Tämä blogi on luotu tärkein ajatus mielessä selittää, miten voit poistaa NRSMiner virus tietokoneesta kokonaan.
Tärkein menetelmä, jonka kautta NRSMiner etenee on yleensä suoritettu kautta hyödyntää joka on tunnettu – Ikuinen Sininen. Tämän saman hyödyntää käytettiin vuonna 2017 WannaCry tartunnan puhkeaminen. Kaivosmies etenee järjestelmiä haavoittuvia verkkoon, kun se toimii, se on ensimmäinen infektio, mutta hyvä uutinen on, että se vain hyökkää paikattu tietokoneissa.
Toistaiseksi F-Securen haittaohjelma-tutkijat ovat raportoineet niiden analysointi seuraavassa tärkeimmät kaksi menetelmiä, joiden avulla tietokone voi saada tartunnan kanssa NRSMiner:
- Kautta ladata päivityksen moduulin kautta järjestelmän, joka on jo vaarantunut edellisen version NRSMiner malware.
- Kautta tarttumasta järjestelmä samalla, että intranet ei ole MS17-010 laastari vastaan Ikuinen Sininen hyödyntää. Infektio voi esiintyä jo tartunnan laite.
Tärkein infektio toimintaa tämän miner on, että se tarkistaa ensin, mutex ({502CBAF5-55E5-F190-16321A4}) nähdä, jos kaivosmies on jo tartunnan uhrin TIETOKONEESEEN, ennen kuin ja jos näin on, kaivosmies malware ei toimi. Jos ei kuitenkaan kaivosmies laskee ja suorittaa seuraavat tärkeimmät haitallisen tiedoston:
Kerran kun tämä on tehty, kaivosmies voi poimia eri tiedostoja sen resurssit, erityisesti seuraavat tiedostot;
Tiedostoja voi olla päinvastainen sijainti, mutta ne yleensä sijaitsevat joko sysWOW64 tai system32. Kun ottaa pudotti tiedostoja, NRSMiner kopioi tietoja CreationTime ja LastAccessTime ja LastWriteTime ominaisuuksia järjestelmästä prosessi svchost.exe ja päivitykset ominaisuuksia MarsTraceDiagnostics.xml ja snmpstorsrv.dll tiedostoja.
Vihdoin, WUDHostUpdate.exe haitallisen tiedoston asentaa snmpstorsrv ja snmpstorsrv.dll joka on rekisteröity servicedll. Lopuksi virus-itse poistaa.
Te-hiljattain tehty prosessi, jota kutsutaan Snmpstorsrv.dll alkaa seuraavat Windows pääkäyttäjän komennon:
Kun alkoi, tiedosto suorittaa seuraavat ilkeä tietokoneen toimissa:
- Lähettää tiedot Prosessori.
- Lähettää järjestelmän tiedot.
- Avaa portti 60153.
- Luo MgmtFilterShim.ini
- Toimii Wininit.exe
- Suosio Updater
- Otteita C&C ja Miner kokoonpano
- Poistaa vanhemmat versiot.
- Tarkistaa moduuli päivitykset.
- Toimii uuden kaivosmies.
Palvelun ensinnäkin kutee tiedosto, nimeltään MgmtFilterShim.ini in %systemroot%system32 - kansioon, kirjoittaa ”+” arvo se ja sitten muokkaa sen CreationTime, LastAccessTime ja LastWritetime ominaisuudet samat kuin ne, in svchost.exe.
Virus käyttää seuraavia verkkotunnuksia päivittää itsensä ja välittää tiedot:
Lisäksi tonni, kaivosmies suorittaa TurstedHostex.exe prosessi ja se yhdistää seuraavat sivustot, jossa lähes kaikki järjestelmän ja verkon tietoja tartunnan saaneen tietokoneen on vuotanut:
Kun virus ottaa huomioon prosessori uhrin TIETOKONEEN, se sitten kirjoittaa alas useita erityyppisiä tiedostoja, nimeltään x86.dll ja x64.dll vuonna %AppDiagnostics% – hakemistoon. Prosessit saada ruiskutetaan kautta Wininit.exe tiedosto sass.exe kautta spoolsv.exe virus asennettu aiemmin aloittaa kaivostoiminta cryptocurrencies.
Kaivosmies osa NRSMiner käyttää XMRig Monero CPU miner jotta voidaan luoda Monero kuponkia. Se toimii kaivosmies seuraavat komennot
Tänä aikana, tietokone uhri alkaa hidastua ja voi jäätyä hyvin usein.
Toinen ja enemmän suositellaan poisto-menetelmä on, jos et noudata jälkimmäinen vaiheet poistaa NRSMiner skannaamalla meidän PC jossa on advanced anti-malware ohjelma, joka tunnistaa ja poistaa kaikki liittyvät tiedostot ja esineitä, jotka liittyvät NRSMiner tietokoneeseen. Meillä on sinulle tiedän, että tämä on proffered valinnan mukaan tietoturva-asiantuntijat, koska ei vain haittaohjelmien tiedostot ja esineet on poistettu, mutta myös tietokone on suojattu useimpia ilkeä tiedostoja ja häiritseviä esineitä myös tulevaisuudessa.
Varoitus, useita anti-virus skannereita on havaittu mahdollinen haittaohjelma NRSMiner.
| Anti-virus ohjelmisto | Versio | Havaitseminen |
|---|---|---|
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
NRSMiner käyttäytymistä
- Hidastaa internet-yhteys
- NRSMiner osoittaa kaupalliset ilmoitukset
- Varastaa tai käyttää luottamuksellisia tietoja
- Muuttaa käyttäjän kotisivulla
- Yhteinen NRSMiner käyttäytymistä ja muita tekstin emplaining som info liittyvät käyttäytymistä
- Selaimen ohjaaminen tartunnan sivujen.
- Asentaa itsensä ilman käyttöoikeudet
- Integroi selaimen kautta NRSMiner selainlaajennus
NRSMiner suorittaa Windows OS-versiolla
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
NRSMiner maantiede
Poistaa NRSMiner Windows
Poista NRSMiner Windows XP:
- Klikkaa Käynnistä -valikkoon.
- Valitse Ohjauspaneeli ja valitsemalla Lisää tai poista sovellus.
- Valita ja poistaa ohjelman.
Poista NRSMiner sinun Windows 7 ja Vista:
- Avaa Käynnistä -valikko ja valitse Ohjauspaneeli.
- Siirry Poista ohjelman asennus
- Napsauta hiiren kakkospainikkeella ei-toivottuja app ja valita Poista.
Poista NRSMiner Windows 8 ja 8.1:
- Napsauta vasemmassa alakulmassa ja valitse Ohjauspaneeli.
- Valitse Poista ohjelman asennus ja Napsauta ei-toivottuja app.
- Valitse Poista .
Poista NRSMiner Your selaimilta
NRSMiner Varastosta Internet Explorer
- Napsauta rataskuvaketta ja valitse Internet-asetukset.
- Mene Lisäasetukset -välilehti ja valitse Palauta.
- Tarkista, Poista henkilökohtaiset asetukset ja valitse Palauta uudelleen.
- Valitse Sulje ja valitse OK.
- Mene takaisin rataskuvaketta, valitse Lisäosien hallinta → Työkalurivit ja laajennuksetja poista tarpeettomat laajennuksia.
- Siirry Hakupalvelut ja valitse uusi oletuksena hakukone
Poistaa NRSMiner Mozilla Firefox
- Kirjoita URL-osoite -kenttään "about:addons".
- Siirry laajennukset ja Poista Epäilyttävät selainlaajennukset
- Valitse valikosta kysymysmerkki ja avaa Firefox ohje. Klikkaa Päivitä-Firefox painike ja valitse Päivitä Firefox vahvistamaan.
Lopettaa NRSMiner Chrome
- Kirjoita "chrome://extensions" osoitekenttään ja paina Enter.
- Lopettaa epäluotettavia selaimen laajennukset
- Käynnistä Google Chrome.
- Avaa Chrome-valikko, valitse asetukset → Näytä Lisäasetukset asetukset, valitse Palauta selaimen asetukset ja valitse Palauta (valinnainen).