FacebookTwitterLinkedIn

Jak usunąć KBOT z systemu operacyjnego?

Znany również jako: Złodziej KBOT
Typ: Trojan
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez ,

Poradnik usuwania wirusa KBOT

Czym jest KBOT?

KBOT to malware, które może kraść różne dane uwierzytelniające, takie jak hasła, dane logowania, dane portfela kryptowalut, listy plików i zainstalowanych programów, dane bankowe i inne dane osobowe. Może powodować u swoich ofiar szereg poważnych problemów. Badania pokazują, że rozwiązania Kaspersky wykrywają to malware i jego składniki jako Kpot. Jeśli istnieje powód, by sądzić, że KBOT (znany również jako stealer KBOT) jest zainstalowany w twoim systemie operacyjnym, należy go natychmiast z niego usunąć.

KBOT malware

KBOT infekuje systemy przez Internet, sieci lokalne i/lub urządzenia zewnętrzne. Gdy system jest już zainfekowany, KBOT dodaje się do listy elementów startowych i Harmonogramu zadań. Oznacza to, że może on działać przy każdym uruchomieniu systemu operacyjnego i/lub być uruchamiany w określonych odstępach czasu. Ponadto KBOT może ukrywać swoją aktywność, zawieszając pliki DLL związane z antywirusem i wprowadzając złośliwe kody do różnych legalnych procesów. Cyberprzestępcy stojący za tym malware komunikują się z nim za pośrednictwem serwera C2 (Zarządzania i Kontroli) i używają go jako narzędzia do zbierania szczegółowych informacji, takich jak nazwa komputera, system operacyjny, lista użytkowników, zainstalowane oprogramowanie antywirusowe (lub inne zabezpieczenia) oraz uruchamianie różnych poleceń. To złośliwe oprogramowanie może odbierać polecenia służące do usuwania i aktualizowania plików, aktualizowania plików hosts.ini, worm.ini, injects.ini, odinstalowywania KBOT, ładowania/instalowania innego malware i wykonywania innych działań. Oznacza to, że cyberprzestępcy mogą używać tego złośliwego oprogramowania do rozsyłania/instalowania innego oprogramowania tego rodzaju, które może być użyte do kradzieży danych uwierzytelniających (haseł, loginów), danych portfela kryptowaluty i innych poufnych informacji. Z reguły cyberprzestępcy wykorzystują takie dane do generowania przychodów na różne sposoby, głównie poprzez dokonywanie nieuczciwych zakupów, transakcji, sprzedawanie ich stronom trzecim itd. Ponadto skradzione informacje mogą zostać wykorzystane do kradzieży różnych kont i nakłonienia innych osób do przeniesienia pieniędzy, zainstalowania KBOT lub innego malware itd. Podsumowując, osoby, które zainfekowałyby swoje systemy tym złośliwym oprogramowaniem, mogą ponieść straty finansowe, problemy z prywatnością, bezpieczeństwo przeglądania, stać się ofiarami kradzieży tożsamości, utracić ważne pliki i doświadczyć wielu innych poważnych problemów. Dlatego jeśli KBOT jest już zainstalowany w systemie operacyjnym, należy go natychmiast usunąć.

Podsumowanie zagrożenia:
Nazwa Złodziej KBOT
Typ zagrożenia Trojan, wirus kradnący hasła, malwa bankowe, oprogramowanie szpiegujące.
Nazwy wykrycia Avast (Win64:Malware-gen), AVG (Win64:Malware-gen), ESET-NOD32 (wariant Win64/Bolik.L), Kaspersky (Virus.Win64.Kpot.a), Pełna lista (VirusTotal)
Ładunek KBOT ma zdolności infekowania systemu innym malware i złośliwymi modułami.
Objawy Trojans są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostawać cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych objawów.
Metody dystrybucji Lokalne sieci, dyski zewnętrzne, zainfekowane załączniki e-mail, złośliwe ogłoszenia inline, inżynieria społeczna, narzędzia "łamania" oprogramowania.
Zniszczenie Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu.
Usuwanie

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Więcej przykładów złośliwych programów zaprojektowanych w celu kradzieży różnych poufnych informacji i/lub rozsyłania innego rodzaju oprogramowania to Lampion, CryptBot i Conteban. W większości przypadków cyberprzestępcy próbują zainfekować systemy takimi złośliwymi programami, aby mogli niewłaściwie wykorzystać skradzione informacje do generowania przychodów i/lub zainfekować komputery innym malware (np. ransomware). W taki czy inny sposób programy takie jak KBOT zwykle powodują poważne problemy. Na wszelkie możliwe sposoby należy uniknąć ich instalacji.

Jak KBOT dostał się do mojego komputera?

KBOT infekuje systemy przez Internet, sieci lokalne lub zainfekowane media zewnętrzne (takie jak USB, zewnętrzny dysk twardy itp.). Tak czy inaczej, może to zrobić tylko wtedy, gdy użytkownicy uruchomią pewien złośliwy plik. Zwykle malware/złośliwe pliki są rozpowszechniane za pośrednictwem trojanów, kampanii spamowych, niewiarygodnych kanałów pobierania oprogramowania, narzędzi do „łamania" oprogramowania lub fałszywych aktualizacji oprogramowania. Trojany to złośliwe programy, które mogą powodować szkody tylko wtedy, gdy są już zainstalowane. Jeśli system zostanie zainfekowany trojanem, zostanie zainfekowany innymi tego rodzaju programami. Mówiąc najprościej, trojany zwykle mają na celu wywoływanie infekcji łańcuchowych. Kampanie spamowe służą do rozsyłania złośliwego oprogramowania za pośrednictwem załączników e-mail lub linków internetowych, które pobierają złośliwe pliki. Zwykle cyberprzestępcy wysyłają wiadomości e-mail zawierające takie załączniki, jak Microsoft Office, dokumenty PDF, pliki wykonywalne (takie jak .exe), pliki archiwów, takie jak RAR, ZIP lub JavaScript, i liczą, że odbiorcy je otworzą. Po otwarciu pliki te instalują takie lub inne malware. Różne kanały pobierania oprogramowania, takie jak sieci peer-to-peer (np. klienci torrent, eMule), witryny z hostingiem plików, programy do pobierania stron trzecich, strony z freeware do pobierania, nieoficjalne witryny internetowe, mogą być również wykorzystywane do rozsyłania szkodliwych programów. Cyberprzestępcy używają takich narzędzi do pobierania, kanałów do przechowywania szkodliwych plików. Przesyłają złośliwe pliki i czekają, aż ktoś je pobierze oraz otworzy/uruchomi. Po otwarciu pliki te instalują malware. Nieoficjalne narzędzia aktywacyjne („łamania" oprogramowania) to programy, których niektórzy używają do bezpłatnej aktywacji płatnego oprogramowania. Często narzędzia te są przeznaczone do infekowania komputerów złośliwym oprogramowaniem wysokiego ryzyka. Mówiąc wprost, zamiast ominąć aktywację, instalują malware. Nieoficjalne narzędzia do aktualizacji oprogramowania infekują instalując malware zamiast aktualizacji, poprawek lub wykorzystując błędy, wady zainstalowanego nieaktualnego oprogramowania.

Jak uniknąć instalacji malware?

Nie powinno się ufać (klikać) załącznikom i/lub linkom internetowym zawartym w nieistotnych e-mailach. Zwłaszcza jeśli takie e-maile są wysyłane z nieznanych i podejrzanych adresów. Programy i pliki należy zawsze pobierać z oficjalnych witryn internetowych i poprzez bezpośrednie linki. Używanie do tego innych źródeł nie jest bezpieczne. Przykładowo, sieci peer-to-peer (np. klientów torrent, eMule), bezpłatnych stron z hostingiem plików, zewnętrznych programów do pobierania i innych tego rodzaju źródeł. Oprogramowanie musi być aktualizowane za pomocą narzędzi i/lub funkcji zaprojektowanych przez oficjalnych programistów. Jeśli zainstalowane oprogramowanie nie jest bezpłatne (należy je aktywować), należy je poprawnie aktywować. Oznacza to, że nie należy do tego używać różnych narzędzi do „łamania" oprogramowania (nieoficjalnej aktywacji). Korzystanie z nich jest nielegalne i może prowadzić do instalacji różnych złośliwych programów. Jeszcze jednym sposobem na ochronę komputerów przed malware jest regularne skanowanie ich za pomocą renomowanego oprogramowania antywirusowego lub antyspyware oraz zawsze bieżące aktualizowanie go. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrujące malware.

Trojan KBOT wykryty jako zagrożenia w VirusTotal przez szereg różnych silników wykrywania wirusów:

kbot rojan detections on virustotal

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

malicious process running on user's computer sample

Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

manual malware removal step 1Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:

screenshot of autoruns application

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

 

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"

locate the malware file you want to remove

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

searching for malware file on your computer

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.

Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
Złodziej KBOT kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Złodziej KBOT na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.