Как обнаружить вредоносный скрипт, который запускается после обновления Windows

Автор На чтение 12 мин Просмотров 2 Опубликовано

Обновили Windows, а после перезагрузки начались странности: тормозит система, появляются непонятные окна, антивирус предупреждает о подозрительной активности, или в автозагрузке появились процессы, которых раньше не было. Логично предположить, что после обновления Windows в системе появился вредоносный скрипт. Разберёмся, как его найти и что с ним делать.

Содержание
  1. Почему вредоносный скрипт активируется именно после обновления
  2. Первые признаки: как понять, что после обновления запускается что-то лишнее
  3. Шаг 1. Проверяем автозагрузку — самое популярное место для скриптов
  4. Через диспетчер задач
  5. Через папку автозагрузки
  6. Через Autoruns от Microsoft
  7. Шаг 2. Проверяем планировщик заданий Windows
  8. Шаг 3. Проверяем реестр Windows
  9. Шаг 4. Смотрим на активность PowerShell и командной строки
  10. Журнал PowerShell
  11. Журнал процессов в Просмотре событий
  12. Шаг 5. Анализируем сетевую активность
  13. Через командную строку
  14. Через Resource Monitor
  15. Шаг 6. Используем антивирусную проверку и специализированные утилиты
  16. Шаг 7. Проверяем целостность системных файлов
  17. Частые ошибки при поиске вредоносного скрипта
  18. Что делать в зависимости от ситуации
  19. Ситуация 1: Вы нашли подозрительный скрипт, но не уверенны, вредоносный ли он
  20. Ситуация 2: Скрипт найден и подтверждён как вредоносный
  21. Ситуация 3: Скрипт не найден, но подозрительная активность остаётся
  22. Ситуация 4: Вы не уверены в своих силах
  23. Как предотвратить появление вредоносных скриптов в будущем
  24. Итог: пошаговый чек-лист

Почему вредоносный скрипт активируется именно после обновления

Есть несколько типичных сценариев, почему вредоносный скрипт «оживает» после обновления Windows:

  • Скрипт уже был в системе до обновления — он сидел в автозагрузке, в планировщике заданий или в реестре, но не активировался, пока не совпало несколько условий (например, определённая версия системы или запуск конкретного процесса).
  • Обновление изменило конфигурацию безопасности — после установки обновлений Windows иногда сбрасываются настройки брандмауэра, отключаются некоторые компоненты защиты или меняются политики запуска скриптов.
  • Скрипт маскируется под легитимный процесс обновления — злоумышленники намеренно настраивают запуск вредоносного кода на этапе обновления, чтобы он выглядел как часть стандартной процедуры.
  • Скрипт загружается вместе с вредоносным обновлением стороннего ПО — если в системе установлены программы с автоматическим обновлением, одно из них может быть скомпрометировано.

Понимание причины помогает быстрее найти источник проблемы и не списывать всё на «глюки системы».

Первые признаки: как понять, что после обновления запускается что-то лишнее

Прежде чем лезть в системные журналы и реестр, стоит проверить очевидные признаки. Вот на что обращать внимание:

  • После загрузки системы появляются окна с ошибками, которых раньше не было — особенно с текстом вроде «ошибка скрипта», «не удаётся запустить программу» или с упоминанием PowerShell, cmd, wscript, cscript.
  • В системном трее появляются новые иконки, которые вы не устанавливали.
  • Антивирус начинает выдавать предупреждения о подозрительной активности сразу после загрузки.
  • Компьютер заметно тормозит в первые минуты после загрузки, хотя раньше такого не было.
  • В диспетчере задач появляются незнакомые процессы, которые быстро исчезают — это характерно для скриптов, которые запускаются, выполняют задачу и завершаются.
  • Интернет-трафик есть, даже когда вы ничего не делаете — скрипт может отправлять данные на удалённый сервер.

Если хотя бы два из этих признаков совпадают, стоит провести более глубокую диагностику.

Шаг 1. Проверяем автозагрузку — самое популярное место для скриптов

Большинство вредоносных скриптов настраивают автозапуск через одни и те же места. Проверяем их по очереди.

Через диспетчер задач

  1. Нажмите Ctrl + Shift + Esc — откроется диспетчер задач.
  2. Перейдите на вкладку Автозагрузка.
  3. Посмотрите на список: есть ли там элементы с подозрительными названиями, без издателя или с непонятным расположением.

Обратите внимание на столбец «Влияние на запуск» — если там указано «Высокое» для процесса, который вы не знаете, это повод изучить его подробнее. Кликните правой кнопкой и выберите «Открыть расположение файла». Если файл лежит в папке пользователя (например, в AppData\Roaming или AppData\Local\Temp), а не в папке программы — это подозрительно.

Через папку автозагрузки

Откройте папку автозагрузки вручную:

  • Нажмите Win + R, введите shell:startup и нажмите Enter — откроется пользовательская папка автозагрузки.
  • Теперь введите shell:common startup — это системная папка автозагрузки для всех пользователей.

Внутри могут быть ярлыки, скрипты (.vbs, .js, .bat, .cmd, .ps1) и другие файлы. Всё, что вы не ставили сами — подозрительно.

Через Autoruns от Microsoft

Если стандартные средства не дают полной картины, используйте утилиту Autoruns — её можно скачать бесплатно с официального сайта Microsoft (в составе пакета Sysinternals). Она показывает абсолютно все места, откуда что-то запускается при старте системы: реестр, планировщик заданий, службы, драйверы, расширения браузеров.

В Autoruns обратите внимание на:

  • Вкладку Logon — автозагрузка текущего пользователя.
  • Вкладку Scheduled Tasks — задания планировщика.
  • Вкладку Services — системные службы.

Файлы без цифровой подписи (в Autoruns это подсвечивается розовым) с непонятными названиями — первые кандидаты на проверку.

Шаг 2. Проверяем планировщик заданий Windows

Планировщик заданий — излюбленный инструмент для запуска вредоносных скриптов. Он позволяет настроить запуск по событию, по расписанию или при входе в систему. Многие вредоносные программы создают задания именно здесь.

  1. Нажмите Win + R, введите taskschd.msc и нажмите Enter.
  2. В левой панели выберите Библиотека планировщика заданий.
  3. Просмотрите список заданий в центральной панели.

На что смотреть:

  • Задания с непонятными названиями — например, набор случайных символов или названия, имитирующие системные («UpdateChecker», «SystemHealth», «WindowsDefenderUpdate» — но без издателя Microsoft).
  • Задания, которые запускают powershell.exe, cmd.exe, wscript.exe, cscript.exe или mshta.exe с параметрами.
  • Задания с триггером «При входе в систему» или «При запуске компьютера».
  • Задания, создаватель которых — не система и не известный вам разработчик ПО.

Кликните на подозрительное задание, внизу появится описание и вкладка «Действия». Там будет точно видно, что именно запускается и с какими параметрами. Если в действии указано что-то вроде:

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\Users\Public\update.ps1

— это явный повод для беспокойства. Легитимные задания от Microsoft обычно запускают свои компоненты из папки C:\Windows\System32 и имеют цифровую подпись.

Шаг 3. Проверяем реестр Windows

Вредоносные скрипты часто прописывают себя в реестре для автозапуска. Основные ветки, которые нужно проверить:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Как проверить:

  1. Нажмите Win + R, введите regedit и нажмите Enter.
  2. Перейдите по каждому из указанных путей.
  3. В правой панели посмотрите на записи — каждая из них указывает на файл, который запускается при старте системы.

Подозрительные признаки:

  • Значение указывает на файл в папке Temp, AppData или в корне диска C:\.
  • Используется обход политик безопасности: например, параметр -ExecutionPolicy Bypass для PowerShell или -enc для запуска закодированной команды.
  • Имя файла — набор случайных символов или что-то, похожее на системный процесс, но с опечаткой.

Если нашли подозрительную запись, не удаляйте её сразу — сначала запишите путь к файлу, проверьте его антивирусом и только потом удаляйте.

Шаг 4. Смотрим на активность PowerShell и командной строки

PowerShell — мощный инструмент, который часто используется для запуска вредоносных скриптов. Если после обновления Windows вы видите, что PowerShell запускается сам по себе, стоит разобраться почему.

Журнал PowerShell

  1. Откройте Просмотр событий (Win + R → eventvwr.msc).
  2. Перейдите по пути: Журналы приложений и служб → Microsoft → Windows → PowerShell → Operational.
  3. Просмотрите последние записи — они покажут, какие команды выполнялись и когда.

Журнал процессов в Просмотре событий

Можно включить аудит запуска процессов:

  1. Откройте Редактор локальной групповой политики (Win + R → gpedit.msc).
  2. Перейдите: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
  3. Включите Аудит отслеживания процессов (Process Tracking).

После этого в журнале безопасности Просмотра событий будут фиксироваться все запуски процессов с указанием родительского процесса — это поможет понять, кто именно запускает подозрительный скрипт.

Шаг 5. Анализируем сетевую активность

Если скрипт запускается, но не оставляет следов в автозагрузке и планировщике, возможно, он получает команды с удалённого сервера. Проверить это можно через сетевые подключения.

Через командную строку

  1. Откройте командную строку от имени администратора.
  2. Введите: netstat -anob

Эта команда покажет все активные сетевые подключения с указанием PID (идентификатора процесса) и имени исполняемого файла. Если увидите, что неизвестный процесс устанавливает подключение к внешнему IP-адресу — это подозрительно.

Через Resource Monitor

  1. Нажмите Win + R, введите resmon и нажмите Enter.
  2. Перейдите на вкладку Сеть.
  3. Посмотрите раздел Активные процессы с сетевой активностью.

Здесь видно, какие процессы отправляют и получают данные. Если процесс с непонятным названием постоянно передаёт данные — стоит его изучить.

Шаг 6. Используем антивирусную проверку и специализированные утилиты

Ручной поиск хорош, но вредоносный код может быть хорошо спрятан. Используйте несколько инструментов для проверки:

Инструмент Что проверяет Когда использовать
Встроенный Защитник Windows Полная проверка системы, включая скрипты и макросы Первичная диагностика, если подозрение только появилось
Malwarebytes Потенциально нежелательные программы, скрипты, ПО для скрытого майнинга Если Защитник Windows ничего не нашёл, но подозрения остаются
AdwCleaner Адваре, браузерные расширения, вредоносные скрипты в автозагрузке Если подозрительная активность связана с браузером
Autoruns + Process Explorer (Sysinternals) Глубокий анализ автозагрузки и запущенных процессов Для ручного анализа и поиска скрытых процессов
GMER Руткиты, скрытые процессы, вредоносные внедрения в системные процессы Если есть подозрение на глубокое заражение

Важно: используйте не один, а минимум два инструмента. Защитник Windows хорош, но может пропустить специфические скрипты. Malwarebytes видит то, что Защитник считает «не угрозой», но что ведёт себя подозрительно.

Шаг 7. Проверяем целостность системных файлов

Иногда после обновления Windows системные файлы повреждаются, и это выглядит как вирусная активность. Или наоборот — вредоносный скрипт модифицирует системные файлы. В любом случае, стоит проверить:

  1. Откройте командную строку от имени администратора.
  2. Введите: sfc /scannow — проверка целостности системных файлов.
  3. После завершения введите: DISM /Online /Cleanup-Image /RestoreHealth — восстановление хранилища компонентов.

Если утилита найдёт и исправит повреждённые файлы, перезагрузите компьютер и проверьте, исчезли ли подозрительные симптомы.

Частые ошибки при поиске вредоносного скрипта

Когда люди сталкиваются с подозрительной активностью после обновления, они часто совершают одни и те же ошибки:

  • Удаляют всё подряд из автозагрузки — можно отключить нужный драйвер или компонент антивируса, после чего система перестанет работать корректно. Сначала разберитесь, что это за файл.
  • Игнорируют планировщик заданий — многие проверяют только автозагрузку и реестр, забывая про планировщик. А между тем это одно из самых популярных мест для закрепления вредоносного кода.
  • Не проверяют PowerShell — если скрипт запускается через PowerShell с параметром -WindowStyle Hidden, вы его не увидите. А он может делать что угодно.
  • Списывают всё на обновление Windows — да, обновления иногда приносят баги, но если в системе появились неизвестные процессы и сетевые подключения, скорее всего, это не баг, а вредоносный код.
  • Удаляют скрипт, но не устраняют причину его появления — если скрипт был загружен через уязвимость в сторонней программе, он вернётся после следующего обновления этой программы.
  • Не проверяют браузерные расширения — некоторые вредоносные расширения запускают скрипты при загрузке системы, и это не видно в стандартной автозагрузке.

Что делать в зависимости от ситуации

Ситуация 1: Вы нашли подозрительный скрипт, но не уверенны, вредоносный ли он

Не удаляйте сразу. Скопируйте файл в отдельную папку, проверьте его несколькими антивирусами (например, через VirusTotal — загрузите файл на сайт, и его проверят десятки антивирусов одновременно). Если большинство антивирусов помечают файл как вредоносный — удаляйте. Если мнения расходятся — изучите содержимое скрипта (откройте в блокноте). Если там есть обращения к внешним серверам, шифрование файлов или отключение антивируса — это вредоносный код.

Ситуация 2: Скрипт найден и подтверждён как вредоносный

  1. Завершите процесс через диспетчер задач (если он запущен).
  2. Удалите задание из планировщика заданий, если оно там есть.
  3. Удалите запись из реестра (ветки Run и RunOnce).
  4. Удалите сам файл скрипта.
  5. Проверьте систему полным сканированием антивируса.
  6. Проверьте браузерные расширения и удалите подозрительные.
  7. Смените пароли от важных аккаунтов — если скрипт успел передать данные.

Ситуация 3: Скрипт не найден, но подозрительная активность остаётся

Если вы проверили все основные места, но система ведёт себя странно, возможно, вредоносный код внедрился в легитимный процесс (например, через руткит). В этом случае:

  • Загрузите компьютер в безопасном режиме и проверьте антивирусом.
  • Используйте GMER или TDSSKiller для поиска руткитов.
  • Если ничего не помогает — рассмотрите возможность отката системы до точки восстановления, созданной до обновления.
  • В крайнем случае — переустановка Windows с сохранением личных файлов (через «Параметры → Восстановление → Вернуть компьютер в исходное состояние»).

Ситуация 4: Вы не уверены в своих силах

Если при виде реестра или планировщика заданий вам становится не по себе — не экспериментируйте. Неправильное изменение реестра может сделать систему незагружаемой. В этом случае:

  • Сделайте точку восстановления системы.
  • Запустите полную проверку Защитником Windows и Malwarebytes.
  • Если проблема не решена — обратитесь к специалисту.

Как предотвратить появление вредоносных скриптов в будущем

Не все проблемы можно предвидеть, но несколько простых правил значительно снижают риск:

  • Не отключайте Защитник Windows — он не идеален, но базовую защиту обеспечивает. Если используете сторонний антивирус, Защитник отключается автоматически.
  • Не запускайте скрипты из неизвестных источников — файлы .vbs, .js, .ps1, .bat, .cmd, полученные по почте или скачанные с сомнительных сайтов, могут содержать вредоносный код.
  • Обновляйте стороннее ПО — уязвимости в браузерах, офисных программах, плеерах и другом ПО часто используются для загрузки вредоносных скриптов.
  • Используйте учётную запись без прав администратора для повседневной работы — это ограничивает возможности вредоносного кода по изменению системных настроек.
  • Включите отображение расширений файлов — в проводнике: Вид → Показать/скрыть → Расширения имён файлов. Так вы сразу увидите, что файл «document.pdf.exe» — это исполняемый файл, а не документ.
  • Регулярно создавайте точки восстановления — если что-то пойдёт не так, вы сможете откатить систему.

Итог: пошаговый чек-лист

Если после обновления Windows вы подозреваете наличие вредоносного скрипта, действуйте по порядку:

  1. Проверьте автозагрузку через диспетчер задач и папки shell:startup / shell:common startup.
  2. Откройте планировщик заданий и найдите подозрительные задания.
  3. Проверьте ветки реестра Run и RunOnce.
  4. Запустите Autoruns для полной картины автозагрузки.
  5. Проверьте сетевую активность через netstat или Resource Monitor.
  6. Выполните полное сканирование минимум двумя антивирусными инструментами.
  7. Проверьте целостность системных файлов через sfc /scannow.
  8. Если скрипт найден — удалите все его следы (файл, запись в реестре, задание планировщика).
  9. Если скрипт не найден, но симптомы остаются — используйте специализированные утилиты для поиска руткитов или обратитесь к специалисту.

Главное — не паниковать и не удалять всё подряд. Вредоносный скрипт почти всегда оставляет следы в автозагрузке, планировщике или реестре. Если методично проверить все эти места, вы найдёте источник проблемы и сможете от избавиться без потери данных и переустановки системы.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком