• Comment supprimer TR.Vilsel / TR.Clicker / Whistler Bootkit ?

    Par shahid1 dans Astuce du jour le 16 Août 2012 à 13:04


     

    Qu'est-ce que l'infection TR.Vilsel / Whistler Bootkit / TR.cycler ?

    Il en existe plusieurs variantes.
    Elles sont parfois nommées: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

    L'infection affiche des publicités intempestives.

    Note : La dernière variante aurait comme symptômes :

    - Coupure de son
    - Plusieurs processus iexplore.exe chargés sous l'utilisateur "SYSTEM"
    - Publicités intempestives

    L'infection a pour particularité d'utiliser un bootkit pour se charger à partir du MBR.

    Exemple de fichiers infectés :

    C:System Volume Information_restore{d5fffa500b1b}smss.exe     
C:System Volume Information_restore{d5fffa500b1b}svchost.exe    
c:system volume informationWhistlersmss.exe    
c:system volume informationWhistlersvchost.exe

     

    Préliminaires

    • Important 1, Si vous avez Vista ou 7 :
      • Vous devez désactiver l'UAC le temps de la désinfection.
    • Important 2 : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection:
      • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
      • A gauche, cliquez sur Outils, puis sur Résident.
      • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

     

    Méthodes de désinfection

    Première méthode : MBRCheck

    • Téléchargez MBRCheck sur le bureau.
      • Fermez toutes les applications.
      • Suivez les instructions, vous serrez amené à redémarrer le PC.
      • A la suite de ça, relancez MBRCheck qui devrait normalement vous indiquer " Windows XX ( XX correspond à votre version de windows ) MBR code detected "

    Deuxième méthode : FixMBR

    Important : La commande FixMBR réécrit un MBR standard. Elle ne doit pas être utilisée sur des PC de grandes marques dont le disque dur est tatoué (Packard Bell, HP ...) sous peine de faire sauter le tatouage et d'endommager le système de restauration du constructeur.

    Si les deux outils proposés ne fonctionnent pas, il est possible de nettoyer le MBR en utilisant la commande fixmbr en console de récupération.

    Pour effectuer ceci, il faut passer par la console de récupération :

    Une fois arrivé sous la console de récupération, il faut réécrire un nouveau secteur de démarrage :

    • Sous XP : Il suffit de taper la commande fixmbr puis de valider en appuyant sur [Entrée].
    • Sous Vista/7 : La commande change, il faut taper bootrec.exe /fixmbr puis valider par [Entrée].

    Une confirmation vous sera demandé, puis il suffira de redémarrer le PC normalement.
     

    Après nettoyage

    • Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.

    Bitdefender en ligne

    Kaspersky en ligne

    « Astuce du jour: Ajouter la langue arabe au clavier français sous WindowsEtats-Unis : le fondateur de Megaupload aura accès au dossier d'accusation »