Questo post del blog è stato creato con l’idea in mente per spiegare come è possibile rimuovere il NRSMiner virus dal computer completamente.
Il metodo principale attraverso il quale i NRSMiner propaga è di solito condotta tramite un exploit che è ben noto – Blu Eterna. Questo stesso exploit è stato utilizzato nel 2017 WannaCry focolaio di infezione. Il minatore si propaga sistemi vulnerabili rete dopo avere eseguito, è la prima infezione, ma la buona notizia è che non solo gli attacchi patch computer.
Finora, F-Secure malware i ricercatori hanno riferito, nella loro analisi, i seguenti due metodi con cui un computer può ottenere infettati con NRSMiner:
- Tramite il download di un modulo di aggiornamento attraverso un sistema che è già stato compromesso da una versione precedente del NRSMiner malware.
- Via infettare un sistema intranet che non hanno il MS17-010 patch contro gli Eterni Blu sfruttare. L’infezione può verificarsi già da un dispositivo infetto.
La principale infezione attività di questo minatore è che si verifica prima di un mutex ({502CBAF5-55E5-F190-16321A4}) per vedere se il minatore ha già infettato il PC della vittima prima e se è così, il minatore malware non viene eseguito. Se non tuttavia, il minatore scende e corre i seguenti file dannoso:
Una volta fatto questo, il minatore può estrarre il file diversi dalle risorse, più in particolare, i seguenti file;
Il file può avere l’opposta posizione, ma loro generalmente sono situati in sysWOW64 o system32. Dopo aver eliminato i file, NRSMiner copia i dati da CreationTime e LastAccessTime e LastWriteTime proprietà dal processo di sistema svchost.exe e gli aggiornamenti di proprietà per MarsTraceDiagnostics.xml e snmpstorsrv.dll i file.
In ultimo, il WUDHostUpdate.exe dannoso file installa snmpstorsrv e snmpstorsrv.dll che è registrato come servicedll. Infine il file del virus auto-elimina.
Te appena fatto il processo, chiamato Snmpstorsrv.dll inizia con la seguente Windows amministratore di comando:
Una volta avviato, il file esegue le seguenti attività dannose sul tuo computer:
- Invia un Processore di dati.
- Invia le informazioni di sistema.
- Apre la porta 60153.
- Crea MgmtFilterShim.ini
- Corre Wininit.exe
- Download Updater
- Estratti di C&C e Minatore di configurazione
- Elimina le vecchie versioni.
- Controlli per il modulo di aggiornamenti.
- Esegue le nuove minatore.
Il servizio in primo luogo genera un file, chiamato MgmtFilterShim.ini nella cartella %systemroot%system32 cartella, scrive il “+” valore in esso e quindi modifica i suoi CreationTime, LastAccessTime e LastWritetime proprietà come quelli in svchost.exe.
Il virus utilizza i seguenti domini per l’aggiornamento e per l’inoltro di informazioni:
Inoltre tonnellata questo, il minatore esegue il TurstedHostex.exe processo e si connette ai seguenti siti, dove la quasi totalità del sistema e le informazioni di rete del computer infetto è trapelato:
Quando il virus si prende in considerazione il processore del PC vittima e, poi, annota i diversi tipi di file, chiamato x86.dll e x64.dll in %AppDiagnostics% directory. I processi vengono iniettati per via Wininit.exe file in sass.exe via spoolsv.exe backdoor installata prima di iniziare il data mining per le cryptocurrencies.
Il minatore componente di NRSMiner utilizza il XMRig Monero CPU minatore, al fine di generare Monero gettoni. Si corre il minatore con i seguenti comandi
Durante questo tempo, il computer della vittima comincia a rallentare e si possono congelare molto spesso.
Un altro e più raccomandato metodo di rimozione è se si seguono questi passaggi per rimuovere il NRSMiner attraverso la scansione del nostro PC, con un avanzato programma anti-malware, in grado di rilevare e rimuovere tutti i file associati e gli oggetti correlati a NRSMiner sul tuo computer. Avremo sai che questa è l’offerta scelta da parte di esperti di sicurezza perché non è solo il file di malware e gli oggetti vengono eliminati, ma anche il vostro computer sarà protetto contro la maggior parte dei file dannosi e invadente oggetti anche in futuro.
Attenzione, più anti-virus scanner hanno rilevato malware possibili in NRSMiner.
| Software Anti-Virus | Versione | Rilevazione |
|---|---|---|
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
Comportamento di NRSMiner
- Cambia la pagina iniziale dell'utente
- NRSMiner spettacoli annunci commerciali
- Comportamento comune di NRSMiner e qualche altro testo emplaining som informazioni relative al comportamento
- Si installa senza autorizzazioni
- Reindirizzare il browser a pagine infette.
- Rallenta la connessione a internet
- Ruba o utilizza i vostri dati confidenziali
- NRSMiner disattiva il Software di sicurezza installati.
- Modifica le impostazioni Browser e Desktop.
NRSMiner effettuate versioni del sistema operativo Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia di NRSMiner
Eliminare NRSMiner da Windows
Elimina NRSMiner da Windows XP:
- Fare clic su Start per aprire il menu.
- Selezionare Pannello di controllo e vai a Aggiungi o Rimuovi programmi.
- Scegliere e rimuovere il programma indesiderato.
Rimuovi NRSMiner dal tuo Windows 7 e Vista:
- Aprire il menu Start e selezionare Pannello di controllo.
- Spostare Disinstalla un programma
- Pulsante destro del mouse sull'app indesiderato e scegliere Disinstalla.
Cancella NRSMiner da Windows 8 e 8.1:
- Pulsante destro del mouse sull'angolo inferiore sinistro e selezionare Pannello di controllo.
- Scegliere Disinstalla un programma e fare clic destro sull'applicazione indesiderata.
- Fare clic su disinstallare .
Eliminare NRSMiner dal tuo browser
NRSMiner Rimozione da Internet Explorer
- Fare clic sull' icona dell'ingranaggio e seleziona Opzioni Internet.
- Vai alla scheda Avanzate e fare clic su Reimposta.
- Verifica Elimina impostazioni personali e clicca Reset nuovamente.
- Fare clic su Chiudi e scegliere OK.
- Tornare indietro per l' icona dell'ingranaggio, scegliere Gestione componenti aggiuntivi → estensioni e barre degli strumentie delete indesiderati estensioni.
- Vai al Provider di ricerca e scegliere un nuovo motore di ricerca di predefinito
Cancellare NRSMiner da Mozilla Firefox
- Inserire "about:addons" nel campo URL .
- Vai a estensioni ed eliminare le estensioni browser sospette
- Scegliere dal menu, fare clic sul punto interrogativo e aprire la Guida di Firefox. Fare clic sul pulsante Firefox Aggiorna e selezionare Aggiorna Firefox per confermare.
Terminare NRSMiner da Chrome
- Digitare "chrome://extensions" nel campo URL e premere invio.
- Terminare le estensioni del browser inaffidabile
- Riavviare Google Chrome.
- Aprire Chrome menu, fare clic su impostazioni → impostazioni di Show advanced, selezionare Reimposta le impostazioni del browser e fare clic su Reimposta (opzionale).