Cómo eliminar TR.Vilsel / TR.Clicker / Whistler Bootkit?

Noviembre 2016





¿Qué es la infección TR.Vilsel / Whistler Bootkit / TR.cycler?

Existen varias variantes de esta infección.
También son conocidas como: Trojan Vilsel, Trojan Cycler, Trojan Clicker, Whistler bootkit.

La infección muestra publicidad emergente.

Los síntomas de la ultima variante de esta infección son:
-Corte del sonido
-Varios procesos iexplore.exe cargados en el usuario "SYSTEM"
-Publicidad emergente

Una de las características de esta infección es que utiliza un bootkit para cargarse desde el MBR.

Ejemplo de archivos infectados:

C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe    
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe

Pasos previos

  • Si utilizas Windows Vista o 7, debes desactivar el UAC durante la desinfección
  • Si tienes activado TeaTimer (el residente de Spybot), desactívalo si no puede interferir con la desinfección. Para ello:
  • Abre Spybot,
  • Haz clic izquierdo en el menú "Modo" y selecciona "Modo avanzado"
  • Haz clic en el icono "Herramientas" (situado a la izquierda), luego clic en "Residente"
  • Desmarca la casilla delante de Residente "TeaTimer", luego cierra Spybot



Métodos de desinfección

Primer método: MBRCheck

  • Descarga MBRCheck y guardalo en el Escritorio
  • Cierra todas las aplicaciones
  • Sigue las instrucciones, reinicia el PC cuando te lo soliciten.
  • Luego, vuelve a ejecutar MBRCheck que normalmente deberá indicarte Windows XX (XX corresponde a tu versión de Windows) MBR code detected"

Segundo método: Bootkit Remover

Esta herramienta esta en francés pero es fácil de utilizar.
  • Descarga Bootkit Remover luego descomprime el archive en el Escritorio
  • Descarga BTKR_Runbox en el Escritorio
    • Nota: necesariamente debes descargar los dos archivos en el Escritorio para que la herramienta funcione correctamente.
  • Ejecuta BTKR_Runbox luego selecciona la opción 3
  • Presiona la tecla 1 para confirmar, luego presiona Enter
  • El PC reiniciará. Cuando reinicie, vuelve a ejecutar BTKR_Runbox seleccionando la opción 1
  • Si el procedimiento funciono correctamente, debe aparecer OK [DOS/Win32 Boot code found]

Tercer método: FixMBR

Importante: El comando FixMBR escribe un MBR estándar. No debe ser utilizado en PCs de marca en el que el disco rígido está blindado (Packard Bell, HP ...) ya que el blindaje puede desaparecer y dañar el sistema de restauración del fabricante.

Si estas dos herramientas no funcionan, es posible limpiar el MBR utilizando el comando fixmbr en la consola de recuperación.

Para esto, es necesario pasar por la consola de recuperación.
Una vez en la consola de recuperación, es necesario reescribir un nuevo sector de arranque:
  • En XP: simplemente escribe el comando fixmbr luego presiona Enter para validar.
  • En Windows 7: el comando es otro, simplemente escribe bootrec.exe /fixmbr luego presiona Enter para validar.


Se te pedirá confirmar, luego reinicia el PC normalmente.

Después de la limpieza

Para comprobar que no queda ninguna infección, es preferible hacer un análisis en línea del PC.

PD: El artículo original fue escrito por Xplode, contribuidor de CommentCaMarche

Consulta también :
El documento «Cómo eliminar TR.Vilsel / TR.Clicker / Whistler Bootkit?» de CCM (es.ccm.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo siempre y cuando respetes las condiciones de dicha licencia y des crédito a CCM.