J'ai trouvé une bonne piste à ne pas négliger: le ver
GAOBOT (ou AGOBOT pour certains).

Il utilise la faille RPC pour 2000 et XP (tout comme BLASTER) et il semble que ce soit lui qui s'amuse sur nos postes.

Le pb est que la famille GAOBOT est impressionnante...

Voilà ce que j'ai pu trouver à ce sujet:

http://www.sophos.fr/virusinfo/analyses/w32agobotau.html
http://www.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ao.html
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3300

Démarche à suivre:

Observer les processus actifs sur le poste et arrêter les processus douteux (svdhost, cart322 ou encore csrrs...)

Faire ensuite une recherche du nom du processus dans la base de registre (REGEDIT) et cramer toute les clé qui y font référence.

Rechercher dans les fichiers systemes (en Général C:\WINDOWS\SYSTEM32) les fichiers .exe générant le processus et les supprimer.

Ne pas oublier de passer la MAJ Microsoft pour supprimer la faille RPC pour XP et 2000

Si vous avez d'autres pistes, n'hésitez pas!

Johny