Nasıl NRSMiner çıkarmak için

tarihinde gönderildi.

Bu blog yazısı oluşturulmuş olan ana fikir aklına nasıl izah edebilir Kaldır NRSMiner virüsü bilgisayarınızdan tamamen.

Hangi NRSMiner yayar üzerinden ana yöntem genellikle bilinen – Sonsuz Mavi bir istismar yoluyla yapılır. Bu aynı istismar 2017 WannaCry enfeksiyon salgını kullanıldı. Sadece yamalı bilgisayarlar saldırılar ilk enfeksiyon yapar, sonra madenci savunmasız ağ sistemleri yayar, ama iyi haber.

Şimdiye kadar, F-Secure kötü amaçlı yazılım araştırmacılar analizlerini rapor var olan bir bilgisayar NRSMiner ile enfekte alabilirsiniz ana iki yöntem şunlardır:

  • Indirin güncelleme modülü zaten NRSMiner kötü amaçlı yazılım önceki bir sürümü tarafından ihlal edilmiş bir sistem üzerinden.
  • Sonsuz Mavi istismar karşı MS17-010 yama yok aynı intranet içinde bir sistem bulaşmasını üzerinden. Enfeksiyon virüs bulaşmış bir cihazdan oluşabilir.

Ana enfeksiyon faaliyet bu madenci olduğunu denetler bir zaman uyumu ({502CBAF5-55E5-F190-16321A4}) görmek madenci var zaten bulaşmış kurban PC önce ve eğer öyleyse, madenci zararlı değildir çalıştırın. Değilse ancak, madenci düşer ve aşağıdaki ana zararlı dosya çalışır:

Bir kez bunu yaptıktan sonra, madenci kaynakları, özellikle de, aşağıdaki dosyaları farklı dosyaları ayıklamak olabilir;

Dosyaları olabilir tersi konum, ama onlar genellikle yer ya da sysWOW64 veya system32. Bir zamanlar geçiriyor bırakılan dosyalar, NRSMiner kopya veri CreationTime ve LastAccessTime ve LastWriteTime özellikleri sistem işlemi svchost.exe ve güncellemeleri özellikleri MarsTraceDiagnostics.xml ve snmpstorsrv.dll dosyaları.

Son, WUDHostUpdate.exe kötü niyetli bir dosya yükler ve snmpstorsrv snmpstorsrv.dll hangisi kayıtlı olarak servicedll. Sonunda virüs dosyası kendini siler.

Te yeni yapılan işlemi denir Snmpstorsrv.dll başlar ile aşağıdaki Windows yönetici komut:

Başladığında, bu Dosya bilgisayarınızda aşağıdaki zararlı faaliyetleri gerçekleştirir:

  • İşlemci veri gönderir.
  • Sistem bilgileri gönderir.
  • 60153 noktasını açar.
  • MgmtFilterShim Oluşturur.ını
  • Wininit.exe Çalışır
  • İndirme Güncelleme
  • Özler C&C ve Madenci yapılandırma
  • Eski sürümleri siler.
  • Modül güncellemelerini kontrol eder.
  • Yeni madenci çalışır.

Hizmet ilki yumurtlar dosya adı MgmtFilterShim.ini içinde %systemroot%system32 klasörüne, yazar, ” + ” değer ve sonra değiştirir onun CreationTime, LastAccessTime ve LastWritetime özellikleri aynı gibi olanlar svchost.exe.

Virüs kendini güncellemek ve bilgi aktarmak için aşağıdaki alanları kullanır:

Ayrıca bu ton, madenci yürütür TurstedHostex.exe süreç ve bağlar için aşağıdakilerden siteleri, hemen hemen tüm sistem ve ağ bilgisi enfekte bilgisayar sızdırılmış:

Virüs alır içine hesap işlemcinin kurban PC, sonra yazıyor birkaç farklı türlerde dosyalar denir x86.dll ve x64.dll içinde %AppDiagnostics% dizin. Süreçleri enjekte yoluyla elde Wininit.exe dosyaya sass.exe üzerinden spoolsv.exe backdoor yüklü daha önce başlar madencilik için cryptocurrencies.

NRSMiner kullanan madenci bileşeni XMRig Monero CPU miner için Monero belirteçleri oluşturmak için. Aşağıdaki komutlar ile madenci çalışır

Bu süre içinde, kurbanın bilgisayar yavaşlamaya başlar ve çok sık dondurma.

Eğer NRSMiner için bilgisayarınızda ilgili ilişkili dosyaları ve tüm nesneleri tespit etmek ve kaldırmak, gelişmiş bir anti-kötü amaçlı yazılım programı ile PC tarayarak NRSMiner kaldırmak için bir sonraki adımları izlerseniz bir daha tavsiye edilen temizleme yöntemidir. Sadece kötü amaçlı yazılım dosyaları ve nesneler silinir çünkü bu güvenlik uzmanları tarafından sunulan seçenek olduğunu bilmek gerekir, ama aynı zamanda bilgisayarınızın en zararlı dosyaları ve geleceği çok müdahaleci maddelere karşı korunur.

Uyarı, birden fazla anti-virüs tarayıcıları NRSMiner içinde olası kötü amaçlı yazılım tespit etti.

Anti-virüs yazılımıSürümAlgılama
NANO AntiVirus0.26.0.55366Trojan.Win32.Searcher.bpjlwd
Kingsoft AntiVirus2013.4.9.267Win32.Troj.Generic.a.(kcloud)
VIPRE Antivirus22702Wajam (fs)
ESET-NOD328894Win32/Wajam.A
VIPRE Antivirus22224MalSign.Generic
Baidu-International3.5.1.41473Trojan.Win32.Agent.peo
Qihoo-3601.0.0.1015Win32/Virus.RiskTool.825
Tencent1.0.0.1Win32.Trojan.Bprotector.Wlfh
Malwarebytes1.75.0.1PUP.Optional.Wajam.A
McAfee-GW-Edition2013Win32.Application.OptimizerPro.E

NRSMiner davranışı

  • NRSMiner yüklü güvenlik yazılımı devre dışı bırakır.
  • Tarayıcınızın virüslü sayfalarına yönlendirin.
  • Göstermek taklidini yapmak güvenlik dikkatli, açılır pencereler ve reklamlar.
  • Kendi izni yüklenir
  • NRSMiner tarayıcı uzantısı üzerinden web tarayıcısı içine entegre
  • NRSMiner ticari reklamlar gösterir.
  • Masaüstü ve tarayıcı ayarlarını değiştirir.
  • Kendisi ödeme başına yükleme dağıtır veya üçüncü taraf yazılım ile birlikte verilmektedir.
Download kaldırma aracıkaldırmak için NRSMiner

NRSMiner Windows işletim sistemi sürümleri etkilenir.

  • Windows 1021% 
  • Windows 842% 
  • Windows 723% 
  • Windows Vista8% 
  • Windows XP6% 

NRSMiner Coğrafya

NRSMiner--dan pencere eşiği ortadan kaldırmak.

NRSMiner Windows XP'den silin:

  1. Menüyü açmak için Başlat ' ı tıklatın.
  2. Denetim Masası'nı seçin ve Ekle / Kaldırgidin.win-xp-control-panel NRSMiner
  3. Seçin ve Kaldır istenmeyen programı.

Kaldır NRSMiner senin Windows 7 ve Vista:

  1. Başlat menüsünü açın ve Denetim Masası'nıseçin.win7-control-panel NRSMiner
  2. Program Kaldır için hareket
  3. İstenmeyen app ve çekme kaldırmaüzerinde sağ tıklatın .

Erase NRSMiner Windows üzerinden 8 ve 8.1:

  1. Sağ ve sol alt köşesinde seçin Denetim Masasıüzerinde.win8-control-panel-search NRSMiner
  2. Program Kaldır ve istenmeyen app üzerinde sağ tıklatın seçin.
  3. Kaldır seçeneğini tıklatın.

NRSMiner Your tarayıcılardan gelen silme

NRSMiner Internet Explorer kaldırılması

  • Dişli simgesini tıklayın ve Internet Seçenekleri'niseçin.
  • Gelişmiş sekmesine gidin ve Sıfırla' yı tıklatın.reset-ie NRSMiner
  • Kişisel ayarları sil kontrol edin ve tekrar Sıfırla ' yı tıklatın.
  • Kapat ' ı tıklatın ve Tamam' ý seçin.
  • Geri gitmek için dişli simgesini, Eklentileri Yönet → pick araç çubukları ve uzantılarıve uzantıları istenmeyen Sil.ie-addons NRSMiner
  • Arama sağlayıcıları için gidin ve yeni bir varsayılan arama motoru seçin

NRSMiner Mozilla Firefox silmek

  • "about:addons" URL alanına girin.firefox-extensions NRSMiner
  • Uzantıları git ve şüpheli tarayıcı uzantılarını silmek
  • Menüsünütıklatın, soru işareti ve Firefox yardım' ı açın. Yenile Firefox düğmesi üzerinde'yi tıklatın ve onaylamak için Firefox Yenile seçin.firefox_reset NRSMiner

Chrome NRSMiner sonlandırma

  • "chrome://extensionsiçinde" URL alanına yazın ve Enter' a dokunun.extensions-chrome NRSMiner
  • Güvenilir olmayan tarayıcı uzantıları sonlandırmak
  • Google Chrome yeniden başlatın .chrome-advanced NRSMiner
  • Chrome menüsünü açın, ayarlar → gösteri Gelişmiş Ayarlar'ı tıklatın, sıfırlama tarayıcı ayarları'nı seçin ve (isteğe bağlı) Sıfırla'yı tıklatın.
Download kaldırma aracıkaldırmak için NRSMiner