Après Trojan.Daonol/Gumblar qui a fait des ravages, une autre infection provoque des redirections lors des recherches Google.
L'infection patche (modifie) un fichier système WS2_32.dll.
Sophos détecte le fichier sous le nom Troj/WShack ou de manière plus générique sous les noms Trojan.Win32.Patched.xxx / Win32.Patched.xxx)
NOTE : la détection génériques patched peut porter sur d'autres fichiers systèmes autres que WS2_32.dll.
GMER peut aussi montrer le patch de la manière suivante lors d'un scan :
Mettre le fichier en quarantaine est une mauvaise idée, vous pouvez tenter de restaurer le fichier via la commande sfc :.text C:\WINDOWS\Explorer.EXE[600] C:\WINDOWS\system32\WS2_32.dll section is writeable [0x71AB1000, 0x12153, 0xE0000040]
.data C:\WINDOWS\Explorer.EXE[600] C:\WINDOWS\system32\WS2_32.dll entry point in ".data" section [0x71AC41A1]
.text C:\WINDOWS\system32\winlogon.exe[752] C:\WINDOWS\system32\WS2_32.dll section is writeable [0x71AB1000, 0x12153, 0xE0000040]
.data C:\WINDOWS\system32\winlogon.exe[752] C:\WINDOWS\system32\WS2_32.dll entry point in ".data" section [0x71AC41A1]
.text C:\WINDOWS\system32\services.exe[796] C:\WINDOWS\system32\WS2_32.dll section is writeable [0x71AB1000, 0x12153, 0xE0000040]
.data C:\WINDOWS\system32\services.exe[796] C:\WINDOWS\system32\WS2_32.dll entry point in ".data" section [0x71AC41A1]
Menu Démarrer / exécuter puis : sfc /scannow (il y a un espace entre sfc et /scannow) puis OK.
Les fichiers DllCache et ServicePackFiles\i386 étant eux aussi patchés, les fichiers d'installation de Windows vous seront alors demandé (donc soit le CD, soit le répertoire sur votre disque dur).
Voir la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.