Як видалити TR.Vilsel / TR.Clicker / Whistler Bootkit?
TR.Vilsel / TR.Clicker / Whistler Bootkit, або більш виразно Trojan Vilsel, Cycler Trojan і Trojan Clicker Bootkit Whistler - це варіанти зловмисних інфекцій, які можуть виступати як великі загрози безпеці вашої системи. Якщо виникають такі симптоми, як приглушений звук і завантаження процесу iexplore.exe під керуванням користувача системи, то зрозуміло, що система постраждала від цих типів вірусів. TR.Vilsel / TR.Clicker / Whistler Bootkit може завантажуватися з MBR за допомогою функції Bootkit, яка може становити загрозу для системи. Комп'ютер можна звільнити від них за допомогою команди MBRCheck, Bootkit Remover, FixMBR і т.д.
Що таке інфекція TR.Vilsel / Whistler Bootkit / TR.cycler?
Існує кілька варіантів. Їх іноді називають: Trojan Vilsel, Cycler Trojan, Trojan Clicker bootkit Whistler.
Симптоми
- Спливаючі оголошення
- Немає звуку
- Кілька процесів iexplore.exe, завантажених під користувача "SYSTEM"
- Блокувальник оголошень
Приклади заражених файлів:
C: Інформація про обсяг системи \ _restore {d5fffa500b1b} smss.exeC: Інформація про обсяг системи \ _restore {d5fffa500b1b} svchost.exe
c: інформація про обсяг системи Whistler smss.exe
c: інформація про обсяг системи Whistler, svchost.exe
Попередні етапи
Якщо використовується Windows Vista або 7:Ви повинні вимкнути UAC під час дезінфекції.
TeaTimer (резидент Spybot) має бути вимкнено. В іншому випадку він може заважати дезінфекції:
- Запустіть Spybot, натисніть Mode (Режим), виберіть Advanced Mode (Розширений режим).
- Зліва натисніть "Інструменти", а потім "Резидент".
- Зніміть прапорець "TeaTimer", після чого вийдіть з Spybot
Методи дезінфекції
Перший метод: MBRCheck
- Завантажте MBRCheck на робочий стіл.
- Закрийте всі програми та запустіть програму.
- Дотримуйтесь інструкцій, вам буде запропоновано перезавантажити комп'ютер.
- Повторно запустіть MBRCheck, і ви отримаєте таке повідомлення "Windows XX (XX - ваша версія Windows) MBR код виявлений".
Другий метод: Remover Bootkit
- Завантажити Bootkit Remover і розпакувати на робочий стіл.
- Завантажте BTKR_Runbox на робочий стіл.
- Примітка: Ви повинні мати файли remover.exe і BTKR_Runbox.exe на робочому столі для того, щоб інструмент працював належним чином.
- Запустіть BTKR_Runbox і виберіть опцію №3
- Підтвердьте, натиснувши "1", потім [Enter]
- ПК буде перезавантажено. Після перезавантаження перезапустіть BTKR_Runbox, вибравши No.1
- Якщо процедура була успішною, ви повинні побачити "OK [DOS / Win32 Boot code found]"
Третій метод: FixMBR
- Якщо два запропоновані інструменти не працюють, можна очистити MBR за допомогою команди fixmbr в консолі відновлення.
- Для цього потрібно отримати доступ до консолі відновлення
Після відкриття консолі відновлення потрібно створити новий завантажувальний сектор:
- Під XP: Просто введіть команду fixmbr, а потім перевірте, натиснувши кнопку Enter.
- Під Vista / 7: Використовуйте команду bootrec.exe / fixmbrand і перевірте, натиснувши Enter.
- Буде запитано підтвердження, після чого буде перезавантажено комп'ютер.
- Примітка: Команда FixMBR переписує стандартний MBR. Він не повинен використовуватися на татуйованому жорсткому диску (Packard Bell, HP ...)
Йдемо далі
Щоб переконатися, що нічого не залишилося, краще зробити онлайн-сканування комп'ютера:- Онлайн сканування BitDefender
- Онлайн сканування TrendMicro
- Онлайн сканування Computer Associates
- Онлайн сканування F-Secure
- Онлайн сканування Kapersky