Как проверить компьютер на скрытые rootkit-ы без платных инструментов

Rootkit опасен тем, что он не просто «висит» в системе как обычная зараза. Он может прятать процессы, файлы, драйверы и сетевые подключения от диспетчера задач, антивируса и части системных утилит. Поэтому проверять компьютер нужно не одной кнопкой «сканировать», а связкой методов: из-под чистой среды, офлайн-сканером, проверкой автозагрузки, драйверов и сетевых подключений.

Ниже — рабочий порядок действий для Windows без покупки платного софта. Он не гарантирует 100% результат, особенно если речь о firmware/UEFI-инфекции, но позволяет отсеять большинство реальных случаев и понять, нужно ли переустанавливать систему.

С чего начать: не паниковать и не проверять только одним антивирусом

Если компьютер ведёт себя странно — сам открываются окна, пропадают файлы, не запускается антивирус, браузер уводит на странные сайты, появляются неизвестные службы или драйверы — rootkit действительно может быть одной из причин. Но похожие симптомы бывают и при обычном вредоносе, сбитых настройках, проблемах с браузером или кривых драйверах.

Главная идея проверки такая: не доверять системе, которую вы проверяете. Если rootkit уже внедрился в Windows, он может скрывать себя от обычных программ. Поэтому лучше использовать несколько независимых методов:

  • проверку до загрузки Windows;
  • проверку бесплатными сканерами;
  • проверку автозагрузки и драйверов;
  • проверку сетевых подключений;
  • сравнение поведения системы из-под Live USB, если есть подозрение на серьёзное заражение.

Если вы нашли только рекламный модуль или подозрительное расширение в браузере — это ещё не rootkit. Но если вы видите скрытые процессы, странные подписанные/неподписанные драйверы, отключённый Защитник и неизвестные службы — это уже повод чистить систему глубже.

Подготовка: скачайте инструменты с другого устройства

Если есть подозрение, что компьютер заражён, не скачивайте всё прямо на нём. Лучше взять чистый ноутбук, рабочий ПК или телефон и скачать бесплатные утилиты с официальных сайтов. Потом перенести их на флешку.

Перед проверкой сделайте три вещи:

  1. Сохраните важные файлы. Фото, документы, проекты — да. Установщики программ, архивы с сомнительным содержимым и старые exe-файлы — лучше не тащить.
  2. Отключите компьютер от интернета, если видите активную подозрительную активность: неизвестные подключения, попытки входа, открытые окна, странные процессы.
  3. Смените пароли с другого устройства, если есть риск кражи данных: почта, банк, мессенджеры, рабочий аккаунт. Не делайте это на заражённом ПК до проверки.

Не надо сразу форматировать диск, если данные важны. Но и тащить всю папку Program Files на новый компьютер — плохая идея. Переносите только личные файлы и потом проверяйте их отдельно.

Какие бесплатные инструменты использовать

Для проверки без платных программ я бы собрал такой набор. Он закрывает разные уровни заражения: от обычных вредоносов до скрытых драйверов и автозагрузки.

Инструмент или метод Что помогает найти Когда использовать Ограничения
Microsoft Defender Offline Вредоносы и rootkit-компоненты, которые мешают работать в запущенной Windows Первым делом, если есть серьёзные подозрения Не всегда видит сложные или новые угрозы; после проверки всё равно нужна дополнительная проверка
Microsoft Safety Scanner Обычные вредоносы, трояны, компоненты заражения Как быстрое второе мнение после офлайн-проверки Утилита одноразовая: скачанную версию лучше обновлять или перескачивать
Kaspersky Virus Removal Tool Вирусы, трояны, руткитные компоненты, рекламное ПО Если нужно независимое бесплатное сканирование Это не полноценный постоянный антивирус, а разовый сканер
Dr.Web CureIt! Вредоносные программы, трояны, некоторые скрытые компоненты Как ещё один независимый сканер Условия использования лучше проверять на официальном сайте; для домашней проверки обычно используется бесплатно
Sysinternals Autoruns Сомнительные элементы автозагрузки, службы, драйверы, планировщики Когда нужно вручную проверить, что стартует вместе с системой Не удаляет вирусы сам; нужен внимательный разбор
Sysinternals Process Explorer Подозрительные процессы, DLL, подписи, запуск от имени системы Для ручной проверки активных процессов Продвинутые rootkit-ы могут скрываться и от таких утилит
Sysinternals TCPView Сетевые подключения процессов Если компьютер сам что-то отправляет или подключается к неизвестным адресам Некоторые легальные программы тоже держат сетевые соединения
Live USB с Linux Файлы на диске без запуска заражённой Windows Если нужно скопировать данные или проверить диск вне Windows Не лечит Windows-инфекцию; firmware/UEFI-заражение так не всегда видно

Не обязательно запускать все сканеры подряд. Но если подозрение серьёзное, я бы начал с Defender Offline, потом взял один-два независимых сканера, а после этого проверил автозагрузку и драйверы через Sysinternals.

Шаг 1. Запустите проверку до загрузки Windows

Это самый полезный бесплатный метод для проверки rootkit-ов в Windows. Смысл в том, что вредонос не успевает запуститься вместе с системой и спрятаться. Проверка идёт в отдельной среде до полной загрузки Windows.

В Windows 10 и 11 это можно сделать через параметры:

  1. Откройте ПараметрыСистемаВосстановление.
  2. В разделе «Особые варианты загрузки» нажмите Перезагрузить сейчас.
  3. Выберите Поиск и устранение неисправностейДополнительные параметрыКомандная строка или Восстановление образа системы, если такой вариант есть.
  4. Если вы хотите именно проверку Защитника, проще открыть Безопасность WindowsЗащита от вирусов и угрозПараметры сканированияПроверка автономным модулем Microsoft Defender.
  5. Нажмите Выполнить сканирование сейчас. Компьютер перезагрузится и начнёт проверку.

Проверка может занять от 15 минут до часа и больше — зависит от диска и количества файлов. После неё компьютер перезагрузится, а результат можно посмотреть в истории Защитника.

Что смотреть в результате:

  • если найдены угрозы — выполните очистку и повторите проверку;
  • если Defender не запускается, отключается или выдаёт ошибки — это плохой признак;
  • если после очистки снова появляются те же угрозы — значит, что-то восстанавливает заражение;
  • если ничего не найдено, но симптомы остаются — переходите к ручной проверке автозагрузки и драйверов.

Офлайн-проверка не панацея, но это один из лучших бесплатных способов поймать то, что обычный сканер может не увидеть.

Шаг 2. Пройдитесь независимыми бесплатными сканерами

Один антивирус может не заметить угрозу, которую видит другой. Не потому что он «плохой», а потому что базы, эвристика и методы анализа отличаются. Для проверки rootkit-ов лучше использовать хотя бы два бесплатных сканера.

Практичный порядок такой:

  1. Запустите Microsoft Safety Scanner в полном режиме проверки.
  2. Если есть подозрение на трояны или кражу данных — запустите Kaspersky Virus Removal Tool.
  3. Если после этого остаются странные симптомы — можно использовать Dr.Web CureIt! или другой известный бесплатный сканер.
  4. После каждой проверки смотрите не только на итог «угроз нет», но и на найденные объекты: путь к файлу, имя угрозы, действие.

Не запускайте десять сканеров одновременно. Это не ускорит проверку, а только создаст конфликт, нагрузку на диск и путаницу в отчётах. Лучше последовательно: один сканер, очистка, перезагрузка, второй сканер.

На что смотреть в отчёте

Если сканер нашёл угрозы в папках браузера, временных файлах или загрузках — это неприятно, но часто лечится проще. Если угроза находится в системных каталогах, связана с драйвером, службой или автозагрузкой — это серьёзнее.

Особенно насторожить должны названия и пути вроде:

  • файлы в C:\Windows\System32\drivers с подозрительными именами;
  • службы с непонятными названиями;
  • задачи планировщика, которые запускают exe-файлы из AppData, Temp или случайных папок;
  • процессы без цифровой подписи, но запущенные от имени SYSTEM;
  • файлы с именами, похожими на системные, но с ошибками: лишние буквы, похожие символы, странные расширения.

Важно: само по себе имя файла не доказывает заражение. Смотреть нужно на комбинацию: путь, подпись, автозагрузка, сетевые подключения и поведение.

Шаг 3. Проверьте автозагрузку через Autoruns

Rootkit часто закрепляется не одним файлом, а механизмом запуска: службой, драйвером, задачей планировщика или записью в реестре. Если удалить только файл, но оставить запись запуска, заражение вернётся.

Скачайте Sysinternals Autoruns с официального сайта Microsoft. Запускать лучше от имени администратора.

Перед проверкой:

  • включите проверку подписей: OptionsScan OptionsCheck VirusTotal.com, если готовы отправлять хэши файлов на проверку;
  • включите скрытие записей Microsoft: OptionsHide Microsoft Entries;
  • включите скрытие пустых записей: OptionsHide Empty Locations.

После этого Autoruns покажет в основном то, что требует внимания. Не надо blindly снимать все галочки подряд. Сначала разберитесь, что именно подозрительно.

Что выглядит подозрительно:

  • записи без производителя и без цифровой подписи;
  • файлы из C:\Users\...\AppData\Roaming, LocalAppData, Temp;
  • записи с длинным набором случайных символов в имени;
  • службы с описанием «empty» или без описания;
  • драйверы, которые загружаются при старте и не связаны с известным оборудованием;
  • задачи, которые запускают PowerShell, cmd, wscript, mshta или неизвестные exe-файлы.

Если нашли сомнительную запись, не спешите удалять. Сначала нажмите правой кнопкой → Search Online или проверьте путь файла вручную. Иногда так можно увидеть, что запись относится к драйверу принтера, эмулятору, старой игре или корпоративному агенту.

Шаг 4. Проверьте драйверы: именно здесь часто прячутся rootkit-ы

Классический rootkit в Windows часто работает на уровне драйвера. Это даёт ему больше прав, чем обычной программе. Поэтому проверка драйверов — один из ключевых этапов.

В Autoruns откройте вкладку Drivers. Смотрите на такие признаки:

  • драйвер без подписи;
  • драйвер с подписью неизвестного издателя;
  • драйвер из пользовательской папки;
  • драйвер, который запускается при загрузке, но не связан с вашим железом;
  • драйвер с именем, похожим на системный, но расположенный не там, где должен быть.

Дополнительно можно использовать Sysinternals Sigcheck. Он показывает цифровые подписи файлов. Например, можно проверить каталог драйверов:

sigcheck64.exe -q -m C:\Windows\System32\drivers

Команда покажет неподписанные или подозрительные файлы. Но тут нужна осторожность: не каждый неподписанный файл — вирус. Старые драйверы редкого оборудования, кастомные утилиты, эмуляторы и некоторые игровые античиты могут вести себя странно. Плохой признак — когда такой файл ещё и стартует автоматически, находится в сомнительной папке и имеет сетевую активность.

Шаг 5. Проверьте процессы через Process Explorer

Диспетчер задач Windows удобен, но для проверки rootkit-ов лучше использовать Process Explorer из Sysinternals. Он показывает больше деталей: путь к файлу, подпись, родительский процесс, DLL, сетевые соединения.

Запустите Process Explorer от имени администратора и включите проверку VirusTotal, если готовы отправить хэши процессов на анализ. После этого подозрительные процессы могут подсветиться цветом.

На что смотреть:

  • процесс запущен от имени SYSTEM, но файл лежит в AppData или Temp;
  • у процесса нет подписи, хотя он выглядит как системный;
  • родительский процесс странный: например, браузер запустил PowerShell, а PowerShell — неизвестный exe;
  • процесс маскируется под системный, но путь отличается от настоящего;
  • файл процесса удалён, но процесс продолжает работать.

Пример плохого сценария: вы видите процесс с именем вроде svchost.exe, но он запущен из C:\Users\User\AppData\Roaming\.... Настоящий svchost.exe обычно находится в C:\Windows\System32. Такой процесс почти наверняка подозрителен.

Не завершайте процессы наугад. Если это важный системный компонент, можно получить синий экран или сбой служб. Лучше сначала снять скриншот, записать путь, имя процесса, PID, подпись и только потом принимать решение.

Шаг 6. Посмотрите сетевые подключения через TCPView

Некоторые rootkit-ы и трояны нужны не для разрушения системы, а для удалённого доступа, кражи данных или участия в ботнете. Поэтому сетевая активность — важный индикатор.

Запустите TCPView от имени администратора. Он покажет, какие процессы куда подключаются. Не пугайтесь большого количества соединений: браузер, мессенджеры, обновления Windows и облачные клиенты могут держать много активных подключений.

Подозрительно выглядит так:

  • неизвестный процесс постоянно соединяется с одним и тем же внешним адресом;
  • процесс из Temp или AppData держит сетевое подключение;
  • после отключения интернета подозрительный процесс пытается восстановить соединение;
  • сетевая активность есть у процесса без подписи и с непонятным путем;
  • компьютер тормозит, а TCPView показывает активную передачу данных от неизвестной программы.

Если нашли подозрительное подключение, нажмите правой кнопкой по процессу и посмотрите путь к файлу. Затем проверьте этот файл через VirusTotal или через бесплатный сканер. Не блокируйте всё подряд в брандмауэре: это может сломать нормальные программы и не решит проблему, если заражение уже глубоко в системе.

Шаг 7. Проверьте компьютер из-под Live USB

Если Windows ведёт себя совсем странно — не запускаются антивирусы, удаляются файлы, появляются ошибки прав, не открывается безопасный режим — есть смысл загрузиться с Live USB. Это флешка с Linux, например Ubuntu или другой популярной сборкой. Компьютер загружается не с заражённого диска, а с флешки.

Зачем это нужно:

  • скопировать важные файлы без запуска Windows;
  • проверить диск на наличие странных файлов;
  • убедиться, что данные доступны;
  • подготовиться к чистой переустановке системы.

Как действовать:

  1. Скачайте образ Live USB на другом устройстве.
  2. Запишите его на флешку.
  3. Загрузитесь с флешки через Boot Menu.
  4. Не запускайте программы с заражённого диска.
  5. Скопируйте только нужные личные файлы на внешний диск.
  6. После этого лучше делать чистую установку Windows.

Live USB не всегда «лечит» rootkit, но помогает спасти данные и проверить диск вне заражённой системы. Если после чистой установки Windows и обновления firmware подозрительные симптомы возвращаются — это уже повод думать о более глубоком заражении или проблеме с оборудованием.

Когда обычного сканирования недостаточно

Есть ситуации, когда бесплатная проверка может показать «всё чисто», но доверять системе всё равно нельзя. Особенно если есть признаки устойчивого заражения.

Серьёзные признаки:

  • антивирус отключается сам и не включается обратно;
  • после удаления угроза появляется снова;
  • в системе появляются неизвестные службы и драйверы;
  • браузер и сетевые настройки меняются без вашего участия;
  • учётные записи получают новые права;
  • появляются новые пользователи в системе;
  • компьютер сам подключается к сети, когда вы его не используете;
  • после переустановки Windows симптомы быстро возвращаются.

Если совпали два-три таких признака, я бы не тратил много времени на бесконечную чистку. Надёжнее сохранить важные файлы, сделать чистую установку Windows, обновить BIOS/UEFI и сменить пароли с чистого устройства.

Что выбрать в зависимости от ситуации

Ситуация Что делать Чего не делать
Просто подозрение, но компьютер работает нормально Запустить Defender Offline, потом один бесплатный сканер и проверить автозагрузку Не удалять системные файлы вручную без понимания, что это
Браузер открывает рекламу, изменилась стартовая страница Проверить расширения браузера, автозагрузку, временные папки и запустить бесплатный сканер Не считать это сразу rootkit-ом: часто виновато обычное рекламное ПО
Антивирус не запускается, появляются неизвестные службы Defender Offline, два независимых сканера, Autoruns, Process Explorer, TCPView Не продолжать вводить пароли и работать с банковскими приложениями на этом ПК
Угрозы удаляются, но появляются снова Проверить автозагрузку, планировщик, службы, драйверы; при серьёзных признаках — чистая установка Не удалять только найденный файл: источник запуска останется
Есть важные данные и страх их потерять Загрузиться с Live USB, скопировать личные файлы, затем чистая установка Не переносить программы и системные файлы со старого диска
После переустановки симптомы возвращаются Обновить BIOS/UEFI, проверить флешки и внешние диски, рассмотреть замену накопителя или консультацию специалиста Не ставить старые резервные копии программ и драйверов без проверки

Частые ошибки при проверке на rootkit-ы

Большинство ошибок связаны не с отсутствием программ, а с неправильным подходом. Человек скачивает «лечилку», ждёт чуда, потом удивляется, что заражение вернулось.

  • Проверять только одним сканером. Один инструмент может не увидеть то, что видит другой. Для rootkit-ов особенно важна проверка до загрузки Windows.
  • Скачивать утилиты с сомнительных сайтов. Фейковые страницы с кнопками «Download» — отдельный риск. Берите программы только с официальных сайтов.
  • Удалять файлы вручную без понимания. Можно удалить драйвер устройства, системный компонент или запись, из-за которой Windows перестанет загружаться.
  • Считать чистку завершённой после удаления одного файла. Если осталась задача планировщика, служба или драйвер, заражение может вернуться.
  • Пользоваться старыми rootkit-сканерами. Некоторые известные утилиты давно не обновлялись и плохо подходят для современных Windows.
  • Игнорировать сетевую активность. Даже если файл не выглядит опасным, постоянные подключения неизвестного процесса — повод разобраться.
  • Переносить заражение на чистую систему. После переустановки нельзя сразу возвращать старые exe-файлы, архивы, драйверы и резервные копии программ без проверки.

Как лучше сделать, если нужно надёжно избавиться от подозрения

Если цель — не просто «проверить», а привести компьютер в состояние, которому можно доверять, самый чистый путь такой:

  1. С другого устройства скачайте бесплатные сканеры и Live USB.
  2. Запустите Microsoft Defender Offline.
  3. Пройдитесь одним-двумя независимыми бесплатными сканерами.
  4. Проверьте автозагрузку, службы, драйверы и процессы через Sysinternals.
  5. Если есть серьёзные признаки заражения — скопируйте личные файлы через Live USB.
  6. Сделайте чистую установку Windows с форматированием системного раздела.
  7. Обновите Windows, драйверы и BIOS/UEFI с официальных источников.
  8. Верните только личные файлы, а программы установите заново.
  9. Смените пароли с чистого устройства.

Да, это дольше, чем нажать одну кнопку. Но при подозрении на rootkit это самый разумный вариант: вы не пытаетесь доказать, что система чистая, а возвращаете её в известное состояние.

Можно ли полностью доказать, что rootkit-а нет

Честно — не всегда. Если вредонос живёт глубоко в драйвере, загрузчике или firmware/UEFI, обычные бесплатные средства могут его не увидеть. Даже после чистой установки Windows такая инфекция теоретически может вернуться, хотя в обычной жизни это встречается гораздо реже, чем классические трояны и рекламное ПО.

Практический ориентир такой: если после чистой установки, обновления BIOS/UEFI и возврата только проверенных личных файлов система ведёт себя нормально несколько дней — риск можно считать низким. Если странности повторяются, лучше не экспериментировать, а обратиться к специалисту или заменить накопитель/оборудование, если есть основания подозревать аппаратный уровень.

Короткий итог

Проверить компьютер на скрытые rootkit-ы без платных инструментов можно, но делать это нужно правильно: не одним сканером, а комбинацией офлайн-проверки, бесплатных сканеров, ручной проверки автозагрузки, драйверов, процессов и сетевых подключений.

Минимальный рабочий сценарий такой: сначала Microsoft Defender Offline, затем один-два бесплатных сканера, потом Autoruns, Process Explorer и TCPView. Если находите подозрительные службы, драйверы или процессы — не удаляйте всё подряд, а проверяйте путь, подпись и источник запуска.

Если заражение возвращается, антивирус отключается сам или после переустановки симптомы появляются снова — не тратьте часы на бесконечную чистку. Сохраните важные файлы через Live USB, сделайте чистую установку Windows, обновите firmware и смените пароли с другого устройства.

Оцените статью
PEFile — Безопасность и технологии простым языком