Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

[Aminato01]

Merci beaucoup ! J'étais aussi infecté sans le savoir.

 

[BOMSPROD]

je viens de voir le post concernant vst crack du coup j'avais téléchargé fabfilter mais la je ne vois pas ou je dois allez pour savoir si je suis infecté si quelqu'un peut m'aider et merci d'avoir prevenu pour ce site c'est sur j irai plus

 

[lecrayonapapierV2]

je viens de voir le post concernant vst crack du coup j'avais téléchargé fabfilter mais la je ne vois pas ou je dois allez pour savoir si je suis infecté si quelqu'un peut m'aider et merci d'avoir prevenu pour ce site c'est sur j irai plus

Regarde la section 2 de mon post (II. Suppression du virus)
Il faut simplement rechercher les dossiers cité sur ton PC :
- Si tu ne les trouve pas, tu n'es pas infecté !
- Si tu les trouves, tu es infecté. Il faut alors les supprimer

Prends le temps de bien lire le post en entier si tu veux bien comprendre. Si tu as encore des problèmes n'hésite pas à me contacter en MP
Cheers

 

[BOMSPROD]

Regarde la section 2 de mon post (II. Suppression du virus)
Il faut simplement rechercher les dossiers cité sur ton PC :
- Si tu ne les trouve pas, tu n'es pas infecté !
- Si tu les trouves, tu es infecté. Il faut alors les supprimer

Prends le temps de bien lire le post en entier si tu veux bien comprendre. Si tu as encore des problèmes n'hésite pas à me contacter en MP
Cheers

ok merci j vais regardé ca de plus près

 

[BOMSPROD]

Regarde la section 2 de mon post (II. Suppression du virus)
Il faut simplement rechercher les dossiers cité sur ton PC :
- Si tu ne les trouve pas, tu n'es pas infecté !
- Si tu les trouves, tu es infecté. Il faut alors les supprimer

Prends le temps de bien lire le post en entier si tu veux bien comprendre. Si tu as encore des problèmes n'hésite pas à me contacter en MP
Cheers

merci du coup j'ai bien regardé j avais le haxm et system je les ai supprimé par contre le quemu j'ai pas trouvé

 

[lecrayonapapierV2]

merci du coup j'ai bien regardé j avais le haxm et system je les ai supprimé par contre le quemu j'ai pas trouvé

Niquel, system est le fichier le plus important car c'est le virus.

Si tu n'avais pas qemu tu devais être infecté par l'ancienne version du virus (Section III du post)
Tu as donc peut être la machine virtuelle "VirtualBox" d'installée. Elle ne présente pas de risque seule mais tu peut supprimer son dossier (C:\vms) pour gagner un peu d'espace :)
Cheers

 

[BOMSPROD]

Niquel, system est le fichier le plus important car c'est le virus.

Si tu n'avais pas qemu tu devais être infecté par l'ancienne version du virus (Section III du post)
Tu as donc peut être la machine virtuelle "VirtualBox" d'installée. Elle ne présente pas de risque seule mais tu peut supprimer son dossier (C:\vms) pour gagner un peu d'espace :)
Cheers

cool j'ai regardé j'ai pas trouvé le dossier vms

 

[Magical]

Et moi qui ai toujours cru que ce n'était que des rumeurs...

J'avais effectivement remarquer dans mon gestionnaire de taches ces programmes, car je fais souvent le trie. Mais jamais je ne m'était douter qu'il y avait un lien avec ce site.

Un grand merci d'avoir partager cette info et d'en avoir fait un post clair et bien organisé.

J'ai cependant quelques question :

- Pourquoi mon antivirus (avast premium) n'a pas détecté ces programmes ?
- Pourquoi conseilles-tu de réinitialiser le pc ? Quand tu dis qu'il peu rester des traces, qu'entends-tu par la ? Fichiers caches ?

Encore merci :)

 

[Moh-Beatmaker]

Ooooooh merci beaucoup !
je me disais que mon ordi ramait de fou depuis peu alors que j'avais jamais eu de soucis jusqu'ici

 

[smaug]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

Formater le PC reste toujours la solution la plus propre, toutes les traces sont supprimées.
Mais bon, une autre solution est la suivante :

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
III. Ancienne version du LoudMineur
~~~~~~​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~​

Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

merci bien ça ma beaucoup aidé

 

[Raysy]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

Formater le PC reste toujours la solution la plus propre, toutes les traces sont supprimées.
Mais bon, une autre solution est la suivante :

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
III. Ancienne version du LoudMineur
~~~~~~​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~​

Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Alors la merci je savais même pas que j'étais infecté

 

[lecrayonapapierV2]

Et moi qui ai toujours cru que ce n'était que des rumeurs...

J'avais effectivement remarquer dans mon gestionnaire de taches ces programmes, car je fais souvent le trie. Mais jamais je ne m'était douter qu'il y avait un lien avec ce site.

Un grand merci d'avoir partager cette info et d'en avoir fait un post clair et bien organisé.

J'ai cependant quelques question :

- Pourquoi mon antivirus (avast premium) n'a pas détecté ces programmes ?
- Pourquoi conseilles-tu de réinitialiser le pc ? Quand tu dis qu'il peu rester des traces, qu'entends-tu par la ? Fichiers caches ?

Encore merci :)

Merci pour les compliments !
Par rapport à tes questions :

- Je pense que l'antivirus ne détecte pas forcément ce virus car il utilise une machine virtuelle pour s’exécuter et techniquement, une machine virtuelle c'est inoffensif. En soit, le virus ne s’exécute pas directement sur ta machine. Après honnêtement même virus total dit que le fichier est détecté pour 16/59 (Avast compris). Avait tu fais un scan ? Peut être que avast ne l'as pas détecté à l'installation car le virus en lui même n'est pas un exécutable (fichier.exe ou .msi) ce qui est généralement le cas pour un virus. Ce ne sont que des hypothèses
De toute facon c'est toujours une courses entre les antivirus et les créateurs de virus qui utilisent les failles des antivirus. Les virus ont toujours de l'avance, il faut simplement bien garder son antivirus le plus à jour possible :)
https://www.virustotal.com/gui/file...2d13ae12b03cf7c80c1ce7cae056d5668ad/detection


- Les fichiers qui peuvent rester sont innofensifs en soit mais inutiles. Ce sont des clés de registre visant des fichiers inexistants (car on a supprimer les fichiers en question), des drivers pour la machine virtuelle. En formatant le pc tu remets tout à jour. C'est plus que si quelqu'un ne se sent pas l'expertise d'aller bidouiller dans son PC, formater fonctionnera forcement. Tu as raison peut être que je devrais modifier cette partie du post qui porte à confusion sur la dangerosité des éléments restant sachant que 99.9% des gens ne formaterons pas leur PC parce que c'est trop chiant.

 

[boubou69]

franchement merci beaucoup a toi j'ai telecharger sur ce site et j'avais bien ces fichier sur mon ordi. par contre pour ceux qui n'arrive pas a supprimer les fichier demarrer en mode sans echec

 

[Magical]

Merci d'avoir pris le temps de me répondre,

Du coup oui je fais régulièrement des scan complet, pour justement éviter ce genre de mauvaise surprise (tous les 2 mois environ), et pourtant Avast n'avais pas détecté d'activité suspecte. Je pense que ton hypothèse est correcte.
D'accord je comprends mieux, effectivement ça pourrait éviter tout malentendu.

Encore merci pour ces réponses claires et rapides, bonne soirée ;)

 

[NN - Music]

Merci beaucoup pour ses informations treès précieuses ! Dommage pour VST crack mais il nous reste toujours very leak's ! ahah !

 

[BrookLean]

Merci pour ces informations, mais je ne suis pas confiant de supprimer le dossier HAXM dans intel, cela m'a l'air en lien avec le bon fonctionnement du processeur, je suis novice je n'avance rien du tout mais est ce que HAXM est sur d'être hostile? faut t'il le supprimer obligatoirement si on le possède?

 

[lecrayonapapierV2]

Merci pour ces informations, mais je ne suis pas confiant de supprimer le dossier HAXM dans intel, cela m'a l'air en lien avec le bon fonctionnement du processeur, je suis novice je n'avance rien du tout mais est ce que HAXM est sur d'être hostile? faut t'il le supprimer obligatoirement si on le possède?

Hello,

HAXM est un moteur de virtualisation utilisé comme accélérateur pour les émulateurs android où certaines machines virtuelles (en l'occurence ici pour qemu).
Il n'est pas nécessaire au bon fonctionnement du processeur, c'est juste un outil développé par l'entreprise Intel pour les logiciels de virtualisation.

Néanmoins, il est inoffensif donc libre à toi de choisir si tu souhaites le supprimer où le garder.
Le supprimer te permettra simplement de libérer un peu d'espace ;)

Cheers

 

[Zodiacbeats7]

Bonjour,

Juste une petite contribution, en éspérant que cela soit utile, malware bytes sur PC s'est avéré très éfficace pour moi.
J'ai effectivement moi aussi été contaminé à mon insu en utilisant très certainement le même site. Lors de l'ouverture du gestionnaire de tache, on peut très facilement s'apercevoir que "scvhost64.ex" ainsi que les autres applications ont une utlisation '"très haute" de la mémoire du PC.

Je n'ai eu qu'à installer gratuitement la version d'évaluation de malwarebytes qui a détécter les fichiers en quetion en l'espace de 15min en faisant un scan intégrale, j'ai eu l'impréssion de récupérer mon ordo à l'état neuf.

Je pense pour ma part investir dans le logiciel à long terme, pour éviter que cela ne se reproduise, malware bytes cependant détecte également les keygen.exe en tant que virus, vous pouvez chosir si vous voulez ou pas mettre les fichiers en quarantaine selon la nécessité.

 

[lecrayonapapierV2]

Bonjour,

Juste une petite contribution, en éspérant que cela soit utile, malware bytes sur PC s'est avéré très éfficace pour moi.
J'ai effectivement moi aussi été contaminé à mon insu en utilisant très certainement le même site. Lors de l'ouverture du gestionnaire de tache, on peut très facilement s'apercevoir que "scvhost64.ex" ainsi que les autres applications ont une utlisation '"très haute" de la mémoire du PC.

Je n'ai eu qu'à installer gratuitement la version d'évaluation de malwarebytes qui a détécter les fichiers en quetion en l'espace de 15min en faisant un scan intégrale, j'ai eu l'impréssion de récupérer mon ordo à l'état neuf.

Je pense pour ma part investir dans le logiciel à long terme, pour éviter que cela ne se reproduise, malware bytes cependant détecte également les keygen.exe en tant que virus, vous pouvez chosir si vous voulez ou pas mettre les fichiers en quarantaine selon la nécessité.

Merci pour ta contribution :)
J'avais pour ma part fait un scan malwarebytes qui avait détecté seulement une version du virus. Je vais update le post initial pour mentionner cette possibilité.
Neanmoins, je ne pense pas que Malwarebytes réactivera Windows Defender et les update Windows qui avaient été modifiée via le registre. (A vérifier)

Par rapport aux keygen, comme pour tous les antivirus, ils sont detectés.
Mais comme tu le précise, il suffit de sortir le fichier de la quarantaine ou de désactiver temporairement malwarebytes.

 

[wyzzro]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~​

Suivre les instructions suivantes :

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a permis de détecter et supprimer le virus.

~~~~~~
III. Ancienne version du LoudMineur
~~~~~~​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~​

Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Merci Beaucoup l'ami Ayant une bonne config je n'avais rien remarquer mais j'etait bien infecter.
Merci beaucoup !
Je vien de regarder sur mon pc portable qui est beaucoup moin puissant et ptn j'avais pas fait gaffe et ca me nikais bien mon pc donc merci bcp !