Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

1590224545947.png

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


1590760545736.png


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
 

Fichiers joints

  • 1590760540309.png
    1590760540309.png
    63.5 KB · Affichages: 279
Dernière édition:

Fahrenheit

Master 🏆
Level 5
VeryFriend's

Torrents Stats

Messages
174
J'aime
8 426
Trophées
992
Inscrit
27 Décembre 2019
Un grand merci pour ces infos Très importante !!!

J'ai modifier le préfixe en IMPORTANT

Merci pour ta contribution ?
 

Bayun

l'Accru 🥇
Abonné
Level 1

Torrents Stats

Messages
43
J'aime
51
Trophées
139
Inscrit
15 Avril 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,Waves 11 ---> Tous Infectés !! )


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III)


~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM ET/OU ?\C:\Program Files\Intel\HAXM
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system OU ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM ET/OU ?\C:\Program Files\Intel\HAXM
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system OU ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de windows defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~
Formater le PC reste toujours la solution la plus propre, toutes les traces sont supprimées.
Mais bon, une autre solution est la suivante :
  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier : ?\C:\Program Files\Intel\HAXM
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer les clés de registre suivantes : /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.

~~~~~~
II. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remqrquée avec "Ableton Live 10" telechargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

Cherchez un dossier ?\C:\vms , un service nommé "VBoxVmService" ou n’importe quoi en rapport avec VirtualBox
Je n'ai pas pu re-tester récemment pour cette version donc contactez moi directement si vous pensez être infecté.



~~~~~~


Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation


~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n'hesitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci beaucoup ton tuto (extrêmement bien détaillé par ailleurs) m'a été très utile, en effet j'étais infecté sans même l'avoir remarqué, milles mercis pour cette explication. Jamais plus je n'utiliserai vstcrack ?
 

Blaqcard

l'Accru 🥇
Level 1

Torrents Stats

Messages
85
J'aime
27
Trophées
141
Inscrit
28 Janvier 2020
Merci beaucoup, tutoriel de qualité, j'avais du formater un de mes PC à cause de ce site, et je pense que je suis pas le seul dans ce cas !
Donc gros respect à toi d'avoir pris la déter t'es un bon !!!!
 
Dernière édition:

luckyonthetrack

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
19
J'aime
3
Trophées
116
Inscrit
21 Avril 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,Waves 11 ---> Tous Infectés !! )


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III)


~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM ET/OU ?\C:\Program Files\Intel\HAXM
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system OU ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM ET/OU ?\C:\Program Files\Intel\HAXM
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system OU ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de windows defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~
Formater le PC reste toujours la solution la plus propre, toutes les traces sont supprimées.
Mais bon, une autre solution est la suivante :
  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier : ?\C:\Program Files\Intel\HAXM
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer les clés de registre suivantes : /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.

~~~~~~
II. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remqrquée avec "Ableton Live 10" telechargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

Cherchez un dossier ?\C:\vms , un service nommé "VBoxVmService" ou n’importe quoi en rapport avec VirtualBox
Je n'ai pas pu re-tester récemment pour cette version donc contactez moi directement si vous pensez être infecté.



~~~~~~


Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation


~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n'hesitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci énormément pour cet avertissement/tuto !
 

immigré

l'Actif 🥉
Level 2

Torrents Stats

Messages
9
J'aime
6
Trophées
61
Inscrit
6 Avril 2020
Merci beaucoup, j'avais installé manipulator et je tournais à 15% constant, maintenant je suis à 3
 

bennnnn

l'Actif 🥉
Level 1

Torrents Stats

Messages
17
J'aime
11
Trophées
76
Inscrit
22 Avril 2020
Merci beaucoup !! énormément de gens l'utilise en plus..
Dans le tuto vous parlez que de windows mais je suppose que les mac sont aussi infectés ?
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Merci beaucoup !! énormément de gens l'utilise en plus..
Dans le tuto vous parlez que de windows mais je suppose que les mac sont aussi infectés ?
Je pense que leur business de Cryptomonnaie est en effet très fructueux ....

Malheureusement les VST mac sont très probablement infectés aussi mais je ne possède pas de MAC et je n'en sais donc pas plus que ce que le post suivant présente dans la section MacOS : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
 

Vlobz

l'Actif 🥉
Level 1

Torrents Stats

Messages
10
J'aime
3
Trophées
46
Inscrit
11 Décembre 2019
Hello ! Merci pour cet avertissement. Petite question : si on a aucune surchage de CPU (- de 2% utilisé quand j'ai juste Google Chrome d'ouvert), on peut considérer que l'on est pas infecté? (J'ai téléchargé plusieurs vst sur le dit site...)

Merci d'avance ;)
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Hello ! Merci pour cet avertissement. Petite question : si on a aucune surchage de CPU (- de 2% utilisé quand j'ai juste Google Chrome d'ouvert), on peut considérer que l'on est pas infecté? (J'ai téléchargé plusieurs vst sur le dit site...)

Merci d'avance ;)
Si tu es a 2% le virus n'est pas actif, je te conseille tout de même de vérifier les dossiers précisés dans le post au cas où.
En particuliers c:\programmes\qemu et c:\vms qui sont tout les 2 des dossiers cachés
 

LEOCON5

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
41
J'aime
12
Trophées
116
Inscrit
2 Février 2020
salut merci beaucoup de votre aide.
Seulement je suis sur mac il me semble avoir telecharge Nexus depuis ce site il y a longtemps (qui ailleurs ne marchait pas) je suis allé voir le lien explicatif seulement j'ai du mal a comprendre comment peut on savoir si on est affectes et comment retirer le virus? merci beaucoup
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
salut merci beaucoup de votre aide.
Seulement je suis sur mac il me semble avoir telecharge Nexus depuis ce site il y a longtemps (qui ailleurs ne marchait pas) je suis allé voir le lien explicatif seulement j'ai du mal a comprendre comment peut on savoir si on est affectes et comment retirer le virus? merci beaucoup
Hey,

Je te conseille de surveiller ton moniteur d'activité à la recherche de processus utilisant une grande partie de ton CPU.
Ensuite, en suivant cet article , voit si les fichiers indiqués existent sur ton ordinateur.

Tu peux aussi essayer d'installer un logiciel type Malwarebytes qui pourrait détecter le virus

N'hésite pas à venir en message perso si tu as besoin de plus d'aide .

Cheers
 

LEOCON5

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
41
J'aime
12
Trophées
116
Inscrit
2 Février 2020
Hey,

Je te conseille de surveiller ton moniteur d'activité à la recherche de processus utilisant une grande partie de ton CPU.
Ensuite, en suivant cet article , voit si les fichiers indiqués existent sur ton ordinateur.

Tu peux aussi essayer d'installer un logiciel type Malwarebytes qui pourrait détecter le virus

N'hésite pas à venir en message perso si tu as besoin de plus d'aide .

Cheers
yes merci frérot perso rien danormal c'est cool!
 

dill_scratch

Membre 🏅
Level 1

Torrents Stats

Messages
31
J'aime
9
Trophées
21
Inscrit
25 Avril 2020
Merci beaucoup ! J'ai un probleme perso je ne peut pas supprimer le dossier qemu et inteltools il me dit qu'une application utilise un de leur fichier !!
 

Xav_Br

l'Actif 🥉
Level 2

Torrents Stats

Messages
30
J'aime
9
Trophées
63
Inscrit
15 Avril 2020
Un grand merci. J'ai pu supprimer les dossiers indésirables installés lors de l'installation des vst que j'ai téléchargé sur VSTCrack.
 

tyren

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
11
J'aime
3
Trophées
116
Inscrit
5 Janvier 2020
Merci ! Il faut que je vérifie si j'ai été infecté...
Petite question au passage, si le loudminer s'installe en même temps que le vst, du coup si on veut réinstaller le crack sur un autre pc par exemple, il faut refaire la manip pour supprimer encore le loudminer n'est-ce pas ?
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Merci beaucoup ! J'ai un probleme perso je ne peut pas supprimer le dossier qemu et inteltools il me dit qu'une application utilise un de leur fichier !!
Tu ne peux pas supprimer les dossiers car des documents à l’intérieur sont en cours d'exécution (vraisemblablement le mineur si c'est exactement ces 2 dossiers qui bloquent)


Il y a 2 solutions :

1. Redémarre ton ordinateur en mode sans échec (Link Removed / tuto windows 8). Seuls les processus nécessaire à la survie de windows serons lancés. Tu pourras donc normalement supprimer les 2 dossiers sans difficultés. Ensuite redémarre à nouveau ton pc, normalement cette fois ci.


2. Supprime les éléments à l'intérieur des dossiers les uns après les autres. Tu pourras normalement supprimer la plupart. Ça te permettra d'être plus clair sur quels fichiers sont actuellement utilisés.

Ensuite cherche les processus associés à ces fichiers dans le gestionnaire de tâches.
Ce sont probablement des processus utilisant une grande portion de ton CPU. Le nom peut être par exemple "qemu"

Si un processus te parait suspect tu peut faire clique droit --> "Ouvrir l'emplacement du fichier" et regarder si il appartient à un des 2 dossiers cités. Si c'est le cas, fait fin de tâche sur le processus. Tu devrais ensuite être capable de supprimer le fichier.
1588285409958.png

En espérant que tu t'en sortiras :) . Sinon n'hésite pas à me MP
Cheers
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Merci ! Il faut que je vérifie si j'ai été infecté...
Petite question au passage, si le loudminer s'installe en même temps que le vst, du coup si on veut réinstaller le crack sur un autre pc par exemple, il faut refaire la manip pour supprimer encore le loudminer n'est-ce pas ?
Je te conseille surtout de trouver une autre version du crack. Il existe probablement des versions propre sur ce forum.

Il vaut mieux éviter d'installer des virus, ils pourraient évoluer.
Les virus utilisés par vstcrack.com début 2019 ne sont pas les même que ceux de 2020. Ça pourrait évoluer encore !

Cheers
 

dill_scratch

Membre 🏅
Level 1

Torrents Stats

Messages
31
J'aime
9
Trophées
21
Inscrit
25 Avril 2020
Tu ne peux pas supprimer les dossiers car des documents à l’intérieur sont en cours d'exécution (vraisemblablement le mineur si c'est exactement ces 2 dossiers qui bloquent)


Il y a 2 solutions :

1. Redémarre ton ordinateur en mode sans échec (Link Removed / tuto windows 8). Seuls les processus nécessaire à la survie de windows serons lancés. Tu pourras donc normalement supprimer les 2 dossiers sans difficultés. Ensuite redémarre à nouveau ton pc, normalement cette fois ci.


2. Supprime les éléments à l'intérieur des dossiers les uns après les autres. Tu pourras normalement supprimer la plupart. Ça te permettra d'être plus clair sur quels fichiers sont actuellement utilisés.

Ensuite cherche les processus associés à ces fichiers dans le gestionnaire de tâches.
Ce sont probablement des processus utilisant une grande portion de ton CPU. Le nom peut être par exemple "qemu"

Si un processus te parait suspect tu peut faire clique droit --> "Ouvrir l'emplacement du fichier" et regarder si il appartient à un des 2 dossiers cités. Si c'est le cas, fait fin de tâche sur le processus. Tu devrais ensuite être capable de supprimer le fichier.
Voir la pièce jointe 16878

En espérant que tu t'en sortiras :) . Sinon n'hésite pas à me MP
Cheers
Salut merci beaucoup pour tes conseils, j'ai du coup fait un bon netoyage avec 2 anti-malware car je m'en sortais pas !! et ils me l'on supprimé ( version gratuite de malwarebytes puis adwcleaner ) ça me pompais 60 % du cpu et la je suis a 5 .... encore merci !!!!!
 
Haut Bas