Chiedi aiuto »

Come eliminare TR.Vilsel / TR.Clicker / Whistler Bootkit ?

Settembre 2015




Cos'è l'infezione TR.Vilsel / Whistler Bootkit / TR.cycler ?


Ci sono diverse varianti
Sono chiamati: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

L'infezione visualizza annunci pop-up.

Nota: l'ultima variante avrebbe come sintomi:

- Assenza del audio
- Diversi processi iexplore.exe caricati in utente "SYSTEM"
- Pubblicità pop-up


L'infezione ha la particolarità di utilizzare un bootkit per caricarsi dal MBR

Esempi di file infetti :


C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe

Preliminari

  • Nota1 Se avete Vista o 7:
    • Si deve disabilitare l'UAC (User Account Control) durante la disinfezione.
  • Nota2 : Se avete TeaTimer (il residente di Spybot), disabilitatelo, perché potrebbe interferire con la disinfezione:
    • Aprire Spybot, fare clic su Modalità , spuntare Modalità avanzata.
    • Dalla barra di sinistra fare clic su Utilità, quindi Resident
    • Togliere la spunta dalla casella Resident "TeaTimer" poi chiudere Spybot.

Metodi di disinfezione

Primo metodo : MBRCheck

  • Scaricate MBRCheck e salvatelo sul desktop.
    • Chiudete tutti i programmi.
    • Seguite le istruzioni, vi verrà chiesto di riavviate il PC.
    • Eseguite di nuovo, MBRCheck che normalmente vi indica " Windows XX ( XX corrisponde alla versione di windows ) MBR code detected "

Secondo metodo : Bootkit Remover


Nota : Si deve imperativamente avere i file remover.exe e BTKR_Runbox.exe sul desktop affinché i strumenti funzionino correttamente.
  • Eseguite BTKR_Runbox quindi selezionate l'opzione n°3
  • Confermate premendo il tasto "1" poi [Enter]
  • Il PC verrà riavviato. al riavvio, aprite di nuovo BTKR_Runbox selezionando l'opzione n°1
  • Se la procedura ha funzionato correttamente, verrà scritto " OK [DOS/Win32 Boot code found] "

Terzo metodo : FixMBR



Importante : Il comando FixMBR riscrive un MBR standard. Non deve essere usato <gras> su PC che integrino un sistema di ripristino (Packard Bell, HP ...) per non danneggiare il sistema Recovery impostato dal produttore.

Se i due primi utility non funzionano, è possibile pulire l'MBR con il comando <bold>fixmbr
da console di ripristino :

Una volta avviata la Console di ripristino, è necessario riscrivere un nuovo MBR:
  • In XP: basta digitare il fixmbr quindi convalidare premendo [Enter].
  • In Vista/7: Il comando cambia, quindi digitare bootrec.exe /fixmbr quindi convalidare premendo [Enter].

Dopo la conferma è sufficiente riavviare il PC normalmente

Dopo la pulizia


Per verificare se l'infezione è stata eliminata, è preferibile eseguire la scansione online del computer.
Per poter consultare questo documento offline, ne potete scaricare gratuitamente una versione in formato PDF:
Come-eliminare-tr-vilsel-tr-clicker-whistler-bootkit.pdf

Vedi anche

Nella stessa categoria

Pubblicato da zig@. - Ultimo aggiornamento da n00r
Il documento intitolato « Come eliminare TR.Vilsel / TR.Clicker / Whistler Bootkit ? » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.