Este blog foi criado com a principal ideia em mente para explicar como você pode remover o NRSMiner vírus de seu computador completamente.
O principal método através do qual o NRSMiner propaga é geralmente realizada através de um exploit, que é bem conhecido – Eterno Azul. Este mesmo exploit foi usado em 2017 WannaCry surto de infecção. O mineiro se propaga sistemas de uma rede vulnerável depois de executa-lo da primeira infecção, mas a boa notícia é que ele só ataca computadores patched.
Até agora, a F-Secure pesquisadores de malware relataram em suas análises os seguintes dois métodos pelos quais um computador pode ser infectado com NRSMiner:
- Através do download de uma atualização do módulo, através de um sistema que já foi comprometida por uma versão anterior do NRSMiner de malware.
- Através de infectar um sistema, da mesma intranet, que não tem o MS17-010 patch contra o Eterno Azul explorar. A infecção pode ocorrer a partir de um já infectado dispositivo.
A principal infecção atividade do mineiro é que ele primeiro verifica um mutex ({502CBAF5-55E5-F190-16321A4}) para ver se o mineiro já infectou o PC vítima antes e, em caso afirmativo, o mineiro de malware não é executado. Se não, no entanto, o mineiro desce e é executado, os seguintes arquivos maliciosos:
Uma vez tendo feito isso, o mineiro poderá extrair os arquivos diferentes do que é recursos, mais especificamente, os seguintes arquivos;
Os ficheiros podem ter o oposto do local, mas eles geralmente estão localizados no sysWOW64 ou system32. Depois de ter deixado cair os arquivos, NRSMiner cópias de dados de CreationTime e LastAccessTime e LastWriteTime propriedades do sistema o processo de svchost.exe e atualizações de propriedades para MarsTraceDiagnostics.xml e snmpstorsrv.dll ficheiros.
Na última, a WUDHostUpdate.exe arquivo malicioso se instala o snmpstorsrv e snmpstorsrv.dll qual é registado como servicedll. Finalmente o arquivo de vírus auto-exclui.
Te recém-feitas processo, chamado de Snmpstorsrv.dll começa com a seguinte Windows de comando de administrador:
Quando iniciado, o arquivo executa as seguintes atividades maliciosas em seu computador:
- Envia dados do Processador.
- Envia informações de sistema.
- Abre a porta 60153.
- Cria MgmtFilterShim.ini
- Corre Wininit.exe
- Downloads Updater
- Extratos de C&C e Mineiro de configuração
- Exclui versões mais antigas.
- Verifica módulo de atualizações.
- Com a nova mineiro.
O serviço em primeiro lugar, gera um arquivo chamado MgmtFilterShim.ini na pasta %systemroot%system32 pasta, escreve o “+” valor e, em seguida, modifica sua CreationTime, LastAccessTime e LastWritetime propriedades mesmos que os svchost.exe.
O vírus utiliza os seguintes domínios para atualizar-se e de retransmissão de informações:
Além disso tonelada isso, o mineiro executa o TurstedHostex.exe processo e liga-se aos seguintes locais, onde quase todo o sistema e informações de rede do computador infectado é transmitido:
Quando o vírus leva em conta o processador do PC vítima, em seguida, ele escreve vários tipos diferentes de arquivos, chamado de x86.dll e x64.dll em %AppDiagnostics% directory. Os processos são injetadas através de Wininit.exe em ficheiro sass.exe via spoolsv.exe backdoor instalado anteriormente para começar a mineração para cryptocurrencies.
O mineiro componente de NRSMiner usa o XMRig Monero CPU mineiro, a fim de gerar Monero tokens. Corre-se o mineiro com os seguintes comandos
Durante este tempo, o computador da vítima começa a diminuir e pode congelar muito frequentemente.
Outro e mais recomendado de remoção de método é que se você seguir os últimos passos para remover o NRSMiner por digitalização nosso PC com um avançado programa anti-malware, que irá detectar e remover todos os arquivos associados e objetos que estão relacionados com NRSMiner no seu computador. Você terá de saber que este é o proposto escolha por especialistas em segurança, porque não só os arquivos de malware e objetos são excluídos, mas também o seu computador estará protegido contra a maioria dos arquivos maliciosos e intrusiva objetos também no futuro.
Atenção, vários scanners antivírus detectaram possível malware em NRSMiner.
| Software anti-vírus | Versão | Deteção |
|---|---|---|
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Dr.Web | Adware.Searcher.2467 | |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
Comportamento de NRSMiner
- Modifica o Desktop e as configurações do navegador.
- Comportamento comum de NRSMiner e alguns outra texto emplaining som informação relacionados ao comportamento
- Distribui-se por meio de pay-per-install ou é empacotado com software de terceiros.
- Instala-se sem permissões
- NRSMiner se conecta à internet sem a sua permissão
- Rouba ou usa seus dados confidenciais
- NRSMiner desativa o Software de segurança instalado.
- Altera a página inicial do usuário
- Programas de segurança falsos alertas, pop-ups e anúncios.
- Redirecione o navegador para páginas infectadas.
- Retarda a conexão com a internet
- NRSMiner mostra anúncios comerciais
- Integra no navegador da web através da extensão do navegador de NRSMiner
NRSMiner efetuado versões de sistema operacional Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia de NRSMiner
Eliminar NRSMiner do Windows
Exclua NRSMiner de Windows XP:
- Clique em Iniciar para abrir o menu.
- Selecione Painel de controle e vá para Adicionar ou remover programas.
- Escolher e remover o programa indesejado.
Remover NRSMiner do seu Windows 7 e Vista:
- Abra o menu Iniciar e selecione Painel de controle.
- Mover para desinstalar um programa
- Botão direito do mouse sobre o app indesejado e escolha desinstalar.
Apagar NRSMiner de Windows 8 e 8.1:
- Botão direito do mouse sobre o canto inferior esquerdo e selecione Painel de controle.
- Escolha desinstalar um programa e com o botão direito sobre o app indesejado.
- Clique em desinstalar .
Excluir NRSMiner de seus navegadores
NRSMiner Remoção de Internet Explorer
- Clique no ícone de engrenagem e selecione Opções da Internet.
- Vá para a aba avançado e clique em Redefinir.
- Verifique excluir configurações pessoais e clique em Redefinir novamente.
- Clique em fechar e selecione Okey.
- Voltar para o ícone de engrenagem, escolha Gerenciar Complementos → barras de ferramentas e extensõese delete indesejados extensões.
- Vá para Provedores de pesquisa e escolher um novo padrão de pesquisa
Apagar NRSMiner da Mozilla Firefox
- Digite "about:addons" no campo de URL .
- Vá para extensões e excluir extensões do navegador suspeito
- Clique sobre o menu, clique no ponto de interrogação e abrir a ajuda do Firefox. Clique sobre o botão Firefox actualizar e selecione Atualizar Firefox para confirmar.
Encerrar NRSMiner de Chrome
- Digite "chrome://extensions" no campo URL e toque em Enter.
- Encerrar o navegador confiável extensões
- Google Chrome reiniciar .
- Abra o menu Chrome, clique em configurações → Show advanced settings, selecione Redefinir as configurações do navegador e clique em redefinir (opcional).