Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ? [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ? [résolu]

par Steinbeck »

Bonjour,

suspectant d'être infecté par un trojan je trouve des choses suspectes avec Autoruns dans Winlogon, et tombe sur cette page https://vms.drweb.fr/virus/?i=16243677&lng=fr qui décrit exactement les choses que j'ai dans mon registre.

Je check la fiabilité de DrWeb, le télécharge, il ne reconnaît que trois trojan downloader cachés sous divers .exe que je supprime.
Je fais des recherches pour le supprimer complètement, sans succès.
Je remarque que mon clavier répond mieux après la suppression des fichiers, plus de "doubles frappes" (vieux problème, une frappe de touche pouvait donner 2/3/0 caractères dépendant des touches), ça me rassure je me dis qu'un keylogger n'est plus actif.

Quelques jours plus tard je remarque le message Certains paramètres sont masqués ou gérés par votre organisation dans plusieurs paramètres et surtout dans Confidentialité. Par exemple je n'ai pas accès à mon micro, tout fonctionne bien mais "l'accès au micro est désactivé pour cet appareil.".

Bref toutes les modifications du registre citées plus haut sont de retour, DrWeb ne détecte plus rien. Le keylogger n'est plus actif ou bien amélioré car je n'ai que très peu (plus ?) de "doubles frappes".

J'ai également des entrées suspectes dans Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
qui ressemblent aux précédentes avec chaîne de caractères dans des accolades.

J'aimerais vraiment pouvoir me débarrasser complètement de ce truc, je me suis fait bannir de FB car compte piraté et souillé alors que mon mdp était une phrase dans plusieurs langues + mots inexistants + chiffres.
Et j'aimerais avoir accès à mon micro...

Je ne sais pas si j'ai oublié quelque chose, s'il vous plaît demandez-moi si c'est le cas, ça fait trop longtemps que je cherche j'ai vraiment besoin d'aide.
Je peux faire des screens d'Autoruns, de regedit ou quoi que ce soit.

Analyse FRST :
FRST https://pjjoint.malekal.com/files.php?i ... 7k5z8j12d9
Shortcut https://pjjoint.malekal.com/files.php?i ... i14i11p8w9
Addition https://pjjoint.malekal.com/files.php?i ... t8z9r14w12
Avatar de l’utilisateur
angelique
Messages : 31028
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Steinbeck »

Merci pour votre aide.

Le message Certains paramètres sont masqués ou gérés par votre organisation est toujours présent.

Les clés suspectes dans le registre aussi.


Fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-04-2021
Exécuté par Lec (25-04-2021 16:15:39) Run:4
Exécuté depuis C:\Users\Lec\Desktop\Cool stuff
Profils chargés: defaultuser0 & Lec & postgres
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1871383871-975431152-1852555150-1001\...\Run: [Live Wallpaper HUB] => C:\Users\Lec\AppData\Local\Temp\Rar$EXa10280.28924\LiveWallpaperHUB 86x\Live Wallpaper HUB.exe [456192 2020-12-28] () [Fichier non signé] <==== ATTENTION
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
Startup: C:\Users\Lec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2021-04-25] ()
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKU\S-1-5-21-1871383871-975431152-1852555150-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2020-08-07 21:31 - 2020-08-07 21:31 - 000002087 _____ () C:\Users\Lec\AppData\Local\recently-used.xbel
EmptyTemp:

*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-1871383871-975431152-1852555150-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Live Wallpaper HUB" => supprimé(es) avec succès
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\CompatTelRunner.exe => supprimé(es) avec succès
C:\Users\Lec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\User => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKU\S-1-5-21-1871383871-975431152-1852555150-1001\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
C:\Users\Lec\AppData\Local\recently-used.xbel => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 12083200 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24556022 B
Java, Flash, Steam htmlcache => 372147356 B
Windows/system/drivers => 4751224 B
Edge => 0 B
Chrome => 431089841 B
Firefox => 2222329 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 11648 B
NetworkService => 61374 B
defaultuser0 => 61374 B
Lec => 70706941 B
postgres => 70706941 B

RecycleBin => 1262829323 B
EmptyTemp: => 2.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:16:26 ====
Avatar de l’utilisateur
angelique
Messages : 31028
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par angelique »

Supprime C:\FRST et tous les rapports, ce qui devait être corrigé, c'est fait
Le message Certains paramètres sont masqués ou gérés par votre organisation est toujours présent.
C'est pas grave.

https://www.malekal.com/windows-10-cert ... anisation/
Les clés suspectes dans le registre aussi.
A mon avis non, tu peux faire un export de la branche qui t'inquiète, mais à mon avis tu te trompes.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Steinbeck »

Ok j'ai tout supprimé.

Le problème c'est que je ne peux pas me servir de mon micro ni de ma webcam et si ce n'est pas grave c'est super handicapant, en fait tous les onglets de Confidentialité sont affectés ainsi que certains autres paramètres comme Expériences partagées ou Presse-Papiers.

J'ai déjà lu la page du site Malekal concernant ce problème (et tout ce que j'ai trouvé sur le net en fait) et aucune des solutions n'a marché.

Concernant le registre, je ne sais pas ce qu'est un export d'une branche mais je m'y intéresserai si besoin.
Est-il normal que je trouve beaucoup de similitudes entre mon registre et cette page
https://vms.drweb.fr/virus/?i=16243677&lng=fr
qui décrit l'action de Trojan.PWS.Siggen2.2624 ? Sachant que DrWeb après coup m'a débarrassé de trois trojan downloaders.

Quelques screen du registre :
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Malekal_morte »

As-tu utilisé un logiciel anti-télémétrie ou anti-mouchards ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Steinbeck »

Oui, on en avait parlé il y a quelques semaines dans mon topic
viewtopic.php?f=3&t=68569
et j'avais tout remis par défaut sur O&O.

Excusez-moi mais pourquoi personne ne me parle des similitudes de mon registre par rapport au site DrWeb ? Ça ne paraît tout de même pas anodin ?

Merci pour votre aide
Avatar de l’utilisateur
angelique
Messages : 31028
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par angelique »

Sur tes captures , les clefs de registre ne sont pas malveillantes
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Steinbeck »

D'accord mais pourquoi cela correspond à la description de Trojan.PWS.Siggen2.2624 sur DrWeb ?

Une idée d'où peuvent venir ces "paramètres masqués ou gérés par votre organisation" ?
Avatar de l’utilisateur
angelique
Messages : 31028
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par angelique »

Ce n'est qu'une détection générique sur un fichier quelconque, exemple sur Ccleaner

Une idée d'où peuvent venir ces "paramètres masqués ou gérés par votre organisation" ?
Télémétrie, etc.. voir le lien donné précedemment
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Steinbeck »

D'accord je ne m'inquiète plus pour le trojan, merci.

D'habitude j'utilise mon micro tous les jours donc j'ai déjà fait beaucoup de recherches pour résoudre ce problème, j'ai l'impression d'avoir tout essayé...

Ces screens paraissent OK ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Malekal_morte »

Essaye de le paragraphe "Par le registre Windows" de cette page : https://www.malekal.com/windows-10-cert ... anisation/
Je viens de l'ajouter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Steinbeck
Messages : 19
Inscription : 24 juin 2020 16:08

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Steinbeck »

Yessss MERCI ! Je peux utiliser mon micro !

Il y avait beaucoup de clés dans AppPrivacy toutes réglées sur la valeur 2.

Bonne continuation, merci encore !
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ?

par Malekal_morte »

De rien, c'est cool.
Je passe le sujet en résolu =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »