Deze blog post is gemaakt met de belangrijkste idee in het achterhoofd om uit te leggen hoe kunt u de NRSMiner virus van uw computer volledig.
De belangrijkste methode die via de NRSMiner propageert, wordt meestal uitgevoerd via een exploit dat is bekend – het Eeuwige Blauw. Dezelfde exploit werd gebruikt in 2017 WannaCry infectie-uitbraak. De mijnwerker zich voortplant systemen van een kwetsbaar netwerk na het voert het eerste infectie, maar het goede nieuws is dat het alleen aanvallen patched computers.
Zo ver, F-Secure malware-onderzoekers hebben gerapporteerd in hun analyse op de volgende twee manieren waarop een computer kan besmet raken met NRSMiner:
- Via het downloaden van een update module via een systeem dat al is aangetast door een vorige versie van de NRSMiner malware.
- Via het infecteren van een systeem in dezelfde intranet dat niet de MS17-010 patch tegen de Eeuwige Blauw exploiteren. De infectie kan optreden van een reeds besmette apparaat.
De belangrijkste infectie activiteit van deze mijnwerker is dat het controleert eerst een mutex ({502CBAF5-55E5-F190-16321A4}) om te zien of de mijnwerker is al besmet het slachtoffer PC voor en als dat zo is, de mijnwerker malware niet wordt uitgevoerd. Als het echter niet, de mijnwerker druppels en loopt de volgende belangrijkste kwaadaardige bestand:
Zodra dit gedaan had, de mijnwerker kan uitpakken van de verschillende bestanden van het middelen, meer specifiek, worden de volgende bestanden;
De bestanden kan het tegenovergestelde locatie, maar over het algemeen bevinden zich ofwel in sysWOW64 of system32. Zodra hebben vallen de bestanden, NRSMiner kopieën van gegevens uit CreationTime en LastAccessTime en LastWriteTime eigenschappen van het systeem svchost.exe en updates eigenschappen voor MarsTraceDiagnostics.xml en snmpstorsrv.dll – bestanden.
Eindelijk, de WUDHostUpdate.exe kwaadaardige bestand installeert de snmpstorsrv en snmpstorsrv.dll die is geregistreerd als servicedll. Tot slot het virus bestand zelf verwijdert.
Te nieuw gemaakt van proces, de zogenaamde Snmpstorsrv.dll start met de volgende Windows administrator uitvoeren:
Bij het starten van het bestand voert u de volgende schadelijke activiteiten op uw computer:
- Stuurt Processor gegevens.
- Stuurt informatie over het systeem.
- Opent de poort 60153.
- Maakt MgmtFilterShim.ini
- Loopt Wininit.exe
- Downloads Updater
- Extracten C&C en Mijnwerker configuratie
- Verwijdert oudere versies.
- Controles voor module-updates.
- Loopt de nieuwe mijnwerker.
De service in de eerste plaats geeft een bestand, genaamd MgmtFilterShim.ini in de map %systemroot%system32 map, schrijft de ” + ” – waarde in en druk vervolgens wijzigt haar CreationTime, LastAccessTime en LastWritetime eigenschappen dezelfde als die in svchost.exe.
Het virus maakt gebruik van de volgende domeinen om zichzelf bij te werken en informatie doorgeven:
Daarnaast ton, de mijnwerker voert de TurstedHostex.exe proces en het wordt aangesloten op de volgende sites, waar bijna alle van het systeem en netwerk informatie van de geïnfecteerde computer is gelekt:
Wanneer het virus houdt rekening met de processor van de slachtoffer-PC, dan schrijft u verschillende soorten bestanden, genoemd x86.dll en x64.dll in de %AppDiagnostics% directory. De processen krijgen ingespoten via Wininit.exe bestand in sass.exe via de spoolsv.exe backdoor geïnstalleerd eerder te beginnen met de mijnbouw voor cryptocurrencies.
De mijnwerker onderdeel van NRSMiner maakt gebruik van de XMRig Monero CPU mijnwerker om Monero tokens. Het loopt de mijnwerker met de volgende commando ‘ s
Gedurende deze tijd, de computer van het slachtoffer begint te vertragen en reageert heel vaak.
Een andere en meer aanbevolen verwijdering methode is als volgt van de laatste stappen voor het verwijderen van de NRSMiner door het scannen van de PC met een geavanceerde anti-malware programma, die zal detecteren en verwijderen van alle van de gekoppelde bestanden en objecten die gerelateerd zijn aan NRSMiner op uw computer. We hebben je weet dat dit de aangeboden keuze door security experts, omdat niet alleen de malware-bestanden en objecten zijn verwijderd, maar ook op uw computer worden beschermd tegen de meest schadelijke bestanden en opdringerige objecten ook in de toekomst.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in NRSMiner gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| Dr.Web | Adware.Searcher.2467 | |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
NRSMiner gedrag
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Wijzigingen van gebruiker homepage
- Vertraagt internet-verbinding
- Zichzelf installeert zonder machtigingen
- NRSMiner verbindt met het internet zonder uw toestemming
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Gemeenschappelijke NRSMiner gedrag en sommige andere tekst emplaining som info in verband met gedrag
- NRSMiner deactiveert geïnstalleerde beveiligingssoftware.
- NRSMiner shows commerciële advertenties
- Integreert in de webbrowser via de NRSMiner Grazen verlenging
- Uw browser omleiden naar geïnfecteerde pagina's.
NRSMiner verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
NRSMiner Geografie
NRSMiner elimineren van Windows
NRSMiner uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen NRSMiner uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen NRSMiner van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
NRSMiner verwijderen uit uw Browsers
NRSMiner Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen NRSMiner van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen NRSMiner van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).