Jak usunąć TR.Vilsel / Whistler Bootkit / TR.cycler

Listopad 2016





Co to jest TR.Vilsel / Whistler Bootkit / TR.cycler i jak to usunąć?

Istnieje wiele odmian tego samego wirusa. Jest on znany między innymi pod takimi nazwami, jak: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

Wirus ten zazwyczaj łączony jest ze zjawiskiem ciągłego wyświetlania reklam.
Pozostałe symptomy najnowszej odmiany wirusa to:

Zanikający dźwięk.

Liczne procesy iexplore.exe pojawiające się w folderze SYSTEM.

Ciągle wyświetlające się reklamy w trybie pop-up.

Jedną z cech charakterystycznych tego wirusa jest fakt, że posługuje się bootkit, aby załadować się z poziomu MBR (Mater Boot Record).

Przykłady zainfekowanych plików:

C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe    
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe

Pierwsze kroki

Jeśli korzystasz z systemu Windows Vista lub Windows 7, musisz wyłączyć funkcję User Account Control na czas usuwania wirusa.

Jeśli korzystasz z TeaTimer (współpracującym ze Spybot), wyłącz go na czas usuwania wirusa. Aby tego dokonać:

Otwórz Spybot.

Kliknij w menu Mode/Tryb, a następnie Advanced mode/Tryb zaawansowany. Wybierz opcję Tools/Narzędzia, która znajduje się po lewej stronie, a następnie kliknij w zakładkę Resident/Rezydent. Odznacz opcję Resident TeaTimer i zamknij program Spybot.


Metody usuwania wirusa

Pierwsza metoda - MBRCheck



Pobierz MBRCheck i zapisz go na Pulpicie. Zamknij wszystkie aplikacje. Uruchom MBRCheck. Postępuj zgodnie z instrukcjami pojawiającymi się na ekranie, ponownie uruchom komputer, jeśli zajdzie taka potrzeba. Ponownie uruchom MBRCheck, który powinien wygenerować wiadomość “Windows XX (XX odpowiada Twojej wersji systemu Windows) MBR code detected".

Druga metoda - Bootkit Remover

Narzędzie jest dostępne w języku francuskim, jednak dzięki intuicyjnemu interfejsowi, nie powinno być większych kłopotów z jego użyciem.





Pobierz Bootkit Remover i rozpakuj plik na Puplicie. Pobierz program BTKR_Runbox i zapisz go na Pulpicie.

Ważne: aby narzędzie funkcjonowało prawidłowo, musisz koniecznie pobrać oba pliki na Pulpit.

Uruchom BTKR_Runbox, a następnie wybierz opcję 3. Wciśnij klawisz 1, aby potwierdzić, a następnie wciśnij Enter. Komputer uruchomi się ponownie. Po ponownym uruchomieniu komputera, aktywuj jeszcze raz BTKR_Runbox i wybierz opcję 1. Jeśli proces przebiegł pomyślnie, powinien wyświetlić się komunikat OK [DOS/Win32 Boot code found].

Trzecia metoda - FixMBR

Ważne: Polecenie FixMBR nadpisuje standardowy MBR. Polecenie nie powinno być stosowane w markowych komputerach, w których przewody dysku twardego są fabrycznie ekranowane (Packard Bell, HP itd.), ponieważ może to uszkodzić system odzyskiwania wprowadzony przez producenta.

Jeśli te dwa narzędzia nie przynoszą spodziewanych efektów, można wyczyścić MBR za pomocą komendy fixmbr w konsoli odzyskiwania.

Aby tego dokonać niezbędne jest uruchomienie konsoli odzyskiwania:

Dla systemu Windows XP

Dla systemu Windows Vista

Dla systemu Windows 7

Instrukcje dla systemów operacyjnych Windows Vista oraz Windows dostępne są w języku angielskim.

Po skorzystaniu z Konsoli odzyskiwania, należy zapisać nowy sektor startowy:

W systemie Windows XP: użyj polecenia fixmbr, następnie wciśnij Enter, aby potwierdzić.

W systemie Windows 7: użyj polecenia bootrec.exe /fixmbr, następnie wciśnij Enter, aby potwierdzić.

Zobaczysz komunikat z prośbą o potwierdzenie, następnie będziesz musiał ponownie uruchomić komputer.

Po czyszczeniu

Aby zyskać pewność co do tego, że w komputerze nie ma już żadnego wirusa, warto zrobić analizę systemu online:


Jak wykonać skanowanie online z programem Bitdefender

Jak przeskanować komputer online z programem Kaspersky Security Scan

Skanowanie online z programem Eset

Zobacz również :
Ten dokument zatytułowany «  Jak usunąć TR.Vilsel / Whistler Bootkit / TR.cycler  » opublikowany przez CCM (pl.ccm.net) jest udostępniany na licencji Creative Commons. Możesz kopiowaći modyfikować kopie tej strony, na warunkach określonych przez licencjęi wymienionych w niniejszym tekście.