Как быстро найти скрытые .vbs-скрипты, которые запускаются при загрузке Windows

Автор На чтение 10 мин Просмотров 2 Опубликовано
Содержание
  1. Как быстро найти скрытые .vbs-скрипты, которые запускаются при загрузке Windows
  2. Где Windows ищет скрипты при загрузке
  3. Шаг 1: Проверьте папки автозагрузки
  4. Шаг 2: Проверьте реестр
  5. Шаг 3: Проверьте Планировщик заданий
  6. Что ещё может быть: службы и скрытые процессы
  7. Таблица: где искать .vbs-скрипты — сравнение методов
  8. Частые ошибки, которые делают люди
  9. Что выбрать в зависимости от ситуации
  10. Как лучше сделать — практические рекомендации
  11. Итог: что делать прямо сейчас

Как быстро найти скрытые .vbs-скрипты, которые запускаются при загрузке Windows

Если ваш компьютер начал вести себя странно — тормозит при включении, появляются неизвестные процессы, или вы видите в диспетчере задач wscript.exe или cscript.exe, которые не должны там быть — скорее всего, где-то в системе запущен скрытый VBScript. Это не вирус в классическом понимании, но работает как он: без вашего ведома, в фоне, и часто с вредоносной целью.

Я не говорю, что все .vbs-файлы — вредные. Были времена, когда их использовали для автоматизации задач в офисах — например, чтобы копировать файлы, менять настройки принтера или отправлять уведомления. Но сейчас почти все такие скрипты — либо остатки старого ПО, либо следы вредоносного ПО. И если вы не помните, чтобы сами создавали или устанавливали скрипт — его нужно искать и удалять.

В этой статье я покажу, как за 5–10 минут найти все скрытые .vbs-файлы, которые запускаются при старте Windows. Без лишних программ, без сложных команд — только проверенные методы, которые я использую на реальных компьютерах.

Где Windows ищет скрипты при загрузке

Чтобы найти скрытый .vbs-скрипт, нужно знать, куда он может быть «прописан». Windows проверяет несколько мест при старте системы. Вот основные:

  • Папка автозагрузки пользователя%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
  • Папка автозагрузки всех пользователей%PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup
  • Реестр: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Реестр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • Планировщик заданий — задачи с триггером «При входе в систему»
  • Службы Windows — редко, но бывает, что скрипт запускается через службу

Самые частые места — это папки автозагрузки и реестр. Планировщик заданий — чаще используется в продвинутых атаках. Если вы ищете скрытый скрипт, начните с первых трёх.

Шаг 1: Проверьте папки автозагрузки

Это самое простое и быстрое место, где скрипты прячутся. Откройте две папки:

  1. Нажмите Win + R, введите %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup и нажмите Enter. Это папка для текущего пользователя.
  2. Затем введите %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup — это папка для всех пользователей.

В обеих папках ищите файлы с расширением .vbs. Они могут называться как угодно: update.vbs, syscheck.vbs, temp.vbs — неважно. Главное — расширение.

Если вы видите файлы с именами вроде ~$report.vbs или 12345.vbs — это подозрительно. Нормальные скрипты не называются так. Это типичный признак вредоносного ПО, которое пытается выглядеть как временный файл.

Если нашли — не удаляйте сразу. Сначала проверьте, что это за файл. Кликните правой кнопкой → Свойства. Посмотрите на путь: если файл лежит в C:\Users\Имя\AppData\Roaming\ или в C:\ProgramData\ — это нормально. Но если он в C:\Windows\Temp\ или C:\Users\Public\ — почти наверняка вредоносный.

Шаг 2: Проверьте реестр

Реестр — это где скрипты прячутся, чтобы их не было видно в папке автозагрузки. Тут нужно быть осторожным: если вы не знаете, что делаете — можно сломать систему. Но если вы ищете скрытый .vbs — это нужно сделать.

Нажмите Win + R, введите regedit и нажмите Enter.

Перейдите в два раздела:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

В правой панели вы увидите список значений. Каждое — это программа, которая запускается при входе. Ищите те, где в столбце Данные указан путь к wscript.exe или cscript.exe с аргументом вида \\.\vbs или C:\...\file.vbs.

Пример подозрительного значения:

Имя: "System Update"
Данные: C:\Windows\System32\wscript.exe "C:\ProgramData\temp\syscheck.vbs"

Такое значение — красный флаг. Нормальный Windows-процесс не запускает скрипты из ProgramData без вашего ведома.

Чтобы проверить, что это за файл, откройте проводник и введите в адресную строку путь, указанный в данных. Если файла нет — возможно, он уже удалён, но запись осталась. Всё равно удалите ключ из реестра. Если файл есть — посмотрите его свойства: когда создан? Кто владелец? Если дата создания — вчера, а владелец — SYSTEM или неизвестный пользователь — это вредоносный скрипт.

Шаг 3: Проверьте Планировщик заданий

Это самое тонкое место. Вредоносные скрипты часто используют планировщик, потому что там их не видно в автозагрузке и реестре. И они запускаются не только при старте, но и после каждого входа в систему.

Нажмите Win + R, введите taskschd.msc и нажмите Enter.

В левом меню перейдите в Библиотека планировщика заданий. Там будут сотни задач — не пугайтесь. Нажмите на столбец Триггер, чтобы отсортировать по нему. Ищите задачи с триггером При входе в систему.

Теперь кликните правой кнопкой на каждую такую задачу → Свойства → вкладка Действия. Посмотрите на поле Программа или сценарий. Если там написано:

  • wscript.exe или cscript.exe
  • с аргументом, заканчивающимся на .vbs

— это скрытый скрипт. Запишите имя задачи и путь к файлу. Проверьте файл в проводнике. Если он лежит в C:\Windows\Temp\, C:\Users\Public\ или C:\ProgramData\ — удалите задачу и файл.

Особенно подозрительны задачи с именами вроде WindowsUpdateTask, SystemMaintenance, NetCheck — они маскируются под системные. Но настоящие системные задачи не запускают .vbs-файлы.

Что ещё может быть: службы и скрытые процессы

Реже, но бывает, что скрипт запускается через службу. Например, вредоносный код создаёт службу, которая запускает wscript.exe с параметрами. Это редкость, но если вы уже проверили всё выше — стоит проверить службы.

Нажмите Win + R, введите services.msc. Прокрутите список вниз до Службы. Ищите службы с непонятными именами: WinUpdateService, SystemMonitor, NetHelper — и т.п.

Кликните правой кнопкой → Свойства → вкладка Путь к исполняемому файлу. Если там написано что-то вроде:

C:\Windows\System32\wscript.exe "C:\ProgramData\log.vbs"

— это вредоносная служба. Остановите её, установите тип запуска на Отключена и удалите файл скрипта.

Также проверьте диспетчер задач: вкладка Подробности. Найдите процессы wscript.exe и cscript.exe. Кликните правой кнопкой → Открыть расположение файла. Если файл лежит не в C:\Windows\System32\ — это подозрительно. wscript.exe и cscript.exe — системные файлы, и их не должно быть в AppData или ProgramData.

Таблица: где искать .vbs-скрипты — сравнение методов

Место проверки Скорость Сложность Вероятность найти скрытый скрипт Что делать, если нашли
Папки автозагрузки 1 минута Очень легко Высокая Удалите файл, если не уверены, что он ваш
Реестр (Run) 3–5 минут Легко Очень высокая Удалите ключ, если путь ведёт к .vbs вне System32
Планировщик заданий 5–8 минут Средняя Средняя Удалите задачу и файл, если он не из доверенного источника
Службы 3–5 минут Средняя Низкая Только если другие методы не помогли

Если вы ищете скрытый .vbs-скрипт — начните с папок автозагрузки, потом реестр, потом планировщик. Службы — последний шаг. 90% скрытых скриптов находятся в первых трёх местах.

Частые ошибки, которые делают люди

  • Удаляют только файл, но не удаляют запись в реестре или планировщике — скрипт снова появляется через пару дней. Нужно удалять и запись, и файл.
  • Пугаются и удаляют всё подряд — например, удаляют wscript.exe из System32. Это системный файл. Его нельзя удалять. Удаляйте только те, что запускают .vbs из подозрительных папок.
  • Игнорируют планировщик — думают, что если нет в автозагрузке, значит, всё чисто. Нет. Планировщик — любимое место для скрытых скриптов.
  • Проверяют только свою учётную запись — забывают про %PROGRAMDATA%. Вредоносный скрипт может быть установлен для всех пользователей — и тогда он запустится даже если вы входите под гостевой учёткой.
  • Пишут скрипт, чтобы «проверить систему» — если вы сами создали .vbs-файл для «анализа» — он может быть вредоносным. Не пишите скрипты, если не знаете, что они делают.

Что выбрать в зависимости от ситуации

  • Если вы просто заметили, что компьютер тормозит при включении — проверьте папки автозагрузки. 70% случаев решаются здесь.
  • Если вы видите wscript.exe в диспетчере задач, но не знаете, откуда он — проверьте реестр и планировщик. Скорее всего, скрипт запущен через один из них.
  • Если вы подозреваете, что кто-то установил скрипт на вашем компьютере (например, коллега, родственник, IT-специалист) — проверьте обе папки автозагрузки и реестр. Обычно такие скрипты кладут туда, чтобы не пропадали после перезагрузки.
  • Если вы работаете в корпоративной сети и не можете удалять файлы — не трогайте ничего. Сообщите ИТ-отделу. Возможно, это легитимный скрипт для обновления ПО. Но если вы администратор — проверьте планировщик и реестр на всех компьютерах через групповые политики.

Как лучше сделать — практические рекомендации

  1. Создайте точку восстановления перед любыми изменениями в реестре или удалением файлов. Это не займёт больше 2 минут, но спасёт систему, если что-то пойдёт не так.
  2. Не удаляйте файлы, пока не проверите их в VirusTotal. Загрузите подозрительный .vbs-файл на virustotal.com — там проверят 70+ антивирусами. Если хотя бы 5 из них ругаются — это вредоносный скрипт.
  3. После удаления перезагрузите компьютер. Иногда скрипт запускается при старте, а не при входе — и только перезагрузка покажет, исчез ли он.
  4. Проверьте, не появился ли скрипт снова через 2–3 дня. Если да — значит, вредоносное ПО восстанавливает его. Тогда нужно искать корень проблемы: возможно, это троян, который скачивает скрипты заново. В этом случае — полная диагностика системы.
  5. Отключите запуск VBScript для всех пользователей — если вы не используете скрипты в работе. Это можно сделать через групповую политику (если у вас Pro/Enterprise) или через реестр. Но это уже продвинутый шаг — для обычного пользователя достаточно просто удалять подозрительные файлы.

Итог: что делать прямо сейчас

Если вы читаете это — значит, у вас есть подозрение, что где-то в системе запущен скрытый .vbs-скрипт. Вот что делать:

  1. Откройте папку автозагрузки пользователя: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup — удалите все .vbs-файлы, если не уверены, что они ваши.
  2. Откройте папку автозагрузки для всех: %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup — то же самое.
  3. Откройте реестр (regedit) и проверьте два ключа Run — удалите записи, которые ведут к .vbs-файлам вне System32.
  4. Откройте планировщик заданий (taskschd.msc) — найдите задачи с триггером «При входе» и проверьте, запускают ли они .vbs-файлы.
  5. Перезагрузите компьютер. Если проблема исчезла — хорошо. Если нет — проверьте службы и диспетчер задач.

Если после этого всё ещё есть подозрения — используйте бесплатный Malwarebytes или HitmanPro. Они находят скрытые скрипты, которые вы могли пропустить.

Не пытайтесь «починить» скрипт. Не пытайтесь его «изучить». Удалите. Это не файл, который нужно анализировать — это потенциальный вектор атаки. Лучше один раз удалить, чем потом чинить сломанную систему.

Информация в этой статье носит ознакомительный характер. Если вы не уверены в своих действиях — обратитесь к специалисту по информационной безопасности. Неправильное редактирование реестра или удаление системных файлов может привести к нестабильной работе системы.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком