Pop‑up « Run Script » à répétition, exécutable AutoIt introuvable et mineur XMRig : ce guide pas‑à‑pas montre comment diagnostiquer, nettoyer puis durcir Windows avec FRST et Microsoft Defender, sans réinstaller.
Problématique
Un poste Windows affiche de manière aléatoire une fenêtre Run Script. L’analyse met en cause un exécutable AutoIt baptisé wthtruh, invisible dans l’arborescence même en affichant les fichiers cachés. Microsoft Defender a neutralisé une partie de l’infection, mais le processus réapparaît au démarrage. La persistance est assurée via des points d’exécution (clés Run/RunOnce, tâches planifiées, services altérés), et un mineur XMRig a été identifié dans les journaux.
Pourquoi l’exécutable est « introuvable » ?
- Emplacements furtifs :
%ProgramData%,%AppData%,%Temp%, sous‑dossiers à nom aléatoire. - Attributs : fichiers marqués Hidden/System ou protégés par l’option « Masquer les fichiers protégés du système d’exploitation ».
- Flux alternatifs (ADS) : stockage dans un flux NTFS (
nom:flux), non listé par undirclassique. - Suppression partielle : Defender retire le binaire principal mais laisse la tâche ou la clé qui tente encore de lancer le script, d’où la fenêtre Run Script.
Diagnostic
La stratégie gagnante consiste à inventorier les points d’exécution et éléments suspects, puis à corriger de façon atomique.
| Étape | Outil / Action | But |
|---|---|---|
| 1 | FRST (Farbar Recovery Scan Tool) – exécution d’un Scan | Recenser fichiers, services, tâches planifiées et clés de registre suspects. |
| 2 | Partage des fichiers FRST.txt et Addition.txt | Permettre la rédaction d’un script de correction (fixlist) adapté au poste. |
| 3 | Vérification manuelle des logs | Confirmer la présence du script AutoIt wthtruh et du mineur XMRig, relever les points de persistance. |
Indices à rechercher dans les journaux FRST
- Clés
HKCU\Software\Microsoft\Windows\CurrentVersion\RunetHKLM\...\Runpointant vers wthtruh ou un exécutable anonyme dans%ProgramData%/%AppData%. - Tâches planifiées dont le TaskName évoque une mise à jour système générique (ex. UpdateSvc, Maintenance, Intel, AMD), déclenchant
AutoIt3.exeou un binaire inconnu. - Services récemment créés (Service Control Manager), traces d’échec de script AutoIt (Run Script) dans l’Observateur d’événements.
- Présence de
xmrig.exe,config.jsonou d’arguments liés au minage (algo, pool, wallet) dans les lignes de commande.
Commandes d’appoint pour confirmer
powershell
# Processus évidents
Get-Process | Where-Object { $_.ProcessName -match 'autoit|xmrig|wthtruh' } |
Select-Object ProcessName, Id, Path
# Tâches planifiées suspectes
Get-ScheduledTask | Where-Object { $_.TaskName -match 'auto|script|xmrig|update|wthtruh' } |
Select-Object TaskName, State, TaskPath
# Exécutions au démarrage
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /s
reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /s
# WMI persistant (si WMIC absent, utiliser CIM)
Get-CimInstance -Namespace root\subscription -ClassName __EventFilter
Get-CimInstance -Namespace root\subscription -ClassName CommandLineEventConsumer
Get-CimInstance -Namespace root\subscription -ClassName __FilterToConsumerBinding Traitement appliqué
- Désinstaller Web Companion (PUP souvent co‑installé). Ouvrez Applications > Applications installées, recherchez « Web Companion », puis Désinstaller.
- Préparer l’environnement
- Créer un Point de restauration et fermer les applications.
- Télécharger FRST64.exe sur le Bureau et lancer un Scan si ce n’est pas déjà fait.
- Copier FRST.txt et Addition.txt pour archivage.
- Rédiger et déposer
fixlist.txtdans le même dossier queFRST64.exe(ex. Bureau). - Lancer “Fix” depuis FRST : l’outil redémarre le PC, supprime les fichiers AutoIt & XMRig, purge clés Run/RunOnce, tâches planifiées et réinitialise des services Windows altérés.
- Analyser
Fixlog.txt: vérifier que chaque entrée planned est marquée successfully deleted/restored. Conserver le journal.
Important : un fixlist doit être personnalisé à partir des journaux FRST de la machine. Ne copiez pas un script trouvé au hasard ; des suppressions inadaptées peuvent casser le système (explorateur, réseau, mises à jour).
Exemple d’ossature de fixlist.txt (à adapter)
Start::
CreateRestorePoint:
CloseProcesses:
# Purge des clés Run/RunOnce
HKCU...\Run: [wthtruh] <==== ATTENTION
HKLM...\Run: [wthtruh] <==== ATTENTION
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "wthtruh" /f
Reg: reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "wthtruh" /f
# Tâches planifiées
Task: {GUID-SUSPECT} <==== ATTENTION
C:\Windows\System32\Tasks\Microsoft\Windows\wthtruh <==== ATTENTION
CMD: schtasks /Delete /TN "\Microsoft\Windows\wthtruh\Update" /F
# WMI persistance
CMD: powershell -NoP -C "Get-CimInstance -Namespace root\subscription __FilterToConsumerBinding |
Where-Object { $_.Filter -match 'wthtruh|autoit|xmrig' } | Remove-CimInstance"
# Fichiers / dossiers
C:\ProgramData\wthtruh <==== ATTENTION
C:\Users\Public\wthtruh.exe <==== ATTENTION
C:\Users%username%\AppData\Roaming\xmrig\ <==== ATTENTION
DeleteFile: C:\Users\Public\wthtruh.exe
DeleteFolder: C:\ProgramData\wthtruh
DeleteFolder: C:\Users%username%\AppData\Roaming\xmrig
# Services nuisibles (exemple : nommés xmrig)
CMD: sc stop xmrig
CMD: sc delete xmrig
# Nettoyage réseau & planificateur
CMD: ipconfig /flushdns
CMD: del /f /q "%WINDIR%\System32\Tasks**wthtruh*.*"
EmptyTemp:
End:: Adaptez uniquement les lignes qui existent dans vos journaux. Chaque ligne marquée <==== ATTENTION doit correspondre à une réalité observée dans FRST.txt / Addition.txt.
Contrôles post‑nettoyage
Services essentiels
powershell
gsv BITS, dosvc, usosvc, wuauserv | ft -auto Name, DisplayName, StartType, Status
Les services Windows Update (wuauserv), BITS, Delivery Optimization (dosvc) et Usage Service (usosvc) doivent être en Manual ou Automatic, statut Running. Si l’un d’eux est Disabled ou Stopped sans raison, réactivez‑le :
powershell
Set-Service -Name wuauserv -StartupType Manual
Start-Service -Name wuauserv
Absence de persistance
- Aucune tâche planifiée résiduelle :
Get-ScheduledTaskne doit plus renvoyer d’entrée liée à wthtruh/AutoIt/XMRig. - Clés Run/RunOnce propres :
reg queryne doit pas mentionner wthtruh. - Plus de pop‑up « Run Script » lors d’un redémarrage à froid.
Journal de correction
Ouvrez Fixlog.txt. Les sections relatives aux suppressions doivent indiquer un succès. Archivez ce fichier avec FRST.txt et Addition.txt pour traçabilité.
Informations et bonnes pratiques complémentaires
| Mesure | Pourquoi / Comment |
|---|---|
| Analyse hors‑ligne Defender (Windows Security ▸ Virus & threat protection ▸ Microsoft Defender Offline scan) | Détecte les menaces dissimulées qui se protègent en mémoire. Redémarre dans un environnement stérile et scanne avant le chargement des points de persistance. |
| Autoruns (Sysinternals) | Liste tous les emplacements d’exécution : démarrage, services, tâches, modules Explorer, WMI. Cochez Hide Microsoft entries pour révéler l’inconnu, puis désactivez/supprimez les entrées non légitimes. |
| Scan « seconde opinion » Malwarebytes, ESET Online Scanner | Complète Defender pour les PUP/adwares et familles de mineurs. Lancer après FRST pour vérifier l’absence de restes. |
| Mises à jour Windows & logiciels | Corrige les vulnérabilités : OS, navigateurs, Java, .NET, pilotes. Un mineur utilise souvent une faille non corrigée. |
| Sauvegarde système | Créer un point de restauration et une image système une fois sain. Conserver hors ligne (disque externe). |
| Sensibilisation | Éviter cracks, pièces jointes non sollicitées, downloaders agressifs. Préférer les sources officielles. |
| Controlled Folder Access (Defender ▸ Ransomware protection) | Empêche des exécutables non approuvés de modifier Documents, Pictures, etc. Ajouter uniquement des listes blanches indispensables. |
Comprendre le duo AutoIt & XMRig
AutoIt est un langage de script Windows. Des acteurs malveillants compilent des scripts en exécutables pour automatiser la persistance (copie, création de tâches, modifications du registre). Quand le binaire ou son script associé disparaît mais que la tâche subsiste, Windows tente encore de l’exécuter : la boîte Run Script se manifeste, souvent sans autre indication.
XMRig est un mineur CPU/GPU pour la cryptomonnaie Monero. Les signes typiques sont des pics CPU/GPU, un ventilateur bruyant, et la présence d’un fichier config.json ou d’arguments –algo, –url, –user. La persistance peut être rudimentaire (Run/RunOnce) ou avancée (WMI, services masqués, tâches à intervalle aléatoire).
Points d’exécution Windows à vérifier (check‑list)
| Emplacement | Ce qu’on cherche | Exemple de commande |
|---|---|---|
| HKCU/HKLM\…\Run et RunOnce | Valeurs pointant vers AutoIt/XMRig, dossiers temporaires, noms aléatoires | reg query HKCU\...\Run /s |
| Planificateur de tâches | Tâches déclenchant un binaire anonyme ou AutoIt3.exe | Get-ScheduledTask | ? { $_.TaskName -match "auto|wthtruh" } |
| WMI (root\subscription) | Abonnements __EventFilter + CommandLineEventConsumer | Get-CimInstance ... __FilterToConsumerBinding |
| Services | Services récents au binaire inconnu, démarrage auto | Get-Service | ? { $_.DisplayName -match "update|svc" } |
| Dossiers système | Fichiers datés récemment dans ProgramData, AppData, Temp | dir /a /t:w C:\ProgramData |
| Flux alternatifs (ADS) | Fichiers cachés dans des flux NTFS | powershell Get-Item -Path . -Stream * |
Procédure détaillée de remédiation (référence)
- Isoler la machine : couper le Wi‑Fi/ethernet pour empêcher le mineur de se reconnecter aux pools.
- Créer un point de restauration : sysdm.cpl ▸ Protection du système ▸ Créer.
- Exécuter FRST ▸ Scan ▸ sauvegarder FRST.txt et Addition.txt.
- Composer le fixlist en reprenant uniquement les entrées suspectes vues dans les journaux.
- Lancer FRST ▸ Fix ▸ laisser le redémarrage se faire.
- Analyse hors‑ligne Defender ▸ s’assurer qu’aucun résidu n’est actif au boot.
- Double‑vérification avec Autoruns et un scanner de « seconde opinion ».
- Réactiver/valider les services Windows (BITS, WU, DOSVC, USOSVC) et relancer une recherche de mises à jour.
Nettoyage complémentaire (si nécessaire)
powershell
# Réinitialisations réseau prudentes
netsh winsock reset
netsh int ip reset
# Purge de caches
ipconfig /flushdns
del /q /s "%TEMP%*.*" 2>NUL Validation : comment savoir que tout est rentré dans l’ordre ?
- Symptômes : la fenêtre « Run Script » ne réapparaît plus au démarrage ni lors des ouvertures de session.
- Performances : CPU/GPU au repos stables, absence de pics prolongés sans cause.
- Journalisation :
Fixlog.txtsignale le succès des suppressions et restaurations, aucun nouvel événement d’erreur dans Applications & Services Logs concernant AutoIt. - Surveillance : Defender en mode temps réel, protection anti‑altération active, Cloud-delivered protection activée.
FAQ
Pourquoi utiliser FRST plutôt qu’un simple antivirus ?
Un antivirus excelle pour détecter/mettre en quarantaine des fichiers. FRST excelle pour cartographier la persistance (registre, tâches, services, WMI) et exécuter des corrections ciblées. Leur combinaison accélère un nettoyage complet.
Le fichier wthtruh a disparu, mais la fenêtre persiste. Normal ?
Oui. La tâche planifiée ou la clé Run peut survivre à la suppression du binaire ; Windows tente encore de lancer ce qui n’existe plus, d’où la pop‑up Run Script. La correction doit supprimer la tâche/clé, pas seulement le fichier.
Peut‑on supprimer « à la main » sans FRST ?
Parfois oui, mais attention aux WMI Event Subscriptions et aux tâches cachées. FRST centralise l’inventaire et réduit les oublis.
Que faire si l’outil refuse de supprimer un dossier ?
Redémarrer en Mode sans échec et relancer la correction. Sinon, identifier le verrou via Handle/Process Explorer et supprimer après arrêt du processus bloquant.
Renforcement (hardening) après incident
- Comptes : désactiver l’administrateur intégré ; utiliser un compte standard au quotidien.
- Navigateurs : réinitialiser, supprimer extensions non essentielles, activer l’isolation de site.
- PowerShell : désactiver l’exécution de scripts non signés si non nécessaire (
Set-ExecutionPolicy RemoteSignedouAllSigned). - ASR (Attack Surface Reduction) : activer les règles bloquant l’exécution de scripts depuis dossiers utilisateur, si disponible.
- Contrôle des dossiers : maintenir Controlled Folder Access activé et minimiser les exceptions.
- Mises à jour : privilégier le canal stable, veille logicielle mensuelle.
Conclusion
La combinaison FRST + fixlist a permis d’éliminer le script AutoIt wthtruh et le mineur XMRig, de restaurer les services Windows et de supprimer les pop‑ups Run Script. En complétant par une analyse hors‑ligne Defender, un contrôle des points d’exécution (Autoruns) et une mise à jour régulière du système, vous pérennisez le nettoyage et réduisez la surface d’attaque. Conservez FRST.txt, Addition.txt et Fixlog.txt : ils constituent la preuve et la mémoire technique de l’intervention.