Éliminer la fenêtre « Run Script » AutoIt (wthtruh) et le mineur XMRig avec FRST et Microsoft Defender

Pop‑up « Run Script » à répétition, exécutable AutoIt introuvable et mineur XMRig : ce guide pas‑à‑pas montre comment diagnostiquer, nettoyer puis durcir Windows avec FRST et Microsoft Defender, sans réinstaller.

Problématique

Un poste Windows affiche de manière aléatoire une fenêtre Run Script. L’analyse met en cause un exécutable AutoIt baptisé wthtruh, invisible dans l’arborescence même en affichant les fichiers cachés. Microsoft Defender a neutralisé une partie de l’infection, mais le processus réapparaît au démarrage. La persistance est assurée via des points d’exécution (clés Run/RunOnce, tâches planifiées, services altérés), et un mineur XMRig a été identifié dans les journaux.

Pourquoi l’exécutable est « introuvable » ?

• Emplacements furtifs : %ProgramData%, %AppData%, %Temp%, sous‑dossiers à nom aléatoire.
• Attributs : fichiers marqués Hidden/System ou protégés par l’option « Masquer les fichiers protégés du système d’exploitation ».
• Flux alternatifs (ADS) : stockage dans un flux NTFS (nom:flux), non listé par un dir classique.
• Suppression partielle : Defender retire le binaire principal mais laisse la tâche ou la clé qui tente encore de lancer le script, d’où la fenêtre Run Script.

Diagnostic

La stratégie gagnante consiste à inventorier les points d’exécution et éléments suspects, puis à corriger de façon atomique.

Étape	Outil / Action	But
1	FRST (Farbar Recovery Scan Tool) – exécution d’un Scan	Recenser fichiers, services, tâches planifiées et clés de registre suspects.
2	Partage des fichiers FRST.txt et Addition.txt	Permettre la rédaction d’un script de correction (fixlist) adapté au poste.
3	Vérification manuelle des logs	Confirmer la présence du script AutoIt wthtruh et du mineur XMRig, relever les points de persistance.

Indices à rechercher dans les journaux FRST

• Clés HKCU\Software\Microsoft\Windows\CurrentVersion\Run et HKLM\...\Run pointant vers wthtruh ou un exécutable anonyme dans %ProgramData%/%AppData%.
• Tâches planifiées dont le TaskName évoque une mise à jour système générique (ex. UpdateSvc, Maintenance, Intel, AMD), déclenchant AutoIt3.exe ou un binaire inconnu.
• Services récemment créés (Service Control Manager), traces d’échec de script AutoIt (Run Script) dans l’Observateur d’événements.
• Présence de xmrig.exe, config.json ou d’arguments liés au minage (algo, pool, wallet) dans les lignes de commande.

Commandes d’appoint pour confirmer

powershell
# Processus évidents
Get-Process | Where-Object { $_.ProcessName -match 'autoit|xmrig|wthtruh' } | 
  Select-Object ProcessName, Id, Path

# Tâches planifiées suspectes

Get-ScheduledTask | Where-Object { $_.TaskName -match 'auto|script|xmrig|update|wthtruh' } |
Select-Object TaskName, State, TaskPath

# Exécutions au démarrage

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /s
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /s

# WMI persistant (si WMIC absent, utiliser CIM)

Get-CimInstance -Namespace root\subscription -ClassName __EventFilter
Get-CimInstance -Namespace root\subscription -ClassName CommandLineEventConsumer
Get-CimInstance -Namespace root\subscription -ClassName __FilterToConsumerBinding 

Traitement appliqué

1. Désinstaller Web Companion (PUP souvent co‑installé). Ouvrez Applications > Applications installées, recherchez « Web Companion », puis Désinstaller.
2. Préparer l’environnement
   • Créer un Point de restauration et fermer les applications.
   • Télécharger FRST64.exe sur le Bureau et lancer un Scan si ce n’est pas déjà fait.
   • Copier FRST.txt et Addition.txt pour archivage.
3. Rédiger et déposer fixlist.txt dans le même dossier que FRST64.exe (ex. Bureau).
4. Lancer “Fix” depuis FRST : l’outil redémarre le PC, supprime les fichiers AutoIt & XMRig, purge clés Run/RunOnce, tâches planifiées et réinitialise des services Windows altérés.
5. Analyser Fixlog.txt : vérifier que chaque entrée planned est marquée successfully deleted/restored. Conserver le journal.

Important : un fixlist doit être personnalisé à partir des journaux FRST de la machine. Ne copiez pas un script trouvé au hasard ; des suppressions inadaptées peuvent casser le système (explorateur, réseau, mises à jour).

Exemple d’ossature de fixlist.txt (à adapter)

Start::
CreateRestorePoint:
CloseProcesses:

# Purge des clés Run/RunOnce

HKCU...\Run: [wthtruh] <==== ATTENTION
HKLM...\Run: [wthtruh] <==== ATTENTION
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "wthtruh" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "wthtruh" /f

# Tâches planifiées

Task: {GUID-SUSPECT} <==== ATTENTION
C:\Windows\System32\Tasks\Microsoft\Windows\wthtruh <==== ATTENTION
CMD: schtasks /Delete /TN "\Microsoft\Windows\wthtruh\Update" /F

# WMI persistance

CMD: powershell -NoP -C "Get-CimInstance -Namespace root\subscription __FilterToConsumerBinding |
Where-Object { $_.Filter -match 'wthtruh|autoit|xmrig' } | Remove-CimInstance"

# Fichiers / dossiers

C:\ProgramData\wthtruh <==== ATTENTION
C:\Users\Public\wthtruh.exe <==== ATTENTION
C:\Users%username%\AppData\Roaming\xmrig\ <==== ATTENTION
DeleteFile: C:\Users\Public\wthtruh.exe
DeleteFolder: C:\ProgramData\wthtruh
DeleteFolder: C:\Users%username%\AppData\Roaming\xmrig

# Services nuisibles (exemple : nommés xmrig)

CMD: sc stop xmrig
CMD: sc delete xmrig

# Nettoyage réseau & planificateur

CMD: ipconfig /flushdns
CMD: del /f /q "%WINDIR%\System32\Tasks**wthtruh*.*"

EmptyTemp:
End:: 

Adaptez uniquement les lignes qui existent dans vos journaux. Chaque ligne marquée <==== ATTENTION doit correspondre à une réalité observée dans FRST.txt / Addition.txt.

Contrôles post‑nettoyage

Services essentiels

powershell
gsv BITS, dosvc, usosvc, wuauserv | ft -auto Name, DisplayName, StartType, Status

Les services Windows Update (wuauserv), BITS, Delivery Optimization (dosvc) et Usage Service (usosvc) doivent être en Manual ou Automatic, statut Running. Si l’un d’eux est Disabled ou Stopped sans raison, réactivez‑le :

powershell
Set-Service -Name wuauserv -StartupType Manual
Start-Service -Name wuauserv

Absence de persistance

• Aucune tâche planifiée résiduelle : Get-ScheduledTask ne doit plus renvoyer d’entrée liée à wthtruh/AutoIt/XMRig.
• Clés Run/RunOnce propres : reg query ne doit pas mentionner wthtruh.
• Plus de pop‑up « Run Script » lors d’un redémarrage à froid.

Journal de correction

Ouvrez Fixlog.txt. Les sections relatives aux suppressions doivent indiquer un succès. Archivez ce fichier avec FRST.txt et Addition.txt pour traçabilité.

Informations et bonnes pratiques complémentaires

Mesure	Pourquoi / Comment
Analyse hors‑ligne Defender (Windows Security ▸ Virus & threat protection ▸ Microsoft Defender Offline scan)	Détecte les menaces dissimulées qui se protègent en mémoire. Redémarre dans un environnement stérile et scanne avant le chargement des points de persistance.
Autoruns (Sysinternals)	Liste tous les emplacements d’exécution : démarrage, services, tâches, modules Explorer, WMI. Cochez Hide Microsoft entries pour révéler l’inconnu, puis désactivez/supprimez les entrées non légitimes.
Scan « seconde opinion » Malwarebytes, ESET Online Scanner	Complète Defender pour les PUP/adwares et familles de mineurs. Lancer après FRST pour vérifier l’absence de restes.
Mises à jour Windows & logiciels	Corrige les vulnérabilités : OS, navigateurs, Java, .NET, pilotes. Un mineur utilise souvent une faille non corrigée.
Sauvegarde système	Créer un point de restauration et une image système une fois sain. Conserver hors ligne (disque externe).
Sensibilisation	Éviter cracks, pièces jointes non sollicitées, downloaders agressifs. Préférer les sources officielles.
Controlled Folder Access (Defender ▸ Ransomware protection)	Empêche des exécutables non approuvés de modifier Documents, Pictures, etc. Ajouter uniquement des listes blanches indispensables.

Comprendre le duo AutoIt & XMRig

AutoIt est un langage de script Windows. Des acteurs malveillants compilent des scripts en exécutables pour automatiser la persistance (copie, création de tâches, modifications du registre). Quand le binaire ou son script associé disparaît mais que la tâche subsiste, Windows tente encore de l’exécuter : la boîte Run Script se manifeste, souvent sans autre indication.

XMRig est un mineur CPU/GPU pour la cryptomonnaie Monero. Les signes typiques sont des pics CPU/GPU, un ventilateur bruyant, et la présence d’un fichier config.json ou d’arguments –algo, –url, –user. La persistance peut être rudimentaire (Run/RunOnce) ou avancée (WMI, services masqués, tâches à intervalle aléatoire).

Points d’exécution Windows à vérifier (check‑list)

Emplacement	Ce qu’on cherche	Exemple de commande
HKCU/HKLM\…\Run et RunOnce	Valeurs pointant vers AutoIt/XMRig, dossiers temporaires, noms aléatoires	reg query HKCU\...\Run /s
Planificateur de tâches	Tâches déclenchant un binaire anonyme ou AutoIt3.exe	Get-ScheduledTask | ? { $_.TaskName -match "auto|wthtruh" }
WMI (root\subscription)	Abonnements __EventFilter + CommandLineEventConsumer	Get-CimInstance ... __FilterToConsumerBinding
Services	Services récents au binaire inconnu, démarrage auto	Get-Service | ? { $_.DisplayName -match "update|svc" }
Dossiers système	Fichiers datés récemment dans ProgramData, AppData, Temp	dir /a /t:w C:\ProgramData
Flux alternatifs (ADS)	Fichiers cachés dans des flux NTFS	powershell Get-Item -Path . -Stream *

Procédure détaillée de remédiation (référence)

1. Isoler la machine : couper le Wi‑Fi/ethernet pour empêcher le mineur de se reconnecter aux pools.
2. Créer un point de restauration : sysdm.cpl ▸ Protection du système ▸ Créer.
3. Exécuter FRST ▸ Scan ▸ sauvegarder FRST.txt et Addition.txt.
4. Composer le fixlist en reprenant uniquement les entrées suspectes vues dans les journaux.
5. Lancer FRST ▸ Fix ▸ laisser le redémarrage se faire.
6. Analyse hors‑ligne Defender ▸ s’assurer qu’aucun résidu n’est actif au boot.
7. Double‑vérification avec Autoruns et un scanner de « seconde opinion ».
8. Réactiver/valider les services Windows (BITS, WU, DOSVC, USOSVC) et relancer une recherche de mises à jour.

Nettoyage complémentaire (si nécessaire)

powershell
# Réinitialisations réseau prudentes
netsh winsock reset
netsh int ip reset

# Purge de caches

ipconfig /flushdns
del /q /s "%TEMP%*.*" 2>NUL 

Validation : comment savoir que tout est rentré dans l’ordre ?

• Symptômes : la fenêtre « Run Script » ne réapparaît plus au démarrage ni lors des ouvertures de session.
• Performances : CPU/GPU au repos stables, absence de pics prolongés sans cause.
• Journalisation : Fixlog.txt signale le succès des suppressions et restaurations, aucun nouvel événement d’erreur dans Applications & Services Logs concernant AutoIt.
• Surveillance : Defender en mode temps réel, protection anti‑altération active, Cloud-delivered protection activée.

FAQ

Pourquoi utiliser FRST plutôt qu’un simple antivirus ?

Un antivirus excelle pour détecter/mettre en quarantaine des fichiers. FRST excelle pour cartographier la persistance (registre, tâches, services, WMI) et exécuter des corrections ciblées. Leur combinaison accélère un nettoyage complet.

Le fichier wthtruh a disparu, mais la fenêtre persiste. Normal ?

Oui. La tâche planifiée ou la clé Run peut survivre à la suppression du binaire ; Windows tente encore de lancer ce qui n’existe plus, d’où la pop‑up Run Script. La correction doit supprimer la tâche/clé, pas seulement le fichier.

Peut‑on supprimer « à la main » sans FRST ?

Parfois oui, mais attention aux WMI Event Subscriptions et aux tâches cachées. FRST centralise l’inventaire et réduit les oublis.

Que faire si l’outil refuse de supprimer un dossier ?

Redémarrer en Mode sans échec et relancer la correction. Sinon, identifier le verrou via Handle/Process Explorer et supprimer après arrêt du processus bloquant.

Renforcement (hardening) après incident

• Comptes : désactiver l’administrateur intégré ; utiliser un compte standard au quotidien.
• Navigateurs : réinitialiser, supprimer extensions non essentielles, activer l’isolation de site.
• PowerShell : désactiver l’exécution de scripts non signés si non nécessaire (Set-ExecutionPolicy RemoteSigned ou AllSigned).
• ASR (Attack Surface Reduction) : activer les règles bloquant l’exécution de scripts depuis dossiers utilisateur, si disponible.
• Contrôle des dossiers : maintenir Controlled Folder Access activé et minimiser les exceptions.
• Mises à jour : privilégier le canal stable, veille logicielle mensuelle.

Conclusion

La combinaison FRST + fixlist a permis d’éliminer le script AutoIt wthtruh et le mineur XMRig, de restaurer les services Windows et de supprimer les pop‑ups Run Script. En complétant par une analyse hors‑ligne Defender, un contrôle des points d’exécution (Autoruns) et une mise à jour régulière du système, vous pérennisez le nettoyage et réduisez la surface d’attaque. Conservez FRST.txt, Addition.txt et Fixlog.txt : ils constituent la preuve et la mémoire technique de l’intervention.