Comment supprimer TR.Vilsel / TR.Clicker / Whistler Bootkit?

TR.Vilsel / TR.Clicker / Whistler Bootkit, ou plus explicitement Trojan Vilsel, Cycler Trojan et Trojan Clicker Bootkit Whistler sont des variantes d’ infections malveillantes pouvant constituer une grave menace pour la sécurité de votre système. Si des symptômes tels qu'un son en sourdine et le chargement du processus iexplore.exe sous l'utilisateur système, etc. se manifestent, il est clair que le système a été affecté par ces types de virus. TR.Vilsel / TR.Clicker / Whistler Bootkit peut être chargé à partir du MBR à l'aide de la fonction Bootkit, qui peut constituer une menace pour le système. Le PC peut en être libéré à l’aide des commandes MBRCheck, Bootkit Remover, FixMBR, etc.

Qu'est-ce que l'infection TR.Vilsel / Whistler Bootkit / TR.cycler?

Il y a plusieurs variantes. Ils sont parfois appelés: Trojan Vilsel, Cycler Trojan, Bootkit Trojan Clicker Whistler.

Les symptômes sont

  • Pop-up annonces
  • Pas de son
  • Plusieurs processus iexplore.exe chargés sous l'utilisateur "SYSTEM"
  • Bloqueur de publicités

Exemples de fichiers infectés:

 C: \ Informations sur le volume système \ _restore {d5fffa500b1b} \ smss.exe

C: \ Informations sur le volume système \ _restore {d5fffa500b1b} \ svchost.exe

c: \ informations de volume système \ Whistler \ smss.exe

c: \ informations de volume système \ Whistler \ svchost.exe

Préliminaires

Si vous utilisez Windows Vista ou 7:

Vous devez désactiver le contrôle de compte d'utilisateur pendant la désinfection.

TeaTimer (résident de Spybot) devrait être désactivé. Sinon, cela pourrait interférer avec la désinfection:

  • Lancez Spybot, cliquez sur Mode, sélectionnez Mode avancé.
  • Sur la gauche, cliquez sur Outils, puis sur Résident.
  • Décochez la case "TeaTimer" puis quittez Spybot

Méthodes de désinfection

Première méthode: MBRCheck

  • Téléchargez MBRCheck sur le bureau.
  • Fermez toutes les applications et lancez le programme.
  • Suivez les instructions, vous serez invité à redémarrer le PC.
  • Relancez MBRCheck et vous obtiendrez le message suivant: "Le code MBR de Windows XX (XX est votre version de Windows) a été détecté".

Deuxième méthode: Bootkit Remover

  • Téléchargez Bootkit Remover et décompressez-le sur le bureau.
  • Téléchargez BTKR_Runbox sur le bureau.
    • Remarque: Pour que l'outil fonctionne correctement, vous devez disposer des fichiers remover.exe et BTKR_Runbox.exe sur le bureau.
  • Démarrez BTKR_Runbox puis sélectionnez l'option n ° 3.
  • Confirmez en appuyant sur "1" puis sur [Entrée]
  • Le PC va redémarrer. Après le redémarrage, redémarrez BTKR_Runbox en sélectionnant No.1
  • Si la procédure a abouti, vous devriez voir "OK ​​[Code d'amorçage DOS / Win32 trouvé]"

Troisième méthode: FixMBR

  • Si les deux outils proposés ne fonctionnent pas, il est possible de nettoyer le MBR à l'aide de la commande fixmbr de la console de récupération.
  • Pour ce faire, nous devons accéder à la console de récupération

Une fois que vous avez ouvert la console de récupération, vous devez écrire un nouveau secteur de démarrage:

  • Sous XP: tapez simplement la commande fixmbr puis validez en appuyant sur le bouton Entrer.
  • Sous Vista / 7: Utilisez la commande bootrec.exe / fixmbrand et validez en appuyant sur Entrée.
  • Une confirmation sera demandée, puis redémarrez le PC normalement.
  • Remarque: La commande FixMBR réécrit un MBR standard. Il ne doit pas être utilisé sur un disque dur tatoué (Packard Bell, HP ...)

Aller plus loin

Pour vérifier qu'il ne reste plus rien, il est préférable d'effectuer une analyse en ligne de votre ordinateur:
  • Analyse en ligne BitDefender
  • Scan en ligne TrendMicro
  • Analyse en ligne Computer Associates
  • Analyse en ligne F-Secure
  • Scan en ligne Kapersky
Article Précédent Article Suivant

Les Meilleurs Conseils