Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

[Fullmetalpunk1895]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Merci a toi ! Vraiment, moi je n'ai jamais télécharger a part sur VL mais je suis sûr que tu peux les aider enormément

 

[clement3364]

Si tu ne les supprime pas, tu n'auras plus les maj automatiques Windows. Tu peux par contre toujours manuellement mettre à jour Windows en cherchant "Windows update" dans la recherche Windows

Voir la pièce jointe 23913

Pour ce qui est de l'autre clé bloquant l'antivirus Windows defender, ca ne pose pas de problème si tu utilise un autre antivirus de toute façon (avast, etc...).
De toute façon, Microsoft a désactivé cette clé registre dans la mise a jour Windows d'aout 2020.

Donc si tu ne souhaite pas toucher au registre, pense simplement à mettre à jour ta version de Windows et tout devrait être bon !

Cheers

J'ai cherché si je pouvais faire des mis à jour mais ça m'indique : "Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants".
Est ce que je dois donc supprimer mes clefs de registre pour que tout revienne dans l'ordre ? Et si oui est ce que je dois supprimer les 2 fichiers entiers (Windows defender et Windowsupdate) ?

 

[Nexiure]

Très beau travail, merci d'avoir passé du temps pour ce post !

 

[lecrayonapapierV2]

J'ai cherché si je pouvais faire des mis à jour mais ça m'indique : "Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants".
Est ce que je dois donc supprimer mes clefs de registre pour que tout revienne dans l'ordre ? Et si oui est ce que je dois supprimer les 2 fichiers entiers (Windows defender et Windowsupdate) ?

Tu ne peux pas faire de mise à jour malgré tout ?

Si tu ne peux pas, c'est probablement à cause de ça.
Il faut donc bien que tu supprimes la clé et le dossier suivant dans le registre (Il n'existent pas sur un ordi non infecté cf photo ordi non infecté):
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\

En espérant que cela règle ton problème

 

[ATHOS24]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Merci énormément pour ce partage.
Sans toi, j'aurais encore ce Loudminer sur mon ordi.
Merci !

 

[clement3364]

Tu ne peux pas faire de mise à jour malgré tout ?

Si tu ne peux pas, c'est probablement à cause de ça.
Il faut donc bien que tu supprimes la clé et le dossier suivant dans le registre (Il n'existent pas sur un ordi non infecté cf photo ordi non infecté):
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\

En espérant que cela règle ton problème

Je les ai finalement supprimé, je crois que je peux toujours pas faire des mis à jour mais je vais essayer de le rallumer et on verra.
Merci pour ton aide en tout cas !

 

[beatmaker97]

Merci beaucoup !! énormément de gens l'utilise en plus..
Dans le tuto vous parlez que de windows mais je suppose que les mac sont aussi infectés ?

exactement j'ai aussi été infecter sur mac

 

[3n3rgix]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Un énorme merci pour ces informations et ce tuto très bien détaillé, je ne me serais jamais douté de tout cela.

 

[SB_45]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

merci à toi

 

[MoraMamene]

Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~​

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !! )

Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources

~~~~~~
I. Versions du Loudminer
~~~~~~

​

Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :

• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
• ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer

Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :

1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
   • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
   • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
   • Emplacement du mineur : ?\C:\Program Files\qemu\system
3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

~~~~~~
II. Suppression du LoudMineur
~~~~~~
​

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

​

• Supprimer le dossier : ?\C:\Program Files\qemu
• Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
• Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
• Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
• Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
  Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
  Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
​

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.

Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~
​

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :

• ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~
​

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~
V. Sources
~~~~~~
​

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post

~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~​

Incroyable t'es au top

 

[ClemCha]

Merci à vous, si jamais pour les utilisateurs de MAC :

Total AV est assez performant et a capté le Malware pour le détruire, effectivement il s'agit bien de qemu-system-x86_64.


Un grand merci!

Bonjour à toutes et à tous.

D'abord MERCI ENORMEMENT POUR CE PARTAGE. Je venais de mettre à jour mon système vers High Sierra et le weekend je suis tombé malheureusement sur ce site.

Donc je vous fais suivre mon retour sur MAC OS HIGH SIERRA 10.13.6

Hier soir, suite à voir lu ce fil, j'ai commencé regarder dans mon système, les fichiers, les daemons , et les processus par rapport à l'article partagé ici concernant les MACs.
J'ai trouvé quelques noms où je n'avais pas vraiment une réponse sur le pourquoi ils étaient là... je suis parti me coucher et j'ai continué ma lecture aujourd'hui dès mon petit déjeuner quoi.

Voici les infos et ce que j'ai fait pour nettoyer mon ordi (après d'avoir bien lu là-dessus pour comprendre comment il marche).

Pour faire courte...

https://www.google.com/amp/s/blog.m...ts-as-bird-miner-runs-by-emulating-linux/amp/

En gros il y en a des damons et des procès créés et démarrés automatiquement à chaque fois dans l'ordi avec aussi une machine virtuelle QEMU. J'ai pas eu des peak de CPU, mais voilà.. j'ai voulu tout virer.

1 - J'ai téléchargé la version de test de MALWAREBYTES.
2 - J'ai fait l'analyse. Il l'a detecté tel qu'il le dit le site ci-dessus: OSX.BirdMiner
3 - J'ai mis en quarantaine et redémarré l'ordi.
4 - J'ai refait un analyse, rien n'a été trouvé.
5 - Je suis allé dans quarantaine et j'ai effacé tous les fichiers.
6 - Je suis allé dans: cd /usr/local/bin/ et j'ai effacé : qemu-system-x86_64 qui n'a pas été retiré par le nettoyage (personellement j'en ai pas besoin que je le sache, donc viré).

En pièce jointe quelques captures d'écran pour vous guider.

Merci à vous pour les infos, j'étais bien infecté dans mon nouveau système. Ma recherche, grâce à vous, m'a permis d'enlever le problème sans devoir tout remettre à 0.

J'espère que ces infos vous seront utiles.


Zamochit

 

[Vic Moon]

Bonjour à tous

Franchement merci infiniment j'avais pris Ozone, je m'étais rendu compte de rien !
Je n'arrive juste pas à faire la manip WINDOWS R, quand je copie les liens que vous mettez ils sont introuvable ?
Est ce que quelqu'un peut m'orienter ?
Merci d'avance à tout le monde !

 

[musical2021]

Merci pour ce post précieux.

 

[lecrayonapapierV2]

Bonjour à tous

Franchement merci infiniment j'avais pris Ozone, je m'étais rendu compte de rien !
Je n'arrive juste pas à faire la manip WINDOWS R, quand je copie les liens que vous mettez ils sont introuvable ?
Est ce que quelqu'un peut m'orienter ?
Merci d'avance à tout le monde !

Tu as bien ouvert l’éditeur de registre ? (cf photo)



Il te suffit ensuite de naviguer dans les dossiers pour trouver ceux précisé dans le post.

Si tu ne les trouves pas, pas de problème, ça veut dire que ta version du virus ne modifiait pas ton registre :)

Contacte moi en mp si tu as besoin de plus de précision
Cheers

 

[DPROD1504]

Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
(ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

Bonjour merci pour ton article car je suis infecté mais je ne trouve pas un des 2 dossiers la ?? que faire ?

 

[linala]

Merci pour les infos j'ai été infecter aussi sur ce site
Message d'erreur au démarrage j'ai du le formater... Maintenant je connais la raison
Merci

 

[LEGDUAMG]

Je te remercie si on supprime tout comme indiqué on peut considérer que c'est éradiquer ?

 

[lecrayonapapierV2]

Bonjour merci pour ton article car je suis infecté mais je ne trouve pas un des 2 dossiers la ?? que faire ?

 

[lecrayonapapierV2]

Je te remercie si on supprime tout comme indiqué on peut considérer que c'est éradiquer ?

Yes !

 

[Potatos]

Un gros merci a toi, je me suis fait infecter bien sur. Ca faisait quelques jours que mes ventilos tournais pleine balle aux repos sur mon pc portable !
En plein formatage du pc je tombe sur very leak's et t'est explications ! Je suis juste tombé sur ce site un peu trop tard (pc déjà en formatage).
Je ne passerais plus que par ici pour tous mes vst !
Super pour le partage en tous cas gg !