When first run the worm copies itself to the Windows system folder as SPOOLSVC.EXE and creates the following registry entries so that the worm runs when Windows starts up:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
SPOOL Configuration = spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
SPOOL Configuration = spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
la descrizione non corrisponde al nome del file guardando bene ma aspettiamo Kuma!!!
C:\WINDOWS\system32\spoolsv.exe (questo e il file del log postato)
cosa ti dice se ti porti con il mouse sul file senza cliccarci sopra? Guardaci che ce l'hai anche te..
Ps comunque è ovvio che aspettiamo Kuma, di ste cose lui è il RE!
Infatti anche io ho dei dubbi e aspetto kuma per chiarimenti, mi era stato chiesto cosa potesse essere ed io ho detto le due possibilità, non ho detto "è quello". Vedremo.
Ciao