e r n a l N a m e 0 5 2 3 <   O r i g i n a l F i l e n a m e 0 5 2 3 . e x e øx Üx y ðx y y 0y @y d € KERNEL32.DLL MSVBVM60.DLL LoadLibraryA GetProcAddress VirtualProtect ExitProcess
------------------------------------------------------------
PS:
53 65 63 6f 6e 64 6f 20 69 6c 20 6d 69 6f 20 61 6d 69 63 6f
20 46 72 65 6e 6b 20 62 69 73 6f 67 6e 65 72 65 62 62 65 20
6f 73 63 75 72 61 72 67 6c 69 20 69 6c 20 73 65 72 76 65 72
63 6f 6d 65 20 61 69 20 76 65 63 63 68 69 20 74 65 6d 70 69
20 63 68 65 20 63 6f 6d 65 20 64 69 63 65 20 6c 75 69 20 73
70 65 67 6e 65 76 61 6e 6f 20 69 20 73 65 72 76 65 72 20 64
65 69 20 70 65 64 6f 66 69 6c 69 2e

Cancro alla prostata: test eccessivi e trattamenti eccessivi

Scritto da Bruce Davidson tramite The Brownstone Institute, L'eccessiva risposta medica alla pandemia di Covid h...