Comment supprimer TR.Vilsel / TR.Clicker / Whistler Bootkit ?

Septembre 2016




Qu'est-ce que l'infection TR.Vilsel / Whistler Bootkit / TR.cycler ?


Il en existe plusieurs variantes.
Elles sont parfois nommées: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

L'infection affiche des publicités intempestives.

Note : La dernière variante aurait comme symptômes :

- Coupure de son
- Plusieurs processus iexplore.exe chargés sous l'utilisateur "SYSTEM"
- Publicités intempestives


L'infection a pour particularité d'utiliser un bootkit pour se charger à partir du MBR.

Exemple de fichiers infectés :

C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe     
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe    
c:\system volume information\Whistler\smss.exe    
c:\system volume information\Whistler\svchost.exe     

Préliminaires

  • Important 1, Si vous avez Vista ou 7 :
  • Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
    • A gauche, cliquez sur Outils, puis sur Résident.
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :


Méthodes de désinfection

Première méthode : MBRCheck

  • Téléchargez MBRCheck sur le bureau.
    • Fermez toutes les applications.
    • Suivez les instructions, vous serrez amené à redémarrer le PC.
    • A la suite de ça, relancez MBRCheck qui devrait normalement vous indiquer " Windows XX ( XX correspond à votre version de windows ) MBR code detected "

Deuxième méthode : FixMBR



Important : La commande FixMBR réécrit un MBR standard. Elle ne doit pas être utilisée sur des PC de grandes marques dont le disque dur est tatoué (Packard Bell, HP ...) sous peine de faire sauter le tatouage et d'endommager le système de restauration du constructeur.

Si les deux outils proposés ne fonctionnent pas, il est possible de nettoyer le MBR en utilisant la commande fixmbr en console de récupération.

Pour effectuer ceci, il faut passer par la console de récupération :
Une fois arrivé sous la console de récupération, il faut réécrire un nouveau secteur de démarrage :
  • Sous XP : Il suffit de taper la commande fixmbr puis de valider en appuyant sur [Entrée].
  • Sous Vista/7 : La commande change, il faut taper bootrec.exe /fixmbr puis valider par [Entrée].

Une confirmation vous sera demandé, puis il suffira de redémarrer le PC normalement.

Après nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.

Bitdefender en ligne
Kaspersky en ligne

Informations supplémentaires


Forum Malekal :

http://forum.malekal.com/vilsel-aejm-trojan-clicker-win32-cycler-whistler-boot-t25956.html

A voir également :

Ce document intitulé «  Comment supprimer TR.Vilsel / TR.Clicker / Whistler Bootkit ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.