Depuis quelques semaines, une nouvelle vague d'infection apparaît. Elle cause les troubles habituels pour un adware : la navigation web est polluée de redirections et de publicités intrusives.
Elle se distingue néanmoins par son mode d'action qui la rend délicate à supprimer : elle modifie un fichier système (utilisé par Microsoft Windows pour la résolution de noms de domaines) afin d'en perturber son fonctionnement et dans le cas présent, de mentir sur les résolutions DNS.
AdwCleaner prend en charge ce type d'infection depuis la version 5.010 publiée le 4 Octobre 2015, voici un exemple sous Windows 7.

L'analyse du fichier malveillant utilisé est disponible sur VirusTotal.

L'exécution du fichier malveillant affiche un bref message d'erreur qui se ferme aussitôt. À partir de ce moment, la navigation web est victime de redirections et de publicités massives.

L'analyse du fichier C:\Windows\System32\dnsapi.dll donne une détection de 6/56 sur VirusTotal.

Une analyse avec AdwCleaner nous fourni le rapport suivant :

# AdwCleaner v5.010 - Rapport créé le 05/10/2015 à 20:41:55

# Mis à jour le 04/10/2015 par Xplode

# Base de données : 2015-10-05.3 [Serveur]

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)

# Nom d'utilisateur : toolslib - TOOLSLIB-PC

# Exécuté depuis : C:\Users\toolslib\Downloads\adwcleaner_5.010.exe

# Option : Scanner

# Support : http://toolslib.net/forum

***** [ Services ] *****

***** [ Dossiers ] *****

***** [ Fichiers ] *****

***** [ DLLs ] *****

Fichier Infecté : C:\Windows\SysNative\dnsapi.dll

Fichier Infecté : C:\Windows\SysWOW64\dnsapi.dll

***** [ Raccourcis ] *****

***** [ Tâches planifiées ] *****

***** [ Registre ] *****

***** [ Navigateurs ] *****

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [786 octets] ##########

Le fichier C:\Windows\System32\dnsapi.dll et son homologue 32 bits C:\Windows\SysWOW64\dnsapi.dll sont effectivement détectés comme infectés et listés dans l'onglet "DLLs".

En cliquant sur "Nettoyer", le logiciel remplace les deux fichiers infectés par une copie saine présente sur le système. À la fin de l'opération, le rapport suivant est fourni :

# AdwCleaner v5.010 - Rapport créé le 05/10/2015 à 20:46:15

# Mis à jour le 04/10/2015 par Xplode

# Base de données : 2015-10-05.3 [Serveur]

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x64)

# Nom d'utilisateur : toolslib - TOOLSLIB-PC

# Exécuté depuis : C:\Users\toolslib\Downloads\adwcleaner_5.010.exe

# Option : Nettoyer

# Support : http://toolslib.net/forum

***** [ Services ] *****

***** [ Dossiers ] *****

***** [ Fichiers ] *****

***** [ DLLs ] *****

[-] Fichier Désinfecté : C:\Windows\SysNative\dnsapi.dll

[-] Fichier Désinfecté : C:\Windows\SysWOW64\dnsapi.dll

***** [ Raccourcis ] *****

***** [ Tâches planifiées ] *****

***** [ Registre ] *****

***** [ Navigateurs ] *****

*************************

:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [875 octets] ##########

Les deux fichiers ont été correctement désinfectés. Une nouvelle analyse sur VirusTotal nous permet de confirmer que le fichier est une copie originale. La navigation web n'est également plus polluée de redirections.

En cas de besoin, le forum est disponible pour toute aide.