Comment supprimer TR.Vilsel / TR.Clicker / Whistler Bootkit ?

Qu'est-ce que l'infection TR.Vilsel / Whistler Bootkit / TR.cycler ?

Il en existe plusieurs variantes.
Elles sont parfois nommées: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

L'infection affiche des publicités intempestives.

Note : La dernière variante aurait comme symptômes :

- Coupure de son
- Plusieurs processus iexplore.exe chargés sous l'utilisateur "SYSTEM"
- Publicités intempestives

L'infection a pour particularité d'utiliser un bootkit pour se charger à partir du MBR.

Exemple de fichiers infectés :

C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe   
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe  
c:\system volume information\Whistler\smss.exe  
c:\system volume information\Whistler\svchost.exe   

Préliminaires

• Important 1, Si vous avez Vista ou 7 :
  • Vous devez désactiver l'UAC le temps de la désinfection.
• Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
  • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
  • A gauche, cliquez sur Outils, puis sur Résident.
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

Méthodes de désinfection

Première méthode : MBRCheck

• Téléchargez MBRCheck sur le bureau.
  • Fermez toutes les applications.
  • Suivez les instructions, vous serrez amené à redémarrer le PC.
  • A la suite de ça, relancez MBRCheck qui devrait normalement vous indiquer " Windows XX ( XX correspond à votre version de windows ) MBR code detected "

Deuxième méthode : Bootkit Remover

• Téléchargez Bootkit Remover puis décompressez le sur le bureau.
• Téléchargez BTKR_Runbox sur le bureau.

Note : Vous devez impérativement avoir les fichiers remover.exe et BTKR_Runbox.exe sur le bureau pour que l'outil marche correctement.

• Lancez BTKR_Runbox puis sélectionnez l'option n°3
• Validez en appuyant sur "1" puis [Entrée]
• Le PC redémarrera. Au redémarrage, relancez BTKR_Runbox en sélectionnant l'option n°1
• Si la procédure a bien fonctionné, il devrait être écrit " OK [DOS/Win32 Boot code found] "

Troisième méthode : FixMBR

Important : La commande FixMBR réécrit un MBR standard. Elle ne doit pas être utilisée sur des PC de grandes marques dont le disque dur est tatoué (Packard Bell, HP ...) sous peine de faire sauter le tatouage et d'endommager le système de restauration du constructeur.

Si les deux outils proposés ne fonctionnent pas, il est possible de nettoyer le MBR en utilisant la commande fixmbr en console de récupération.

Pour effectuer ceci, il faut passer par la console de récupération :

• Tutoriel Vista/7
• Tutoriel XP

Une fois arrivé sous la console de récupération, il faut réécrire un nouveau secteur de démarrage :

• Sous XP : Il suffit de taper la commande fixmbr puis de valider en appuyant sur [Entrée].
• Sous Vista/7 : La commande change, il faut taper bootrec.exe /fixmbr puis valider par [Entrée].

Une confirmation vous sera demandé, puis il suffira de redémarrer le PC normalement.

Après nettoyage

• Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.

Bitdefender en ligne

• http://www.commentcamarche.net/faq/sujet-8872-scanner-en-ligne-avec-bitdefender

Kaspersky en ligne

• http://www.kaspersky.com/fr/virusscanner

Informations supplémentaires

Forum Malekal :

http://forum.malekal.com/vilsel-aejm-trojan-clicker-win32-cycler-whistler-boot-t25956.html Ce document intitulé « Comment supprimer TR.Vilsel / TR.Clicker / Whistler Bootkit ? » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.