c'est un trojan, "Troj/Dumaru-AL" tien voilà ce qu'en dit Sophos
Troj/Dumaru-AL est un cheval de Troie enregistreur de frappes de touches.
Troj/Dumaru-AL s’exécute en tant que processus de service, en se copiant dans les fichiers NETDA.EXE et NETDC.EXE dans le dossier système Windows. Pour que la copie de NETDA.EXE s’exécute au démarrage du système, il paramètre l’entrée de registre suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32
Troj/Dumaru-AL paramètre une entrée dans la section BOOT de SYSTEM.INI portant le nom de clé SHELL afin d’exécuter la copie de NETDC.EXE au démarrage du système.
Troj/Dumaru-AL se copie sous le nom de fichier NETDB.EXE dans le dossier qui se trouve dans l’entrée de registre suivante :
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Shell Folders\Startup
et écrit des valeurs de retour sur le fichier HOSTS afin d’empêcher l’accès à de nombreux sites Web antivirus.
Le cheval de Troie paramètre les entrées de registre suivantes :
HKCU\Software\SARS\SocksPort
Troj/Dumaru-AL enregistre les frappes de touches ainsi que les titres de fenêtre dans un fichier du dossier Windows nommé PRNTK.LOG.
Troj/Dumaru-AL injecte le fichier PRNTSVR.DLL dans le dossier Windows. PRNTSVR.DLL est un programme de porte dérobée détecté par Sophos Anti-Virus sous le nom de Troj/Dumaru-B.
Et voilà la page qui explique comment le viré:
http://www.sophos.fr/support/disinfection/trojan.html
