Trojan.PWS.Siggen2.2624 détecté, comment le supprimer ? [résolu]

[Steinbeck]

Bonjour,

suspectant d'être infecté par un trojan je trouve des choses suspectes avec Autoruns dans Winlogon, et tombe sur cette page https://vms.drweb.fr/virus/?i=16243677&lng=fr qui décrit exactement les choses que j'ai dans mon registre.

Je check la fiabilité de DrWeb, le télécharge, il ne reconnaît que trois trojan downloader cachés sous divers .exe que je supprime.
Je fais des recherches pour le supprimer complètement, sans succès.
Je remarque que mon clavier répond mieux après la suppression des fichiers, plus de "doubles frappes" (vieux problème, une frappe de touche pouvait donner 2/3/0 caractères dépendant des touches), ça me rassure je me dis qu'un keylogger n'est plus actif.

Quelques jours plus tard je remarque le message Certains paramètres sont masqués ou gérés par votre organisation dans plusieurs paramètres et surtout dans Confidentialité. Par exemple je n'ai pas accès à mon micro, tout fonctionne bien mais "l'accès au micro est désactivé pour cet appareil.".

Bref toutes les modifications du registre citées plus haut sont de retour, DrWeb ne détecte plus rien. Le keylogger n'est plus actif ou bien amélioré car je n'ai que très peu (plus ?) de "doubles frappes".

J'ai également des entrées suspectes dans Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
qui ressemblent aux précédentes avec chaîne de caractères dans des accolades.

J'aimerais vraiment pouvoir me débarrasser complètement de ce truc, je me suis fait bannir de FB car compte piraté et souillé alors que mon mdp était une phrase dans plusieurs langues + mots inexistants + chiffres.
Et j'aimerais avoir accès à mon micro...

Je ne sais pas si j'ai oublié quelque chose, s'il vous plaît demandez-moi si c'est le cas, ça fait trop longtemps que je cherche j'ai vraiment besoin d'aide.
Je peux faire des screens d'Autoruns, de regedit ou quoi que ce soit.

Analyse FRST :
FRST https://pjjoint.malekal.com/files.php?i ... 7k5z8j12d9
Shortcut https://pjjoint.malekal.com/files.php?i ... i14i11p8w9
Addition https://pjjoint.malekal.com/files.php?i ... t8z9r14w12

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Steinbeck]

Merci pour votre aide.

Le message Certains paramètres sont masqués ou gérés par votre organisation est toujours présent.

Les clés suspectes dans le registre aussi.


Fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-04-2021
Exécuté par Lec (25-04-2021 16:15:39) Run:4
Exécuté depuis C:\Users\Lec\Desktop\Cool stuff
Profils chargés: defaultuser0 & Lec & postgres
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1871383871-975431152-1852555150-1001\...\Run: [Live Wallpaper HUB] => C:\Users\Lec\AppData\Local\Temp\Rar$EXa10280.28924\LiveWallpaperHUB 86x\Live Wallpaper HUB.exe [456192 2020-12-28] () [Fichier non signé] <==== ATTENTION
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
Startup: C:\Users\Lec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2021-04-25] ()
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKU\S-1-5-21-1871383871-975431152-1852555150-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2020-08-07 21:31 - 2020-08-07 21:31 - 000002087 _____ () C:\Users\Lec\AppData\Local\recently-used.xbel
EmptyTemp:

*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-1871383871-975431152-1852555150-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Live Wallpaper HUB" => supprimé(es) avec succès
HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\CompatTelRunner.exe => supprimé(es) avec succès
C:\Users\Lec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\User => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKU\S-1-5-21-1871383871-975431152-1852555150-1001\SOFTWARE\Policies\Microsoft\Edge => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
C:\Users\Lec\AppData\Local\recently-used.xbel => déplacé(es) avec succès

=========== EmptyTemp: ==========

BITS transfer queue => 12083200 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24556022 B
Java, Flash, Steam htmlcache => 372147356 B
Windows/system/drivers => 4751224 B
Edge => 0 B
Chrome => 431089841 B
Firefox => 2222329 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 11648 B
NetworkService => 61374 B
defaultuser0 => 61374 B
Lec => 70706941 B
postgres => 70706941 B

RecycleBin => 1262829323 B
EmptyTemp: => 2.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:16:26 ====

[angelique]

Supprime C:\FRST et tous les rapports, ce qui devait être corrigé, c'est fait

Le message Certains paramètres sont masqués ou gérés par votre organisation est toujours présent.

C'est pas grave.

https://www.malekal.com/windows-10-cert ... anisation/

Les clés suspectes dans le registre aussi.

A mon avis non, tu peux faire un export de la branche qui t'inquiète, mais à mon avis tu te trompes.

[Steinbeck]

Ok j'ai tout supprimé.

Le problème c'est que je ne peux pas me servir de mon micro ni de ma webcam et si ce n'est pas grave c'est super handicapant, en fait tous les onglets de Confidentialité sont affectés ainsi que certains autres paramètres comme Expériences partagées ou Presse-Papiers.

J'ai déjà lu la page du site Malekal concernant ce problème (et tout ce que j'ai trouvé sur le net en fait) et aucune des solutions n'a marché.

Concernant le registre, je ne sais pas ce qu'est un export d'une branche mais je m'y intéresserai si besoin.
Est-il normal que je trouve beaucoup de similitudes entre mon registre et cette page
https://vms.drweb.fr/virus/?i=16243677&lng=fr
qui décrit l'action de Trojan.PWS.Siggen2.2624 ? Sachant que DrWeb après coup m'a débarrassé de trois trojan downloaders.

Quelques screen du registre :

[Malekal_morte]

As-tu utilisé un logiciel anti-télémétrie ou anti-mouchards ?

[Steinbeck]

Oui, on en avait parlé il y a quelques semaines dans mon topic
viewtopic.php?f=3&t=68569
et j'avais tout remis par défaut sur O&O.

Excusez-moi mais pourquoi personne ne me parle des similitudes de mon registre par rapport au site DrWeb ? Ça ne paraît tout de même pas anodin ?

Merci pour votre aide

[angelique]

Sur tes captures , les clefs de registre ne sont pas malveillantes

[Steinbeck]

D'accord mais pourquoi cela correspond à la description de Trojan.PWS.Siggen2.2624 sur DrWeb ?

Une idée d'où peuvent venir ces "paramètres masqués ou gérés par votre organisation" ?

[angelique]

Ce n'est qu'une détection générique sur un fichier quelconque, exemple sur Ccleaner

Une idée d'où peuvent venir ces "paramètres masqués ou gérés par votre organisation" ?

Télémétrie, etc.. voir le lien donné précedemment

[Steinbeck]

D'accord je ne m'inquiète plus pour le trojan, merci.

D'habitude j'utilise mon micro tous les jours donc j'ai déjà fait beaucoup de recherches pour résoudre ce problème, j'ai l'impression d'avoir tout essayé...

Ces screens paraissent OK ?

[Malekal_morte]

Essaye de le paragraphe "Par le registre Windows" de cette page : https://www.malekal.com/windows-10-cert ... anisation/
Je viens de l'ajouter.

[Steinbeck]

Yessss MERCI ! Je peux utiliser mon micro !

Il y avait beaucoup de clés dans AppPrivacy toutes réglées sur la valeur 2.

Bonne continuation, merci encore !

[Malekal_morte]

De rien, c'est cool.
Je passe le sujet en résolu =)