Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

[Huze251]

Il existe des tonnes de raison pour une panne de disque dur (panne logique/électronique/mécanique) donc comme ça c'est dur à dire.

Ce qui est sur c'est que ce virus consomme les ressources de ton ordinateur donc il accélère forcement la dégradation des composants.
Peut être que le virus à participé à la panne de ton disque dur, ce n'est pas impossible.

Okay merci beaucoup ! je vais faire gaffe maintenant en installant !!

 

[dereckjkl]

Je viens de tomber sur ton post,j'ai eu ce virus là aussi.
Il avait désactiver defender, j'étais persuadé d'en avoir fini avec lui mais quand j'ai vérifie non ... j'ai suivie ton tuto j'espere en avoir fini avec

 

[LIOPPOIL]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

MERCI MEC

 

[pedrolitodelamanana]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

merci pour ce tuto complet

 

[DenzaTEN]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

OMG effectivement qemu
et sur Crackedvst, Fresh4you pas de virus ?

 

[DenzaTEN]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Je suis a l'etape ou je vais supprimer dans regedit et je vien de voir sa : HKEY_LOCAL_MACHINE\SOFTWARE\QEMU
je sais pas "Propellerhead Software > QEMU" a un rapport avec notre virus
Dans le gestionnaire j'ai toujours System quand je fait proprieté le nom c'est: ntoskrnl
tjr dispo dans Windows > SYSTEM 32

 

[lecrayonapapierV2]

Je suis a l'etape ou je vais supprimer dans regedit et je vien de voir sa : HKEY_LOCAL_MACHINE\SOFTWARE\QEMU
je sais pas "Propellerhead Software > QEMU" a un rapport avec notre virus
Dans le gestionnaire j'ai toujours System quand je fait proprieté le nom c'est: ntoskrnl
tjr dispo dans Windows > SYSTEM 32

Pas necessaire de supprimer ces clés registres, les fichiers vers lesquels ils pointent ont été supprimé précédemment !

system peut aussi etre un processus normal, pas de probleme si le processus ne consomme pas toute tes ressources :)

 

[lecrayonapapierV2]

OMG effectivement qemu
et sur Crackedvst, Fresh4you pas de virus ?

Aucune idée, ce n'est pas impossible mais je n'ai personnellement pas essayé :(
Je te conseille de télécharger prioritairement sur very leaks pour tes VST :)

 

[DenzaTEN]

Aucune idée, ce n'est pas impossible mais je n'ai personnellement pas essayé :(
Je te conseille de télécharger prioritairement sur very leaks pour tes VST :)

Merci de ta reponse , effectivement je telecharge que sur veryleaks mntn

 

[Cameillia megagod]

merci pour les infos ! avant de découvrir ce forum j'avais telecharché trois des vst contenant un virus sur vstcrack T-T

 

[ItsNewWorld]

Petite Astuce utiliser virustotal, il detecte le loud miner a chaque fois, j'ai reussi a tous les eviter comme sa

 

[lecrayonapapierV2]

Petite Astuce utiliser virustotal, il detecte le loud miner a chaque fois, j'ai reussi a tous les eviter comme sa

Yes, c'est un très bon site. Je l'avais noté dans les sources, il m'a été bien utile !
Merci

 

[titang]

Merci beaucoup pour l avertissement j avais dl massive x, manipulator, et abl3 pour macos
Un passage avec malwarebyte resultat : 7 fichiers infectés

 

[MoneyzBeats]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Alors la énorme comme tuto, j'avais réussi a virer les dossier mais je savais pas pour le registre merci beaucoup vraiment !

 

[wyzzro]

Merci beaucoup pour l avertissement j avais dl massive x, manipulator, et abl3 pour macos
Un passage avec malwarebyte resultat : 7 fichiers infectés

En plus ce qui est ultrat chiant avec les cracks c'est que tu sais jamais si c'est des faux positifs ou pas !

 

[lecrayonapapierV2]

En plus ce qui est ultrat chiant avec les cracks c'est que tu sais jamais si c'est des faux positifs ou pas !

En terme général les faux positifs c'est surtout les keygen.
Sinon part du principe que c'est potentiellement dangereux

 

[foued94]

Merci énormément pour ces infos et ce tuto, j'avais remarqué en plus ce qemu se lancer et faire tourner plus fort que d'habitude mon ordi sans même savoir qu'il s'agissait d'un virus, encore merci pour ton aide vraiment ?

 

[Liberta75]

merci pour cette information. moi j ai ete infecter par un virus il ya 2 semaine de sa. je pense pas que c etait pas le meme virus mais le mien quand il s est lancer,toutes les fenetres de mon pc se sont éteins et j ai entendu un mec entrain de manger des chips :)
et oui je rigole pas, au debut je me suis sa doit etre youtube ou autre mais tout etait éteins. et quand le mec a arrêter de manger des chips il a commencer a parler et j ai fait le truc que tout le monde fait en premier j ai eteins ma machine et toute suite j ai remis mon back up :)
donc faut faire gaffe il ya des mec qui mine et d autre mange des chips :)

 

[leloua]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Merci infiniment mec
je trouvais que mon pc surchauffé de ouff le virus me prenais dès fois 60% de cpu

 

[Erkvon]

Merci vraiment, j'ai été atteint sans le savoir.