enlever un trojan
   
 

Tiens si vous êtes la, c'est qu'il a dû vous arrivé un truc pas cool :Vous avez découvert que vous étiez infecté par un troyen ?? Dans ce cas-la,
ce qui suit va vous intéressé, nous vous donnons les endroits ou se planquent les
troyens dans les ordi, vous avez plus qu'a les retrouver, puis les effacer :-)
Evidemment y'a pas tous les troyens existants, mais on vous donne les + utilisés...

Cette page est exclusive, si vous la trouvez ailleurs, c'est qu'elle m'a été volée.

 
 
 
 page d'accueil
 decoder canal +
 enlever un trojan
 des astuce pour windows
 créé son virus
 les virus html
 couper un divx avi en 2
 pourquoi et comment pirater?
 comment se proteger des pirates
 livre d'or
 pirater un site
 bonnes excuses pour secher
 antiseches
 rapport pour le stage
 jurixt
 les blagues
 quelques logiciels
 pirater msn
 quelques commandes msdos
 screenmates
 faux virus

Acid Shivers

Faites une recherche et effacer les fichiers: "en-cid12.exe" et "en-cid12.dat"

 


Aol Trojan

Effacer le clé "dat92003" dans la base de registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Redemarrez votre ordi, ou fermez "dat92003.exe"
Effacer le fichier "dat92003.exe" dans le repertoire c:\windows



Attack Ftp

Voici pour Infos ce que ce troyen fous comme bordel sur votre ordi :-)
- Copie Wsgt32.dl_ dans le répertoire system et renomme le fichier en DrWatsom.exe
- Copie Wsgt32.dl_ dans le répertoire windows et le renomme en Wver.dll
- Copie Install.exe dans le répertoire system et le renomme en Wscan.exe
- Ecris un clé dans Win.ini pour lancer Drwatsom.exe au prochain redémarrage
- Ecris une clé dans la base de registre pour lancer Wscan.exe au démarrage
- Crée Serv-u.ini dans le répertoire system
- scanne le disque dur pour avoir TREE.DAT (password de Cute-FTP)
- Copie les résultats dans c:\windows\Result.dll
- Lance Drwatsom.exe
- Mets un message d'erreur

* Enlever le troyen (D'après l'auteur) :

- Fermer Drwatsom (Ctrl+Alt+Suppr)
- Executer la commande : "Wscan.exe Louis_Cypher"
- Supprimer la clé:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Value wscan.exe
- Supprimer Wscan.exe de c:\windows\system

 


BackAge

* Version 3.0 et 3.01 :

Dans la base de registre, effacer ces 4 clés:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Voila apres faut virer SystemKernel32 dans le registre:
HKEY_USERS\.Default\Software\Win\RUN

Ensuite, trouve le fichier "system.ini" (normalement dans c:\windows\system.ini) et effacer les lignes:
shell=Explorer.exe WinStop32.exe. under [boot]
jusqu'a
shell=explorer.exe

Ensuite trouver "win.ini" (normalement dans c:\windows\win.ini) et effacer la ligne:
run=WinStop32.exe under [Windows]

Ensuite redemarrez l'ordi ou fermez "WinStop32.exe"
Enfin, effacer "WinStop32.exe" dans le repertoire c:\windows


* Version 3.1 et 3.1.1 et 3.2 SE :

Effacer la clé "Internet Explorer Plugin" dans le registre:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Effacer aussi la clé "SystemKernel32" dans le registre:
HKEY_USERS\.Default\Software\Win\RUN

Ouvrir le fichier "systeme.ini" (Normalement dans c:\windows\systeme.ini) et effacer les lignes:
shell=Explorer.exe MSkernel16.exe. under [boot]
jusqu'a
shell=explorer.exe

Ouvrir ensuite le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run=MSkernel16.exe under [Windows]

Redemarrez l'ordinateur ou fermez "MSkernel16.exe"
Enfin, effacer le fichier "MSkernel16.exe" dans le repertoire c:\windows

--------------------------------------------------------------------



BackConstruction

Copié dans:
C:\WINDOWS\Cmctl32.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Shell"="C:\WINDOWS\Cmctl32.exe"

--------------------------------------------------------------------

Back Door

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

--------------------------------------------------------------------

Back Orifice

La clé est en général :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => Standard Value .exe
ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => 412124.TMP Value=412124.TMP
Nombres au hasard se terminant par une extension .TMP

* Version Back Orifice 120 :

Utilisez "Bouffe Troyen"

--------------------------------------------------------------------

Bla

Copié dans:
C:\WINDOWS$Temp\TROJAN.EXE"
c:\windows\system\Rundll.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="C:\WINDOWS\\TROJAN.EXE"
"systemdoor"="c:\windows\system\Rundll argp1"

--------------------------------------------------------------------

Barock

* Version 1.0 et 2.0 :

Effacer le clé "WCheckUp" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez l'ordinateur ou fermez "WCheckUp.exe"
Effacer le troyen "WCheckUp.exe" dans le repertoir System de Windows (c:\windows\system)


* Version 2.1 :

Le troyen "WinCheck.exe" doit etre fermé.
Si vous n'arrivez pas a le fermer, passer sous DOS et fermez le... (close c:\windows\system\WinCheck.exe)

Ensuite effacer la clé "WinCheck" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Puis effacer "WinCheck.exe" dans le repertoire Windows\System (c:\windows\sytem)

--------------------------------------------------------------------

Canasson

Ouvrir le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run= msie5.exe under [Windows]
(Noter qu'il y a beaucoup d'espace entre le run= et msie5.exe)

Redemarrez votre ordi ou fermez "msie5.exe"
Effacer le fichier du troyen "msie5.exe" (Normalement dans c:\)

--------------------------------------------------------------------

Deep Throat 3.1

Copié dans :
c:\windows\systray.exe

[HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Run]
"Systemtray"="c:\windows\systray.exe"

--------------------------------------------------------------------

Evil FTP

Dans le fichier "win.ini" effacer la clé:
run=%windows system dir%\msrun.exe under the [Windows]

Redemarrez votre ordi.
Effacer le troyen "msrun.exe" dans le repertoire System de Windows (Normalement dans c:\windows\system)

--------------------------------------------------------------------

FakeVirii

Se copie dans :
C:\WINDOWS\system ssx.exe (36 864 Bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Kernel32.dll"="c:\windows\ccc.exe"

--------------------------------------------------------------------

Frenzy 1.01

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explore"="C:\Program files\msgsrv36.exe"

--------------------------------------------------------------------

Gate Crasher

Il s'agit d'un troyen tré specifique:
- Il a besoin de 2 fichier joints "port.dat" + un .EXE ou d'un .DOC
Il infecte une macro de WORD, celle-ci contient le texte:
"This file once opened checks to see if you have the latest
version of winsck.ocx and you have so no updates are available"

- Il n'ouvre pas le port tout de suite, il surveille si le DUN (Dial Up Network) est actif ou non...
Dès qu'il est actif, il ouvre les ports. Il est alors indétectable

la clé est :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer Value=EXPLORE.exe

La taille de fichier "explore.exe" original est exactement de 94.208 Bytes
La taille de "Port.dat" est de 94 208 Bytes
La taille de "Port.exe" est de 40 960 Bytes
La taille de "Port.doc" est de 39 424 Bytes

--------------------------------------------------------------------

GirlFriend

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run
Windll Value c:\windows\windll.exe
(Peut être renommé)

Supprimez c:\windows\windll.exe

windll.exe fait exactement 309.248 Bytes
windll.exe fait exactement 189.196 Bytes (Ils sont deux fichiers)

--------------------------------------------------------------------

Hack'a'Tack

Copié dans :
C:\windows\Expl32.exe (241 397 bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer32"="C:\WINDOWS\Expl32.exe"

--------------------------------------------------------------------

Icq Trojen

Se place dans le répertoire ICQ et renomme le véritable ICQ en "ICQ2.exe"

Le supprimer est très facile, il suffit de supprimer "ICQ.exe" et de renommer "ICQ2.exe" en "ICQ.exe"

Vous pouez aussi utiliser "Bouffe Troyen"

Server EXE original fait exactement 39.424 Bytes.
Server Exe modifié fait exactement 27.779 Bytes
Joint à Back Orifice, il fait 188.438 Bytes

--------------------------------------------------------------------

Indoctrination

Copié dans :
C:\windows\sysprot.exe (29184 bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Msgsrv16"="Msgsrv16"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Msgsrv16"="Msgsrv16"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16 "

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Msgsrv16"="Msgsrv16"

--------------------------------------------------------------------

Ini Killer

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Version 4:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

--------------------------------------------------------------------

Kuang

Se copie dans :
c:\windows\_webcache_.exe
C:\WINDOWS\SYSTEM\Temp$1.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WebAccelerator"="_webcache_.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Temp$1.task"="C:\WINDOWS\SYSTEM\Temp$1.exe"


* Kuang 2 Full :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps_full.task"="C:\WINDOWS\SYSTEM\ \K2ps_full.exe"


* Kuang 2 :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps"="C:\WINDOWS\SYSTEM\K2psl.exe "

--------------------------------------------------------------------

Master Paradise

* Version 99 beta 9.9 :

Redemarrez votre ordi ou fermez le fichier "Angel.exe"
Puis effacer le fichier "Angel.exe"


* Version 98 beta 9.7 et beta 9.8 :

Redemarrez votre ordi ou fermez le fichier "Uagent.exe"
Puis effacer le fichier "Uagent.exe"


* Version 98 beta 2 :

Redemarrez votre ordi ou fermez le fichier "trojan.exe"
Puis effacer le fichier "trojan.exe"

--------------------------------------------------------------------

Maverick's Matrix

Copié dans:
C:\WINDOWS\Wincfg.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wincfg.exe"="C:\WINDOWS\Wincfg.exe"

--------------------------------------------------------------------

Millenium

Quand il est installé, une fenêtre de dialogue se lance disant "Le système est mis à jour"
Se copie dans:
C:\WINDOWS\SYSTEM eg666.exe
C:\WINDOWS\SYSTEM egersys.ocx

Les clés de la base sont :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Millenium Value=reg666.exe

Et dans win.ini : run=C:\windows\system eg666.exe


--------------------------------------------------------------------

Netbus

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Version 2:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

--------------------------------------------------------------------

Netbus Pro 2 + Beta + Netrex

* Original NetbusPro 2 + Beta :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run
NameoftheEXE Value c:\windows ameofthe.exe

Pour verifier que c'est surement Netbus pro qui fonctionne :
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
->Accept Value = 1*
->AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont toutes les clés standart mais elles peuvent varier

HKEY_CURRENT_USER\NetBus Server\Protection
->Password Value = A
Le password est crypté et s'il y a A, c'est qu'il n'y a pas de password !

Le serveur fait exactement 612.966 Bytes


* The Version called Netrex

Pour vérifier que c'est bien cette version qui tourne :
->HKEY_CURRENT _USER\NetRex
->HKEY_CURRENT_USER\NetRex Server\General
->Accept Value = 1*
- >AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont les clés standart mais elles peuvent varier.

->HKEY_CURRENT_USER\NetRex Server\Protection
->Password Value = A
Le pass est crypté BLA BLA BLA ...


* Version Netbus 1.5 et 1.6 et 1.7 :

Utilisez "Bouffe Troyen"

--------------------------------------------------------------------

Netsphere

Se copie dans :
C:\WINDOWS\system ssx.exe

La clé de la base de registre est:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NSSX"="C:\WINDOWS\system ssx.exe"


* Netsphere Final :

Copié dans :
c:\windows\system\epp32.exe

Effacer cette clé dans le registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ExecPowerProfile"="C:\WINDOWS\system\epp32.exe"

--------------------------------------------------------------------

Progenic Trojan Beta Series

Copié dans :
c:\windows\scandiskvr.exe

Clé du registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Scandisk"="c:\windows\scandiskvr.exe"

--------------------------------------------------------------------

Remote Hack

Effacer le clé "Norton Anti Virus" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "Norton.exe"
Effacer "Norton.exe" dans le repertoire Windows.

--------------------------------------------------------------------

Remote Storm

Effacer la clé "WinManager" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "DllRun.exe"
Effacer les fichiers "DllRun.exe" et "DllCount.sys" dans le repertoire c:\windows\system

--------------------------------------------------------------------

Schoolbus

Effacer la clé "Emt Indicator" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "Grcframe.exe"
Effacer le troyen "Grcframe.exe" dans le repertoire Windows System (c:\windows\system)

PS: Pour certaine version de ce troyen, il n'y a pas de clé inscrite dans le registre.

--------------------------------------------------------------------

Socket De Troie

* Version 1.0 :

Processus mémoire :
Drvctrl95

Fichier (322,560Ko) :
C:\Windows\System\DrvCtrl95.exe

Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load DrvCtrl95

2) Clé : HKEY_CLASSES_ROOT\DirectSocketsDrv\
Nom valeur : DirectSocketsCtrlDrv
(Elle empechera la version 1.0 de se réinstaller (voir patch))

Port ouvert (TCP) :
[5000]

Client possible :
TCP : pour le transfert de fichiers sur le port [5001]


* Version 1.1 :

Processus mémoire :
MSchv32

Fichier (335,872Ko) :
C:\Windows\System\MSchv32.exe

Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load MSchv32 Drv

2) Clé : HKEY_CLASSES_ROOT\DirectSockets\
Nom valeur : DirectSocketsCtrl
(Elle empechera la version 1.1 de se réinstaller (voir patch))

Port ouvert (TCP) :
[5000]

Client possible :
TCP : pour le transfert de fichiers sur le port [5001]


* Version 2.3 :

Processus mémoire (selon le fichier lancé) :
Rsrcload
OU
Csmctrl32
OU
Mgadeskdll

Fichiers (339,456Ko) :
C:\Windows\Rsrcload.exe
ET
C:\Windows\System\Csmctrl32.exe
ET
C:\Windows\System\Mgadeskdll.exe

Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Mgadeskdll

2) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Rsrcload

3) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Nom valeur : Load Csmctrl32

Ports ouverts :
TCP [30303]
ET
TCP [50505]
ET
TCP aléatoire entre [60000] et [65000]

Clients possibles :
TCP : pour le transfert de fichiers sur le port [5001]
TCP : pour la partie "Client" (spoof telnet) sur n'importe quel port

Particularité :
Tant qu'il tourne, il check et se réinstalle (fichiers + registre).
Il est donc obligatoire de fermer le prossesus d'abord pour opérer ensuite depuis windows.
Sinon, effacer tous les fichiers en DOS puis s'occuper du registre ensuite, sous windows.


* Version 2.5 :

Processus mémoire :
En prend un des suivants aléatoirement :
Ndesktop, Rundll, Explorer, Mgacl, Rnaapp, Csinsm32, Vcl32, VclMain, Twain32,
Mgactrl, Systray, Loadwc, Rsrcmtr, Topdesk, Mgadrv, Ocxwb, Snadll, Sndrv95,
Mscrdll, Synch32, Rvsnap

Fichiers (tailles aléatoires), technique (1) OU (2) :
1)
C:\Windows\System\Lcv_sys.exe
ET
C:\Windows\System\Discv.dll
ET
C:\Windows\Temp\Tcv.exe
ET
C:\Windows\Menu Démarrer\Programmes\Démarrage\Dcv.exe (fichier temporaire)
ET
C:\Windows\Temp\winstart.bat (une certaine ligne copie Discv.dll sous Dcv.exe)

2)
C:\Windows\System\Mkopg.exe
ET
C:\Windows\System\Oiht400.dll
ET
C:\Windows\Temp\Tmp_.exe
ET
C:\Windows\Menu Démarrer\Programmes\Démarrage\Dem.exe (fichier temporaire)
ET
C:\Windows\Temp\winstart.bat (une certaine ligne copie Oiht400.dll sous Dem.exe)

Entrées dans le registre windows :
1) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Nom valeur : Win ocx

2) Clé : HKEY_CLASSES_ROOT\DIRECT.DirectDrive\
Nom valeur : DriveDefault

Port ouvert (UDP) :
[1..150] (sauf [19]) incrémentable depuis [1]

Clients possibles :
TCP : retour de connection avec le contrôle
TCP : pour le transfert de fichiers sur le port [5001]
TCP : pour la partie "Client" (spoof telnet) sur n'importe quel port
TCP : connecte un bot IRC reprogrammé
UDP : envoit des informations au contrôle sur le port [170]
UDP : envoit des informations à un logiciel spécial (pour IRC) sur le port [300]
UDP : échange des commandes avec d'autres cheveaux sur les port [1..150] (sauf [19])

--------------------------------------------------------------------

Subseven

Base de REG [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]


* Version Subseven 1.9 :

Copié dans :
c:\windows\system\mtmtask.dl

Par défaut, il insère dans SYSTEM.INI la commande suivante
Shell=explorer.exe mtmtask.dl

Donc, effacez tous ca :-)

--------------------------------------------------------------------

The Unexplained

Copié dans :
C:\windows\INETB00ST.EXE (28.000 bytes)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"InetB00st"="C:\WINDOWS\TEMP\INETB00ST.EXE"

--------------------------------------------------------------------

Tiny Telnet Server

Se copie dans :
c:\windows\windll.exe (127488 Octets)

La clé est :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windll.exe"="C:\WINDOWS\Windll.exe"

--------------------------------------------------------------------

Trojan Cows

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

--------------------------------------------------------------------

Trojan Spirit 1.2

Copié dans :
c:\WINDOWS\FileName.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Internet="c:\windows\filename.exe


* Version Trojan Spirit 2001 a :

Copié dans :
c:\WINDOWS etip.exe

Rajoute la commande suivante dans "Win.ini" :
[windows]run= c:\windows etip.exe

HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Internet="c:\windows etip.exe"

--------------------------------------------------------------------

Vampire

Effacer le clé "SYSMSG" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

Redemarrez votre ordi ou fermez "SYSMSG332"
Effacer le troyen "SYSMSG332" dans le repertoire Windows System (c:\windows\system)

--------------------------------------------------------------------

Y3K Rat

Effacer la clé "Dcomcnofg" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run

Redemarrez votre ordi ou fermez "Dcomcnofg.exe"
Effacer le troyen "Dcomcnofg.exe" dans le repertoire System de Windows (c:\windows\system)