Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

GOTWAR

l'Actif 🥉
Level 2

Torrents Stats

Messages
9
J'aime
2
Trophées
61
Inscrit
9 Mai 2020
yo magueule, la j'suis obliger de liker la vie de ma mère , je savais que c'était un mineur que j'avais, mon cpu chauffait pour rien et tout, et wlh tout les fichier qui devait avoir; j'lai ai tous eu wlh j'ai tout supprimer, je savais que c'était un truc hostx64 et tout franchement merci gros tu me sauve , j'en n'avais marre de mon pc qui s'allumait tout seul quand il était en veille la nuit wlh ♥
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
yo magueule, la j'suis obliger de liker la vie de ma mère , je savais que c'était un mineur que j'avais, mon cpu chauffait pour rien et tout, et wlh tout les fichier qui devait avoir; j'lai ai tous eu wlh j'ai tout supprimer, je savais que c'était un truc hostx64 et tout franchement merci gros tu me sauve , j'en n'avais marre de mon pc qui s'allumait tout seul quand il était en veille la nuit wlh ♥
Merci à toi ainsi qu'à tout les autres.

Ça fait plaisir de voir que le temps passé à préparer puis rédiger ce post en valait la peine et vous aide !
Merci à tous

Cheers
 

Muggy

l'Accru 🥇
Level 1

Torrents Stats

Messages
64
J'aime
15
Trophées
131
Inscrit
5 Mai 2020
Alors là au top ! Je trouvais bizarre d'avoir des latences avec un pc aussi récent et je ne comprenais pas d'où venait QEMU ni pourquoi il était dans le gestionnaire de tâche !
Je suis tombé par hasard sur ce post et il m'a été des plus utiles ! Un grand merci à toi , mais je pense formater le pc pour recommencer sur une base saines et plus toucher aux mauvais sites !
 

ablonio

l'Actif 🥉
Level 2

Torrents Stats

Messages
43
J'aime
4
Trophées
73
Inscrit
7 Mars 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)


~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

Suivre les instructions suivantes :
  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a permis de détecter et supprimer le virus.
~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~


Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.


~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci beaucoup
 

antistar

l'Actif 🥉
Level 1

Torrents Stats

Messages
5
J'aime
1
Trophées
46
Inscrit
1 Novembre 2019
Merci pour le trick, c'est du bon travail... Si ça pouvait être aussi simple pour le Covid...
 

Gh0st-

l'Accru 🥇
Level 1

Torrents Stats

Messages
35
J'aime
10
Trophées
126
Inscrit
23 Mars 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)


~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

Suivre les instructions suivantes :
  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a permis de détecter et supprimer le virus.
~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~


Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.


~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Salut, merci bcp, je trouvais aussi mon pc lent ces derniers temps.

Au debut je ne trouvais pas le dossier qemu dans Program Files.
J'ai regardé dans le gestionaire de tâches jusqu'à "QEMU machine emulator and tools".
J'ai fait click-droit "Ouvrir à l'emplacement du fichier" puis je l'ai trouvé.
 

Melmac

l'Actif 🥉
Level 1

Torrents Stats

Messages
1
J'aime
1
Trophées
46
Inscrit
20 Mai 2020
Salut, je me suis inscrit sur ce site juste pour te remercier :)
J'ai téléchargé sur VSTcrack hier soir ; en allumant mon PC tout à l'heure, surprise : 7 gigas de RAM sur 8 d'utilisés, la majeure partie par qemu et "host services x64".

Impossible de faire une restauration système (parce que, euh, Windows ?) donc j'ai désinstallé les VST fraichement installés (Valhalla bundle), passé un p'tit coup de MalwareBytes (version gratuite) et de CCleaner pour nettoyer le registre et suivi tes instructions à la lettre (MalwareBytes et CCleaner ne nettoient visiblement pas tout).

Après redémarrage, plus de problème visible, et MalwareBytes me dit que tout va bien. Bref, encore mille mercis à toi !

Spyware2.jpg
 

RizeX

l'Accru 🥇
Level 1

Torrents Stats

Messages
8
J'aime
2
Trophées
126
Inscrit
7 Janvier 2020
Merci pour ce tuto super bien expliqué et de m'avoir débarrassé de ce virus.
Mon cpu tournait à 30% environ et après suppression je suis à 15% !
 

aïtouzedi

l'Accru 🥇
Level 1

Torrents Stats

Messages
80
J'aime
17
Trophées
131
Inscrit
20 Mai 2020
merci beaucoup,
Est ce que la mise en quarantaine suffit? En tout cas malwarebytes l'a détecté

-Résumé de l'analyse-
Type d'analyse: Analyse rapide
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 2824
Menaces détectées: 2
Menaces mises en quarantaine: 2
Temps écoulé: 1 min, 22 s

-

Clé du registre: 1
Trojan.Agent, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SystemServices, En quarantaine, 492, 596488, , , ,



Fichier: 1
Trojan.Agent, C:\PROGRAM FILES\QEMU\SYSTEMSERVICES.EXE, En quarantaine, 492, 596488, 1.0.24148, , ame,

S
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
merci beaucoup,
Est ce que la mise en quarantaine suffit? En tout cas malwarebytes l'a détecté

-Résumé de l'analyse-
Type d'analyse: Analyse rapide
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 2824
Menaces détectées: 2
Menaces mises en quarantaine: 2
Temps écoulé: 1 min, 22 s

-

Clé du registre: 1
Trojan.Agent, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SystemServices, En quarantaine, 492, 596488, , , ,



Fichier: 1
Trojan.Agent, C:\PROGRAM FILES\QEMU\SYSTEMSERVICES.EXE, En quarantaine, 492, 596488, 1.0.24148, , ame,

S
Hello,

La mise en quarantaine suffit à rendre le virus inactif. Il est en fait supprimé par Malwarebytes qui est le seul capable de le restaurer sur demande de l'utilisateur.
Cependant tu gardes quelques fichiers inutiles dans ton ordinateur et les mises a jour Windows sont probablement toujours désactivées.
Je te conseille donc dans l'idéal de suivra la section III du post pour nettoyer ces fichiers inutiles et réactiver les maj automatiques Windows.

Après si tu ne te sens pas assez à l'aise pour le faire, tu peux en rester là, il n'y a plus de réel risques.
Juste un peu d'espace disque perdu.

N'hésite pas à venir en MP si tu as besoin de plus d'aide
Cheers
 

Monero12

l'Actif 🥉
Level 1

Torrents Stats

Messages
46
J'aime
3
Trophées
61
Inscrit
15 Octobre 2019
Salut mec j'ai rien compris a ton tuto en plus c'est bien expliquer mais je captes pas. Désolé.
Alors ce que je captes pas c'est comment supprimer ce Loudminer. J'ai pas compris comment le supprimer.
" /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\".
Sa aussi j'ai pas capter ce que sa voulais dire.
 

Anybalsmith

Master 🏆
Level 1

Torrents Stats

Messages
66
J'aime
5
Trophées
158
Inscrit
9 Mai 2020
Merci beaucoup pour tous ces détails !
 

thanax

l'Actif 🥉
Level 1

Torrents Stats

Messages
20
J'aime
2
Trophées
46
Inscrit
15 Juin 2019
Merci a toi !!
Pour ce superbe tuto , mes anti-virus et malwarebytes les avait détecter ( heureusement !!)
et en général dès que j 'installe un logiciel je vérifié par la suite manuellement si quelques choses de louches ne s'y est pas glissé
Donc bravo a toi !!


Edit : Grace a ton tuto ,je viens de m apercevoir qu'il me resté encore des choses a virer !! thx

( Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system )
 
Dernière édition:

0x

Administrateur
Administrateur
Level 5

Torrents Stats

Messages
2 187
J'aime
10 151
Trophées
2 319
Inscrit
20 Avril 2019
Merci pour ce poste que tu a fait pour tous les membres. J'ai épingler ton poste ?
 

jodauhdiu

l'Affirmé 🥈
Level 3

Torrents Stats

Messages
112
J'aime
23
Trophées
118
Inscrit
26 Mai 2020
. Suppression du LoudMineur
~~~~~~
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)


~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a permis de détecter et supprimer le virus.

~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~


Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.


~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Incroyable vraiment merci beaucoup tu me sauves la vie.
 

jodauhdiu

l'Affirmé 🥈
Level 3

Torrents Stats

Messages
112
J'aime
23
Trophées
118
Inscrit
26 Mai 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2019: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu, en apparence (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches.

J'ai personnellement identifié 2 versions principales du virus (I) et trouvé la marche à suivre pour les supprimer (II). Enfin, il existe aussi une ancienne version du virus datant de 2019 (III).
Enfin quelques informations pour MacOS (IV)


~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqué dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier (/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\) soit écrire directement les chemins d'accès dans la barre d'adresse :

Voir la pièce jointe 18182

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Windows + R, "regedit" pour ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a permis de détecter et supprimer le virus.

~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms

~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.

Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !

~~~~~~


Références :
- https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation
- https://www.virustotal.com/gui/home - Très bon site pour tester des fichiers potentiellement dangereux avec plus de 50 antivirus différents.


~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
[/QUOTE
MERCI BEAUCOUP
 

Mopimopia

l'Accru 🥇
Level 1

Torrents Stats

Messages
20
J'aime
4
Trophées
126
Inscrit
22 Mai 2020
VOUS ÊTES VRAIMENT LES MEILLEURS, J'AVAIS REMARQUÉ que mon pc avait des baisse de perf mais je n'aurais jamais pensé que cela venais de ca
 

Mugen

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
19
J'aime
3
Trophées
116
Inscrit
9 Avril 2020
Merci beaucoup ! Incroyable tuto
 

OJ3118

l'Accru 🥇
Level 1

Torrents Stats

Messages
50
J'aime
4
Trophées
121
Inscrit
19 Août 2019
Salut,
Merci beaucoup pour ce post. J'ai pu retiré tout le logiciel.
Cependant, je n'ai pas de dossier ou de fichier HAXM. Est ce normal?

Merci
 

FreezeCorleone

Master 🏆
Level 2

Torrents Stats

Messages
97
J'aime
156
Trophées
238
Inscrit
27 Février 2019
J'avais attrapé ce virus, j'avais bien galéré mais j'ai réussi à le supprimer au final
 
Haut Bas