Come eliminare TR.Vilsel / TR.Clicker / Whistler Bootkit ?

Cos'è l'infezione TR.Vilsel / Whistler Bootkit / TR.cycler ?

Ci sono diverse varianti
Sono chiamati: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

L'infezione visualizza annunci pop-up.

Nota: l'ultima variante avrebbe come sintomi:

- Assenza del audio
- Diversi processi iexplore.exe caricati in utente "SYSTEM"
- Pubblicità pop-up

L'infezione ha la particolarità di utilizzare un <bootkit per caricarsi dal MBR

Esempi di file infetti :

C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe       
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe      
c:\system volume information\Whistler\smss.exe      
c:\system volume information\Whistler\svchost.exe       

Preliminari

• Importante 1 Se avete Vista o 7:
  • Si deve disabilitare l'UAC (User Account Control) durante la disinfezione.
• Importante 2 : Se avete TeaTimer (il residente di Spybot), disabilitatelo, o potrebbe interferire con la disinfezione:
  • Aprire Spybot, fare clic su Modalità , spuntare Modalità avanzata.
  • Dalla barra di sinistra fare clic su Utilità, quindi Resident
  • Togliere la spunta dalla casella Resident "TeaTimer" poi chiudere Spybot.

Metodi di disinfezione

Primo metodo : MBRCheck

• Scaricate MBRCheck e salvatela sul desktop.
  • Chiudete tutti i programmi.
  • Seguire le istruzioni, vi verrà richiesto di riavviate il PC.
  • Eseguite di nuovo, MBRCheck che normalmente vi indica " Windows XX ( XX corrisponde alla vostra versione di windows ) MBR code detected "

Secondo metodo : Bootkit Remover

• Scaricate Bootkit Remover poi decomprimere il file sul Desktop.
• Scaricate BTKR_Runbox sul desktop.

Nota : Si deve imperativamente avere i file remover.exe e BTKR_Runbox.exe sul desktop affinché i strumenti funzionino correttamente.

• Eseguire BTKR_Runbox quindi selezionare l'opzione n°3
• Confermare premendo il tasto "1" poi [Enter]
• Il PC verrà riavviato. al riavvio, aprite di nuovo BTKR_Runbox selezionando l'opzione n°1
• Se la procedura ha funzionato correttamente, verrà scritto " OK [DOS/Win32 Boot code found] "

Terzo metodo : FixMBR

Importante : Il comando FixMBR riscrive un MBR standard. Non deve essere usato <gras> su PC di grande marchi i quali <gras> il disco rigido è tatuato <gras> (Packard Bell, HP ...) per paura di saltare in aria il tatuaggio e danneggiare il sistema di ripristino (restauro) del produttore.

Se i due strumenti proposti non funzionano, è possibile pulire l'MBR con il <gras>comando fixmbr in console di ripristino </gras>.

Per fare questo, dobbiamo passare attraverso la console di ripristino:

• Tutorial Vista/7
• Tutorial XP

Una volta arrivati nella Console di ripristino, è necessario riscrivere un nuovo MBR:

• In XP: basta digitare il fixmbr quindi convalidare premendo [Enter].
• In Vista/7: Il comando cambia, quindi digitare bootrec.exe /fixmbr quindi convalidare premendo [Enter].

Dopo la conferma è sufficiente riavviare il PC normalmente

Dopo la pulizia

• Per verificare che l'infezione è stata eliminata, è preferibile eseguire la scansione online del computer.

Bitdefender online

• http://it.kioskea.net/faq/1427-eseguire-scansione-online-con-bitdefender

Kaspersky online

• http://www.kaspersky.com/it/virusscanner

Vedi anche

Community di assistenza e consulenza.

• Forum
• Forum E-Mail/Chat
• Forum Windows
• Forum Telefonia/Palmari/GPS

Il documento intitolato « Come eliminare TR.Vilsel / TR.Clicker / Whistler Bootkit ? » da Kioskea (it.kioskea.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.