Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

DenzaTEN

l'Actif 🥉
Level 2

Torrents Stats

Messages
40
J'aime
20
Trophées
46
Inscrit
3 Juillet 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
1603930936790.png
Regarde Jai sa aussi QEMU dans SOFTWARE je le supprime aussi ?
 

Ror30

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
51
J'aime
9
Trophées
111
Inscrit
5 Octobre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
J' utilise 3,4 site de torrent que j'adore . Mais fini pr moi vst crack que des couilles avec leur crack , en tt cas merci du partage .
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Voir la pièce jointe 22470
Regarde Jai sa aussi QEMU dans SOFTWARE je le supprime aussi ?

Honnêtement ça a peu d'importance si tu a supprimé le dossier qemu.
Cette clé ne sera jamais utilisé et pointe de toute façon vers un dossier qui n'existe plus

En gros tu peux supprimer mais ça sert pas a grand chose de se casser la tête a trouver tout les qemu de ton registre
 

DenzaTEN

l'Actif 🥉
Level 2

Torrents Stats

Messages
40
J'aime
20
Trophées
46
Inscrit
3 Juillet 2020
Honnêtement ça a peu d'importance si tu a supprimé le dossier qemu.
Cette clé ne sera jamais utilisé et pointe de toute façon vers un dossier qui n'existe plus

En gros tu peux supprimer mais ça sert pas a grand chose de se casser la tête a trouver tout les qemu de ton registre
Merci je conseille aussi rogue killer comme logiciel pour traquer tt sa rapidement aussi
 

Ror30

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
51
J'aime
9
Trophées
111
Inscrit
5 Octobre 2020
je conseille diag aussi qui est fait par les gars de rogue killer, tt les autre ne trouver rien lui il a detecter .
 

keizer

Membre 🏅
Level 1

Torrents Stats

Messages
3
J'aime
1
Trophées
19
Inscrit
25 Juin 2020
D'accord, je viens de faire les manipulations cités et ça va je n'ai pas était infecté (jusque preuve du contraire). Je connaissais ce site depuis un moment et par contre sur mon pc fix (Débranché depuis un peu plus d'1 an) j'ai énormément téléchargé sur ce site si je ne me trompe pas alors je pense passé directement au Formatage.. En tous cas merci beaucoup pour ce tuto !!
 

el-kiro

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
22
J'aime
2
Trophées
118
Inscrit
24 Mars 2020
On verra si mon ordi tourne mieux maintenant et tout cas merci beaucoup !
 

Snoopy33

Master 🏆
Level 2

Torrents Stats

Messages
39
J'aime
10 817
Trophées
655
Inscrit
19 Octobre 2020
Merci beaucoup, j'étais également infecté en voulant cracker des plug in pro tools
 

Lotzyyy

l'Actif 🥉
Level 1

Torrents Stats

Messages
49
J'aime
9
Trophées
58
Inscrit
29 Octobre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
 

VinceM

l'Actif 🥉
Level 1

Torrents Stats

Messages
26
J'aime
2
Trophées
61
Inscrit
17 Novembre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci beaucoup pour ce joli coup !!
 

Ex nihilo

l'Affirmé 🥈
Level 2

Torrents Stats

Messages
70
J'aime
16
Trophées
113
Inscrit
26 Novembre 2020
Bonjour à toi Fahrenheit
Je me permets de te déranger car j'ai suivi ton tuto sur comment supprimer le virus qemu (suite à un téléchargement sur le site vst crack) de mon ordi qui d'ailleurs était bien présent. J'en profite pour te remercier au passage. J'ai bien supprimé le dossier qemu de mon disque "c" mais
j'ai qd même un petit soucis car je n'arrive pas à supprimer les clés de registre, lorsque que je clique sur les clés dont tu faisais référence et qui sont bien présente ça me note suppression impossible, erreur lors de la suppression de la clé. Est-ce grave de les laisser ? Sinon aurai tu une idée de comment procéder stp ? Cordialement
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Bonjour à toi Fahrenheit
Je me permets de te déranger car j'ai suivi ton tuto sur comment supprimer le virus qemu (suite à un téléchargement sur le site vst crack) de mon ordi qui d'ailleurs était bien présent. J'en profite pour te remercier au passage. J'ai bien supprimé le dossier qemu de mon disque "c" mais
j'ai qd même un petit soucis car je n'arrive pas à supprimer les clés de registre, lorsque que je clique sur les clés dont tu faisais référence et qui sont bien présente ça me note suppression impossible, erreur lors de la suppression de la clé. Est-ce grave de les laisser ? Sinon aurai tu une idée de comment procéder stp ? Cordialement
Pas de problème de les laisser, si tu ne peux pas les supprimer c'est parce que ces clés pointent vers des fichiers que tu as supprimé, elles ne sont donc plus valides.

Tu peux les laisser l'esprit tranquille
Cheers
 

Macdo

l'Accru 🥇
Level 1

Torrents Stats

Messages
60
J'aime
6
Trophées
131
Inscrit
24 Avril 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Bonjour, Je ne parviens pas ces deux dossiers :

Le premier n'étant pas à 100 % sûr ce n'est pas grave.
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system


Mais celui devrait être trouver hors je ne le trouve pas d'ou ma question ?
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM



Sinon merci pour le tuto!!!
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Bonjour, Je ne parviens pas ces deux dossiers :

Le premier n'étant pas à 100 % sûr ce n'est pas grave.
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system


Mais celui devrait être trouver hors je ne le trouve pas d'ou ma question ?
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM



Sinon merci pour le tuto!!!
Certaines versions stockent le fichier à un autre endroit, probablement dans le dossier qemu que tu as supprimé donc normalement tout est ok

Cheers
 

Skyronne

l'Actif 🥉
Level 1

Torrents Stats

Messages
20
J'aime
2
Trophées
68
Inscrit
27 Novembre 2020
merciiii j ai supprimé tous les fichiers covid!!! 😌
 

clement3364

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
67
J'aime
8
Trophées
111
Inscrit
31 Octobre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci beaucoup pour ton aide, j'ai supprimé tous les dossiers mais pas les clefs de registre parce que j'ai peur de faire des conneries, est ce que c'est vraiment nécessaire de les supprimer ou pas ?
Merci encore en tout cas
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Merci beaucoup pour ton aide, j'ai supprimé tous les dossiers mais pas les clefs de registre parce que j'ai peur de faire des conneries, est ce que c'est vraiment nécessaire de les supprimer ou pas ?
Merci encore en tout cas
Si tu ne les supprime pas, tu n'auras plus les maj automatiques Windows. Tu peux par contre toujours manuellement mettre à jour Windows en cherchant "Windows update" dans la recherche Windows

Capture.PNG

Pour ce qui est de l'autre clé bloquant l'antivirus Windows defender, ca ne pose pas de problème si tu utilise un autre antivirus de toute façon (avast, etc...).
De toute façon, Microsoft a désactivé cette clé registre dans la mise a jour Windows d'aout 2020.

Donc si tu ne souhaite pas toucher au registre, pense simplement à mettre à jour ta version de Windows et tout devrait être bon !

Cheers
 

Fullmetalpunk1895

Aime ce qui est interdit
Level 2

Torrents Stats

Messages
139
J'aime
692
Trophées
157
Inscrit
19 Novembre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci a toi ! Vraiment, moi je n'ai jamais télécharger a part sur VL mais je suis sûr que tu peux les aider enormément
 
Haut Bas