Deze blogpost is gemaakt met de belangrijkste idee in het achterhoofd om uit te leggen hoe je het kunt verwijderen NRSMiner virus vanaf uw computer volledig.
Een nieuwe cryptogeld mijnwerker malware, onder de naam NRSMiner is gemeld aan computers beïnvloeden en te profiteren van de CPU en GPU middelen en het genereren van maximaal 100% van hun gebruik de mijne voor cryptocurrencies. Naast deze, het virus kan ook het uitvoeren van andere ongewenste activiteiten op de computers die zijn geïnfecteerd door deze. De belangrijkste van die kan worden gerelateerd aan spyware acties direct gestart op de geïnfecteerde machine nadat deze is gecompromitteerd. Als uw computer is geïnfecteerd door de NRSMiner, Wij raden u aan dit artikel te lezen.
bedreiging Samenvatting
Naam | NRSMiner |
Type | Cryptogeld Miner Trojan / Malware |
Korte Omschrijving | NRSMiner wil de mijne voor de cryptogeld Monero ten koste van de bronnen van uw computer. |
Symptomen | Uw PC kan beginnen te wankelen en zelfs worden niet reageren op momenten. 100% van je CPU kan worden gebruikt door het proces HPDriver.exe actief op de achtergrond draaien. |
Distributie Methode | Via nep-opstellingen of kwaadwillige e-mail spam-berichten. |
Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
Gebruikerservaring | Word lid van onze Forum om te bespreken NRSMiner. |
NRSMiner - How Did I Get It
De belangrijkste methode waarmee de NRSMiner voortplant wordt gewoonlijk uitgevoerd via een exploit die welbekend - Eternal Blue. Deze zelfde exploit werd gebruikt in de 2017 [wplinkpreview url =”https://sensorstechforum.com/wannacry-outbreak-tsmc-170-million/”]WannaCry infectie-uitbraak. Mijnwerkers propageert systemen voor kwetsbare netwerk nadat voert het eerste infectie, maar het goede nieuws is dat het alleen aanvallen gepatchte computers.
Zover, F-Secure malware onderzoekers hebben gemeld in hun analyse van de volgende twee belangrijkste manieren waarop een computer kan geïnfecteerd raken met NRSMiner:
- Via een update downloaden module via een systeem dat al is aangetast door een eerdere versie van de NRSMiner malware.
- Via infecteren van een systeem in hetzelfde intranet dat niet over de MS17-010 patch tegen Eeuwige Blauwe exploit. De infectie kan plaatsvinden vanuit een reeds besmet inrichting.
NRSMiner – Analyse
De belangrijkste infectie activiteit van dit mijnwerker is dat voor het eerst een mutex controleert ({502CBAF5-55E5-F190-16321A4}) om te zien of de mijnwerker al het slachtoffer pc is geïnfecteerd voor en zo ja, de mijnwerker malware werkt niet. Als echter niet, de mijnwerker daalt en loopt de volgende belangrijkste kwaadaardig bestand:
→%Temp% WUDHostUpgrade.exe
Zodra dat gedaan, de mijnwerker kunnen de verschillende bestanden uit middelen die zij de, specifieker, de volgende bestanden;
→ %SystemRoot% System32 MarsTraceDiagnostics.xml
%SystemRoot% SysWOW64 snmpstorsrv.dll
De bestanden kunnen het tegenovergestelde locatie hebben, maar ze over het algemeen bevinden zich ofwel in syswow64 of system32. Zodra die liet de bestanden, NRSMiner kopieert gegevens van CreationTime en LastAccessTime en LastWriteTime eigenschappen van het systeem proces svchost.exe en updates woningen te MarsTraceDiagnostics.xml en snmpstorsrv.dll bestanden.
Eindelijk, de WUDHostUpdate.exe kwaadaardig bestand installeert de snmpstorsrv en snmpstorsrv.dll die geregistreerd staat als ServiceDLL. Tenslotte wordt het virus bestand self-verwijderingen.
Te nieuw gemaakte proces, genoemd Snmpstorsrv.dll begint met de volgende Windows-beheerder commando:
→svchost.exe -k netsvcs
toen begonnen, het bestand voert de volgende kwaadaardige activiteiten op uw computer:
- Stuurt Processor data.
- Stuurt informatie over het systeem.
- opent port 60153.
- Maakt MgmtFilterShim.ini
- Runs Wininit.exe
- downloads Updater
- extracten C&C en Miner configuratie
- Verwijdert oudere versies.
- Controles voor de module updates.
- Hiermee wordt de nieuwe mijnwerker.
De service paait in de eerste plaats een bestand, genoemd MgmtFilterShim.ini in de %systemroot% system32 map, schrijft de waarde “+” in en vervolgens wijzigt haar CreationTime, LastAccessTime en LastWritetime eigenschappen dezelfde als die in svchost.exe.
Het virus maakt gebruik van de volgende domeinen aan zichzelf te werken en informatie doorgeven:
→ lezer[.]pamphler[.]com / resource
handvat[.]pamphler[.]com / modules.dat
Daarnaast ton dit, mijnwerkers voert de TurstedHostex.exe Werkwijze en verbindt de volgende sites, waar bijna alle van het systeem en netwerk informatie van de besmette computer wordt gelekt:
→ plukken[.]vochtigheid[.]tk
springen[.]taucepan[.]met
Wanneer het virus houdt rekening met de processor van het slachtoffer PC, het dan schrijft verschillende soorten bestanden, riep x86.dll en x64.dll in de %AppDiagnostics% directory. De processen krijgen geïnjecteerd via wininit.exe bestand in sass.exe via de spoolsv.exe backdoor eerder geïnstalleerd om mining voor cryptocurrencies beginnen.
Mijnwerkers component van NRSMiner gebruikt XMRig Monero CPU miner om Monero tokens genereren. Het loopt de mijnwerker met de volgende commando's
→"V -o fox.weilders.com:443 -u zec% d -p x -t% d -donate-level = 1 -nicehash”
“Z -o asthma.weilders.com” 443 -u zec -p x -bfactor = 12 -bsleep = 1000 -donate-level = 1 -nicehash”
Gedurende deze periode, de computer van het slachtoffer begint te vertragen en kunnen heel vaak bevriezen.
Verwijder NRSMiner malware van uw computer
Als u wilt het verwijderen NRSMiner virus handmatig, kunt u na het handmatig verwijderen doorgaan eronder, waarvan de eerste twee stappen. U kunt ze gebruiken in combinatie met de “analyse” deel van het artikel om alle bestanden voortgebracht en gemaakt door NRSMiner verwijderen en blokkeren van alle domeinen zij heeft opgericht verband met de verspreiding van de informatie van uw computer.
Een ander en meer aanbevolen methode verwijderen is als u de laatste stappen om de NRSMiner verwijderen door het scannen van onze PC met een geavanceerde anti-malware programma, die zal detecteren en verwijderen van alle bijbehorende bestanden en objecten die gerelateerd zijn aan NRSMiner op uw computer. We zullen je weet dat dit de aangeboden keuze door security experts, omdat niet alleen de malware bestanden en voorwerpen worden verwijderd, maar ook uw computer worden beschermd tegen de meeste schadelijke bestanden en opdringerig objecten ook in de toekomst.
Preparation before removing NRSMiner.
Voor het eigenlijke verwijdering, Wij raden u aan de volgende voorbereidende stappen te doen.
- Zorg ervoor dat u deze instructies altijd open en in de voorkant van je ogen.
- Doe een back-up van al uw bestanden, zelfs als ze konden worden beschadigd. U moet een back-up van uw gegevens met een cloud backup oplossing en verzekeren van uw bestanden tegen elke vorm van verlies, zelfs van de meest ernstige bedreigingen.
- Wees geduldig als deze een tijdje zou kunnen nemen.
- Scannen op malware
- Registers repareren
- Verwijder virusbestanden
Stap 1: Scannen op NRSMiner met SpyHunter Anti-Malware Tool
Stap 2: Verwijder eventuele registers, gemaakt door NRSMiner op uw computer.
De doorgaans gericht registers van Windows-machines zijn de volgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
U kunt ze openen door het openen van het Windows-register-editor en met weglating van alle waarden, gemaakt door NRSMiner daar. Dit kan gebeuren door de stappen onder:
Stap 3: Find virus files created by NRSMiner on your PC.
1.Voor Windows 8, 8.1 en 10.
Voor nieuwere Windows-besturingssystemen
1: Op het toetsenbord druk + R en schrijf explorer.exe in de Rennen tekstvak en klik dan op de OK knop.
2: Klik op uw pc uit de snelle toegang bar. Dit is meestal een icoon met een monitor en de naam is ofwel "Mijn computer", "My PC" of "Deze PC" of hoe je het hebt genoemd.
3: Navigeer naar het zoekvak in de rechterbovenhoek van het scherm van uw pc en typ "echter in meerdere contexten:" en waarna typt u de bestandsextensie. Als u op zoek bent naar kwaadaardige executables, Een voorbeeld kan zijn "echter in meerdere contexten:exe". Na het doen van dat, laat een spatie en typ de bestandsnaam die u denkt dat de malware is gemaakt. Hier is hoe het kan verschijnen als het bestand is gevonden:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Voor Windows XP, Uitzicht, en 7.
Voor oudere Windows-besturingssystemen
In oudere Windows-besturingssystemen zou de conventionele aanpak de effectieve moeten zijn:
1: Klik op de Start Menu icoon (meestal op uw bottom-links) en kies vervolgens de Zoeken voorkeur.
2: Na het zoekvenster verschijnt, kiezen Meer geavanceerde opties van de search assistent doos. Een andere manier is door te klikken op Alle bestanden en mappen.
3: Na dat type de naam van het bestand dat u zoekt en klik op de knop Zoeken. Dit kan enige tijd duren, waarna de resultaten worden weergegeven. Als u het kwaadaardig bestand hebt gevonden, u kunt kopiëren of openen de locatie door rechtermuisknop te klikken ben ermee bezig.
Nu moet je in staat om elk bestand op Windows ontdekken zolang het op uw harde schijf en is niet verborgen via speciale software.
NRSMiner FAQ
What Does NRSMiner Trojan Do?
The NRSMiner Trojaans is een kwaadaardig computerprogramma ontworpen om te ontwrichten, schade, of ongeautoriseerde toegang verkrijgen naar een computersysteem. Het kan worden gebruikt om gevoelige gegevens te stelen, controle krijgen over een systeem, of andere kwaadaardige activiteiten starten.
Kunnen Trojaanse paarden wachtwoorden stelen??
Ja, Trojans, like NRSMiner, kan wachtwoorden stelen. Deze kwaadaardige programma's are designed to gain access to a user's computer, slachtoffers bespioneren en gevoelige informatie zoals bankgegevens en wachtwoorden stelen.
Can NRSMiner Trojan Hide Itself?
Ja, het kan. Een Trojaans paard kan verschillende technieken gebruiken om zichzelf te maskeren, inclusief rootkits, encryptie, en verduistering, om zich te verbergen voor beveiligingsscanners en detectie te omzeilen.
Kan een Trojaans paard worden verwijderd door Factory Reset?
Ja, een Trojaans paard kan worden verwijderd door uw apparaat terug te zetten naar de fabrieksinstellingen. Dit komt omdat het het apparaat in de oorspronkelijke staat zal herstellen, het verwijderen van schadelijke software die mogelijk is geïnstalleerd. Houd er rekening mee dat er geavanceerdere Trojans zijn die achterdeurtjes achterlaten en opnieuw infecteren, zelfs na een fabrieksreset.
Can NRSMiner Trojan Infect WiFi?
Ja, het is mogelijk dat een trojan wifi-netwerken infecteert. Wanneer een gebruiker verbinding maakt met het geïnfecteerde netwerk, de Trojan kan zich verspreiden naar andere aangesloten apparaten en kan toegang krijgen tot gevoelige informatie op het netwerk.
Kunnen Trojaanse paarden worden verwijderd?
Ja, Trojaanse paarden kunnen worden verwijderd. Dit wordt meestal gedaan door een krachtig antivirus- of antimalwareprogramma uit te voeren dat is ontworpen om schadelijke bestanden te detecteren en te verwijderen. In sommige gevallen, handmatige verwijdering van de Trojan kan ook nodig zijn.
Kunnen Trojaanse paarden bestanden stelen?
Ja, Trojaanse paarden kunnen bestanden stelen als ze op een computer zijn geïnstalleerd. Dit wordt gedaan door de malware auteur of gebruiker om toegang te krijgen tot de computer en vervolgens de bestanden te stelen die erop zijn opgeslagen.
Welke anti-malware kan Trojaanse paarden verwijderen?
Antimalwareprogramma's zoals SpyHunter zijn in staat om Trojaanse paarden op uw computer te scannen en van uw computer te verwijderen. Het is belangrijk om uw anti-malware up-to-date te houden en uw systeem regelmatig te scannen op schadelijke software.
Kunnen Trojaanse paarden USB infecteren?
Ja, Trojaanse paarden kunnen infecteren USB apparaten. USB-trojans wordt meestal verspreid via schadelijke bestanden die van internet zijn gedownload of via e-mail zijn gedeeld, allowing the hacker to gain access to a user's confidential data.
About the NRSMiner Research
De inhoud die we publiceren op SensorsTechForum.com, this NRSMiner how-to removal guide included, is het resultaat van uitgebreid onderzoek, hard werken en de toewijding van ons team om u te helpen het specifieke trojan-probleem op te lossen.
How did we conduct the research on NRSMiner?
Houd er rekening mee dat ons onderzoek is gebaseerd op een onafhankelijk onderzoek. We hebben contact met onafhankelijke beveiligingsonderzoekers, waardoor we dagelijks updates ontvangen over de nieuwste malwaredefinities, inclusief de verschillende soorten trojans (achterdeur, downloader, infostealer, losgeld, etc.)
Bovendien, the research behind the NRSMiner threat is backed with VirusTotal.
Om de dreiging van trojans beter te begrijpen, raadpleeg de volgende artikelen die deskundige details bieden:.