Ce blog a été créé avec l’idée principale à l’esprit pour expliquer comment vous pouvez supprimer le NRSMiner virus à partir de votre ordinateur complètement.
La principale méthode par laquelle le NRSMiner se propage est généralement effectuée par l’intermédiaire d’un exploit qui est bien connu – Bleu Éternel. Ce même exploit a été utilisé en 2017 WannaCry épidémie de l’infection. Le mineur se propage systèmes d’un réseau vulnérables après il effectue sa première infection, mais la bonne nouvelle, c’est qu’il ne les attaques patché ordinateurs.
Jusqu’à présent, F-Secure malware chercheurs ont rapporté dans leur analyse, les principales sont les deux méthodes par lesquelles un ordinateur peut être infecté par des NRSMiner:
- Via le téléchargement d’une mise à jour du module par l’intermédiaire d’un système qui a déjà été compromise par une version précédente de la NRSMiner logiciels malveillants.
- Via infecter un système dans le même intranet qui n’a pas de MS17-010 patch contre l’Éternel Bleu exploiter. L’infection peut se produire à partir d’un déjà infectés par le virus de l’appareil.
La principale infection de l’activité de ce mineur est qu’il vérifie tout d’abord un mutex ({502CBAF5-55E5-F190-16321A4}) pour voir si le mineur a déjà infecté le PC de la victime avant et si oui, le mineur de logiciels malveillants n’est pas exécuté. Si ce n’toutefois, le mineur gouttes et exécute principal fichier malveillant:
Une fois cela fait, le mineur peut extraire les différents fichiers à partir de ses ressources, plus précisément, les fichiers suivants;
Les fichiers peuvent à l’inverse de l’emplacement, mais ils sont généralement situés dans sysWOW64 ou system32. Une fois avoir déposé les fichiers, NRSMiner la copie des données de CreationTime et lastaccesstime n’ , et LastWriteTime propriétés dans le processus de système svchost.exe et les propriétés de mises à jour pour MarsTraceDiagnostics.xml et snmpstorsrv.dll les fichiers.
Enfin, l’ WUDHostUpdate.exe les fichiers malveillants installe le snmpstorsrv et snmpstorsrv.dll qui est enregistré comme servicedll. Enfin, le virus de fichiers auto-supprime.
Te de nouveaux processus, appelé Snmpstorsrv.dll commence par celui-ci Windows administrateur la commande:
Lors du démarrage, le fichier effectue les opérations suivantes activités malveillantes sur votre ordinateur:
- Envoie Processeur de données.
- Envoie les informations système.
- Ouvre le port 60153.
- Crée MgmtFilterShim.ini
- Fonctionne Wininit.exe
- Téléchargements De Mise À Jour
- Extraits de C&C et Mineur de configuration
- Supprime les anciennes versions.
- Vérifie les mises à jour du module.
- Exécute le nouveau mineur.
Le service tout d’abord génère un fichier, appelé MgmtFilterShim.ini dans le dossier %systemroot%system32 dossier, écrit le « + » de valeur en elle et modifie ses CreationTime, lastaccesstime n’ , et LastWritetime propriétés mêmes que celles de la svchost.exe.
Le virus utilise les domaines suivants pour mettre à jour lui-même, et à relayer l’information:
En outre tonne de cette, le mineur exécute la TurstedHostex.exe processus et il se connecte à l’un des sites suivants, où la quasi-totalité du système et les informations de réseau de l’ordinateur infecté est une fuite:
Lorsque le virus prend en compte le processeur de le PC de la victime, il écrit ensuite plusieurs différents types de fichiers, appelé x86.dll et x64.dll dans l’ %AppDiagnostics% répertoire. Les processus sont injectés via Wininit.exe fichier dans sass.exe via le spoolsv.exe backdoor installé plus tôt pour commencer à creuser pour les cryptocurrencies.
Le mineur composant de NRSMiner utilise le XMRig Monero CPU mineur dans le but de générer Monero jetons. Il exécute le mineur avec les commandes suivantes
Pendant ce temps, l’ordinateur de la victime commence à ralentir et peut se figer très souvent.
Un autre et plus recommandé la suppression de la méthode est que si vous suivez les dernières étapes pour supprimer le NRSMiner par la numérisation de notre PC avec une avancée d’anti-programme malveillant, qui permet de détecter et de supprimer tous les fichiers associés et des objets qui sont liés à NRSMiner sur votre ordinateur. Nous vous ferons savoir que c’est le choix offerte par les experts en sécurité, car non seulement les fichiers malveillants et les objets sont supprimés, mais aussi votre ordinateur sera protégé contre la plupart des fichiers malveillants et l’intrusion d’objets dans le futur.
Attention, plusieurs analyseurs antivirus ont détecté malware possible dans NRSMiner.
| Un logiciel anti-virus | Version | Détection |
|---|---|---|
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Comportement de NRSMiner
- Vole ou utilise vos données confidentielles
- Spectacles fausses alertes de sécurité, des pop-ups et des annonces.
- Comportement commun de NRSMiner et quelques autre emplaining som info texte lié au comportement
- Modifie le bureau et les paramètres du navigateur.
- Se distribue par le biais de pay-per-install ou est livré avec des logiciels tiers.
- Rediriger votre navigateur vers des pages infectées.
NRSMiner a effectué les versions de système d'exploitation Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Géographie de NRSMiner
Éliminer NRSMiner de Windows
Supprimer NRSMiner de Windows XP :
- Cliquez sur Démarrer pour ouvrir le menu.
- Sélectionnez le Panneau de commande et accédez à Ajout / suppression de programmes.
- Sélectionnez et supprimez le programme indésirable.
Retirer NRSMiner de votre Windows 7 et Vista :
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration.
- Se déplacer à désinstaller un programme
- Faites un clic droit sur l'app indésirable et choisissez désinstaller.
Effacer NRSMiner de Windows 8 et 8.1 :
- Faites un clic droit sur le coin inférieur gauche et sélectionnez Panneau de configuration.
- Choisir de désinstaller un programme et faites un clic droit sur l'application non désirée.
- Cliquez sur désinstaller .
Delete NRSMiner depuis votre navigateur
NRSMiner Suppression de Internet Explorer
- Cliquez sur l' icône d'engrenage et sélectionnez Options Internet.
- Allez dans l'onglet avancé , puis cliquez sur Réinitialiser.
- Vérifiez Supprimer les paramètres personnels et cliquez de nouveau sur Réinitialiser .
- Cliquez sur Fermer et cliquez sur OK.
- Revenir à l' icône d'engrenage, choisissez gérer Add-ons → barres d'outils et Extensionset supprimer les indésirables des extensions.
- Allez dans Les moteurs de recherche et choisissez un nouveau moteur de recherche de défaut
Effacer NRSMiner de Mozilla Firefox
- Tapez "about:addons" dans le champ URL .
- Allez aux Extensions et supprimer les extensions du navigateur suspectes
- Cliquez sur le menu, cliquez sur point d'interrogation et ouvrez l'aide de Firefox. Cliquez sur rafraîchissement Firefox bouton et sélectionnez Actualiser Firefox pour confirmer.
Terminez NRSMiner de Chrome
- Tapez "chrome://extensions" dans le champ URL et appuyez sur entrée.
- Résilier les extensions du navigateur peu fiables
- Redémarrez Google Chrome.
- Ouvrez le menu Chrome, cliquez sur paramètres → paramètres de Show advanced, sélectionnez rétablir les paramètres de navigateur et cliquez sur Reset (en option).