Wykrycie inwigilacji nie wymaga magii ani doktoratu z informatyki — wystarczy systematyczne sprawdzenie kilku miejsc, w których oprogramowanie szpiegujące zostawia ślady. Sięgnij po Menedżera zadań, polecenie netstat -ano, narzędzie Autoruns z pakietu Sysinternals, harmonogram zadań i przegląd uprawnień konta. To wystarczy, by zauważyć podejrzane procesy, niespodziewane połączenia z zewnętrznymi serwerami oraz wpisy w autostarcie.
Sygnały ostrzegawcze rzadko bywają hollywoodzkie. Komputer działa wolniej bez powodu, kursor podryguje samodzielnie, wentylator pracuje w nocy, a dioda kamery zapala się w momentach, gdy nikogo nie ma w kadrze. Dodaj do tego nieznane konta w systemie, dziwne reguły zapory, brak aktualizacji antywirusa — i obraz powoli się składa.
Po wykryciu szkodliwego oprogramowania zmień hasła z innego, czystego urządzenia, odłącz komputer od sieci, wykonaj pełne skanowanie programem klasy Malwarebytes, ESET lub Microsoft Defender Offline, a w razie poważnego naruszenia rozważ reinstalację systemu z czystego nośnika. Jeśli sprawa dotyczy stalkerware w kontekście przemocy domowej — najpierw zabezpiecz dowody, dopiero potem usuwaj.
Pierwsze sygnały, których nie wolno bagatelizować
Komputer monitorowany przez stalkerware albo RAT-a (Remote Access Trojan) zwykle nie wyświetla mrugającego napisu „jestem zainfekowany”. Przeciwnie — najlepsze oprogramowanie szpiegujące pracuje cicho, oszczędnie, niemal symbiotycznie z systemem operacyjnym. Im mniej śladów zostawia, tym lepiej spełnia swoje zadanie. Dlatego trzeba nauczyć się dostrzegać niuanse, które obok zwykłej awarii sprzętu wyglądają niewinnie.
Wolniejsze działanie systemu samo w sobie niczego nie udowadnia — winowajcą może być zatkany dysk SSD, zbyt mało RAM-u albo wieczna aktualizacja w tle. Sytuacja zmienia się, gdy spowolnienie pojawia się tylko podczas pisania (klasyczny znak keyloggera przechwytującego klawisze) lub gdy wentylator szaleje w czasie, kiedy nikt nie korzysta z komputera. Te dwa wzorce — wybiórczy i nocny — są o wiele bardziej diagnostyczne niż samo „komuś coś wolno chodzi”.
Drugi trop to dioda kamery. Producenci laptopów (Lenovo, Dell, HP, Apple) montują tę kontrolkę sprzętowo właśnie po to, by nie dało się jej obejść po stronie oprogramowania. Krótkie mignięcie podczas startu jest normalne — to sterownik się inicjalizuje. Niepokojące zaczyna być wtedy, gdy lampka świeci podczas oglądania filmu albo w nocy. Identycznie traktuj nietypowe ikony mikrofonu w pasku zadań Windows 11 (system pokazuje je za każdym razem, gdy aplikacja sięga po mikrofon).
Trzecia kategoria sygnałów to drobne anomalie w zachowaniu kursora, gwałtowne uruchamianie i zamykanie się okien, nagłe zmiany strony startowej w przeglądarce, nieznane rozszerzenia w Chrome czy Firefoksie, wiadomości e-mail oznaczone jako przeczytane, choć nikt ich nie otwierał. Sam jeden objaw nic nie znaczy. Trzy czy cztery razem — to już wzór.
Typologia narzędzi inwigilacji: co właściwie może siedzieć w systemie
Zanim zaczniesz polować, warto wiedzieć, na kogo polujesz. Spyware to szeroki termin obejmujący kilka różnych klas oprogramowania, a każda z nich zostawia inne ślady. Świadomość tych różnic skraca czas diagnozy nawet o połowę.
| Typ oprogramowania | Co dokładnie robi | Typowy ślad w systemie | Kto stoi za instalacją |
|---|---|---|---|
| Keylogger | Zapisuje każde uderzenie w klawisz, czasem zrzuty ekranu | Hak klawiatury, pliki .log w AppData, ruch SMTP/HTTPS | Cyberprzestępcy, partner, pracodawca bez zgody |
| RAT (Remote Access Trojan) | Pełna kontrola zdalna: pliki, kamera, mikrofon, polecenia | Otwarty port nasłuchu, połączenie z serwerem C&C | Hakerzy, atakujący ukierunkowani |
| Stalkerware | Stała inwigilacja partnera: historia, lokalizacja, zrzuty | Ukryta aplikacja, prawa administratora, autostart | Bliska osoba z fizycznym dostępem |
| Komercyjne monitorowanie pracowników | Raporty produktywności, blokady stron, zrzuty ekranu | Widoczna usługa, polityka GPO, ikona w trayu | Pracodawca (zwykle legalnie, z poinformowaniem) |
| Adware ze szpiegowaniem | Profilowanie zainteresowań, sprzedaż danych reklamodawcom | Rozszerzenia przeglądarki, paski narzędzi, popupy | Sami użytkownicy — dobrowolnie, choć nieświadomie |
Źródła klasyfikacji: dokumentacja Malwarebytes (malwarebytes.com), słownik Fortinet oraz raport CrowdStrike o keyloggerach.
Skala problemu rośnie szybciej, niż większości z nas się wydaje. Według raportu Kaspersky „The State of Stalkerware”, w okresie 2024–2025 ofiarami programów stalkerware padło ponad 34 tysiące użytkowników w ponad 160 krajach, a Rosja, Brazylia i Indie utrzymują się w czołówce. To liczby ze smartfonów — wersje desktopowe rejestrowane są rzadziej, bo trudniej je wykryć narzędziami antywirusowymi traktującymi takie programy jak „potencjalnie niechciane” zamiast jako jednoznaczne malware.
Menedżer zadań i Eksplorator procesów: pierwszy front diagnozy
Wciśnięcie Ctrl + Shift + Esc otwiera Menedżera zadań — narzędzie banalne, a jednak potrafi pokazać niezłą galerię niespodzianek. Przejdź na zakładkę „Szczegóły” i posortuj procesy alfabetycznie. Każdy, którego nazwa nic ci nie mówi, kliknij prawym przyciskiem i wybierz „Otwórz lokalizację pliku”. Legalne programy systemowe siedzą w C:WindowsSystem32 albo w Program Files. Procesy uruchomione z folderów AppDataRoaming, Temp czy z głównego katalogu użytkownika to klasyczna sygnatura malware — twórcy szkodników lubią te lokalizacje, bo nie wymagają uprawnień administratora.
Menedżer zadań ma jednak ograniczenia, których nie sposób przeskoczyć. Nie pokazuje pełnej hierarchii procesów rodzic-dziecko, nie weryfikuje podpisów cyfrowych, nie ujawnia ukrytych wątków. Dlatego do poważniejszej analizy używaj Process Explorer z pakietu Sysinternals — darmowego narzędzia Microsoftu, które kupiło je razem z firmą Marka Russinovicha lata temu. Po pobraniu z domeny learn.microsoft.com uruchom procexp.exe jako administrator. Program pokaże drzewo procesów, podświetli kolorami pakowane pliki (różowy często bywa zwiastunem złych wieści) i — co najważniejsze — pozwoli sprawdzić podpis cyfrowy przez prawe kliknięcie i opcję „Verify”.
Konkretny scenariusz z praktyki: jeśli widzisz proces o nazwie zbliżonej do systemowej (np. svhost.exe zamiast svchost.exe, scvhost.exe, explore.exe) — masz niemal pewność, że to malware. Cyberprzestępcy notorycznie podszywają się pod znane procesy, licząc na pobieżne spojrzenie. Drugi czerwony alert to svchost.exe, którego rodzicem nie jest services.exe, a coś zupełnie innego. Process Explorer pokazuje to natychmiast.
Netstat i TCPView: rozmowy twojego komputera ze światem
Każde poważne oprogramowanie szpiegujące musi w pewnym momencie zrobić jedną rzecz — wysłać zebrane dane na serwer kontrolny. To moment, w którym daje się przyłapać. Otwórz wiersz polecenia jako administrator i wpisz:
netstat -ano
Polecenie wyświetla wszystkie aktywne połączenia TCP/UDP, porty nasłuchujące oraz identyfikatory procesów (PID). Kolumna „Stan” z wartością ESTABLISHED oznacza aktywne połączenie, LISTENING — port czekający na pukanie z zewnątrz. Co powinno cię zaniepokoić? Połączenia z dziwnymi, geograficznie odległymi adresami IP w momentach, gdy nie korzystasz z internetu. Nasłuchy na niestandardowych portach (powyżej 1024) bez oczywistego programu, który by je zajmował. Powtarzające się, krótkie komunikaty wychodzące — typowe „heartbeat” utrzymujący kontakt z serwerem C&C.
Każdy PID dopasujesz do procesu w Menedżerze zadań albo szybciej: tasklist /FI „PID eq 1234”. Jeszcze wygodniej działa TCPView, kolejne narzędzie z pakietu Sysinternals. Pokazuje połączenia w czasie rzeczywistym, wyróżnia kolorem nowe i zamykające się, pozwala kliknąć prawym i zakończyć podejrzane sesje jednym ruchem. Geolokalizację adresu IP sprawdzisz na publicznych serwisach typu whois.domaintools.com albo ipinfo.io — jeśli twój komputer regularnie rozmawia z serwerem w kraju, z którym nie masz nic wspólnego, czas pogłębić śledztwo.
Warto dodać uwagę z mojej praktyki: nowoczesny Windows 11 sam generuje sporo szumu sieciowego — telemetria Microsoftu, OneDrive, Microsoft Store, Defender pobierający sygnatury. Nie każde połączenie z domeną w stylu *.microsoft.com to atak. Polecenie netstat -fb (z prawami administratora) pokazuje nazwy procesów obok adresów, co od razu odsiewa niewinne.
Autoruns i harmonogram zadań: gdzie szpiegowanie zakorzenia się trwale
Oprogramowanie monitorujące musi przeżyć restart komputera. Bez tego po pierwszym wyłączeniu byłoby już historią. Dlatego każdy szanujący się szkodnik zakotwicza się w jednym z miejsc autostartu Windows — a tych jest sporo. Klucze rejestru Run, RunOnce, folder Startup, usługi systemowe, zaplanowane zadania, sterowniki ładowane przy starcie, rozszerzenia powłoki Eksploratora. Sprawdzanie tego ręcznie zajęłoby tydzień.
Tu wchodzi Autoruns — moim zdaniem najbardziej niedoceniane narzędzie w arsenale Microsoftu. Po uruchomieniu pokazuje absolutnie każdy element ładowany przy starcie systemu, podpisy cyfrowe, ścieżki plików, opisy. Włącz w menu „Options” opcje „Hide Microsoft Entries” i „Hide Windows Entries” — od razu zobaczysz tylko to, co dodały aplikacje firm trzecich. Każda pozycja bez podpisu cyfrowego, z dziwną ścieżką lub bez producenta zasługuje na sprawdzenie w VirusTotal (Autoruns ma to wbudowane przez kliknięcie prawym przyciskiem).
Równolegle otwórz taskschd.msc — harmonogram zadań. Tu chowają się te szkodniki, które chcą działać co kilka minut bez budzenia podejrzeń. Przejrzyj „Bibliotekę harmonogramu zadań”, ze szczególną uwagą folder główny i niestandardowe katalogi. Każde zadanie sprawdź na zakładce „Akcje”: jeśli uruchamia plik z AppData, Temp albo PowerShella z zakodowanymi parametrami w stylu -encodedcommand, masz solidny powód do niepokoju.
Lista miejsc, które warto przejrzeć przy podejrzeniu monitoringu — w kolejności od najczęstszych do najbardziej egzotycznych:
- Programy i funkcje w Panelu Sterowania — odinstaluj wszystko, czego nie rozpoznajesz po wcześniejszym sprawdzeniu nazwy w wyszukiwarce. Stalkerware czasem instaluje się jawnie pod ogólnikową nazwą typu „System Service” czy „Network Helper”.
- Aplikacje uruchamiane przy starcie (Ustawienia → Aplikacje → Uruchamianie w Windows 11) — szybki, choć niepełny przegląd.
- Usługi systemowe (services.msc) — szukaj wpisów bez producenta, z dziwnymi opisami lub uruchamiających pliki z nietypowych ścieżek.
- Konta użytkowników (lusrmgr.msc w wersjach Pro lub Ustawienia → Konta) — czy nie ma kont, których nie utworzyłeś? Zwłaszcza z uprawnieniami administratora.
- Rozszerzenia przeglądarki — Chrome, Edge, Firefox; te działają jak szpiedzy w samym sercu aktywności online.
- Reguły zapory Windows Defender (wf.msc) — szukaj zezwoleń wychodzących, których nie pamiętasz, zwłaszcza dla programów z folderów tymczasowych.
- Folder Hosts (C:WindowsSystem32driversetchosts) — przekierowania na fałszywe domeny bankowe to klasyczny trik.
Każdą znalezioną podejrzaną pozycję wyszukaj najpierw w Google, zanim cokolwiek usuniesz — w 2026 roku potrafi okazać się, że to legalny komponent sterownika kamery, którego po prostu nie znasz.
Antywirus, antymalware i drugie zdanie
Microsoft Defender wbudowany w Windows 11 stał się w ostatnich latach naprawdę solidnym strażnikiem — w testach AV-Comparatives i AV-TEST regularnie utrzymuje wyniki na poziomie 99% w detekcji powszechnych zagrożeń. Sęk w tym, że stalkerware często formalnie nie jest „malware” w klasycznym sensie. To programy z legalnymi certyfikatami, sprzedawane oficjalnie jako „kontrola rodzicielska” albo „monitor pracowników”, więc Defender bywa wobec nich pobłażliwy.
Z tego powodu warto użyć drugiego silnika antywirusowego — nie zamiast Defendera, lecz obok niego do jednorazowego skanu. Malwarebytes Free, ESET Online Scanner, Kaspersky Virus Removal Tool czy HitmanPro radzą sobie z wykrywaniem stalkerware znacznie lepiej, między innymi dlatego, że ich twórcy współpracują z Coalition Against Stalkerware. Dla najpoważniejszych przypadków uruchom Microsoft Defender Offline — skanowanie startuje przed załadowaniem systemu, więc szkodnik nie może się ukryć ani bronić.
Pamiętaj o jednej rzeczy, którą pomijają poradniki w stylu „kliknij skanuj”: rootkity i bootkity potrafią przeżyć nawet reinstalację systemu, jeśli zagnieżdżą się w UEFI. To rzadkość w atakach na pojedynczych użytkowników, ale jeśli mamy do czynienia z ukierunkowanym monitoringiem (były partner z wiedzą techniczną, atak przez podstawiony pendrive), warto rozważyć narzędzia takie jak chkrootkit, GMER albo komercyjne ESET SysRescue Live na bootowalnym pendrive.
Co robić po wykryciu — kolejność ma znaczenie
Pierwszy odruch — natychmiast skasować, wyczyścić, sformatować — bywa najgorszą decyzją. Zwłaszcza w przypadku stalkerware używanego przez bliską osobę, gdzie usunięcie alarmuje sprawcę. Organizacje wspierające ofiary przemocy domowej, w tym Refuge i Coalition Against Stalkerware, otwarcie odradzają błyskawiczne kasowanie i rekomendują wcześniejsze zabezpieczenie dowodów oraz konsultację ze specjalistą.
Bezpieczna sekwencja działań wygląda mniej więcej tak:
- Z innego, czystego urządzenia (telefon znajomego, służbowy laptop, biblioteka publiczna) zmień hasła do najważniejszych kont — bank, e-mail, media społecznościowe, menedżer haseł. Włącz dwuetapowe uwierzytelnianie wszędzie, gdzie się da, najlepiej z aplikacją typu Authy czy Google Authenticator, nie SMS-em.
- Zrób kopię zapasową swoich dokumentów na zewnętrzny dysk — ale tylko plików, nie programów ani plików wykonywalnych, by nie przenieść szkodnika.
- Wykonaj pełne skanowanie co najmniej dwoma niezależnymi narzędziami w trybie awaryjnym z obsługą sieci.
- Sprawdź listę zainstalowanych certyfikatów (certmgr.msc) — niektóre szkodniki dodają własne CA, by przechwytywać zaszyfrowany ruch HTTPS.
- Przy poważnym naruszeniu przygotuj nośnik z czystą instalacją Windows 11 (pobrany z innego komputera) i wykonaj pełną, „czystą” instalację z formatowaniem dysku. Nie reset systemu — pełna reinstalacja.
- Jeśli sprawa dotyczy przemocy domowej, skontaktuj się z Niebieską Linią (800 120 002 w Polsce) lub z Fundacją Feminoteka, zanim zaczniesz cokolwiek usuwać.
Po reinstalacji nie loguj się natychmiast wszędzie. Zmień hasła jeszcze raz, sprawdź ustawienia bezpieczeństwa w głównych usługach (Google, Microsoft, Apple) pod kątem nieznanych urządzeń z aktywną sesją. To moment, w którym wreszcie odzyskujesz kontrolę.
Profilaktyka, czyli jak nigdy więcej nie wrócić do tego punktu
Najlepszy sposób na wykrycie monitoringu to nigdy nie pozwolić, żeby się zaczął. Brzmi banalnie, ale większość przypadków stalkerware bierze się z momentów nieuwagi — pożyczony komputer, niezablokowany ekran w pracy, instalacja „pomocnego” programu polecanego przez znajomego.
Kilka nawyków, które realnie obniżają ryzyko:
- Pełnodyskowe szyfrowanie BitLocker (Windows 11 Pro) lub Device Encryption (Windows 11 Home) — bez tego ktoś z fizycznym dostępem może wyciągnąć dysk i zrobić z nim co zechce.
- Hasło BIOS/UEFI blokujące zmianę kolejności bootowania, plus wyłączenie bootowania z USB w środowiskach wysokiego ryzyka.
- Osobne konto użytkownika bez uprawnień administratora do codziennej pracy — większość szkodników nie zainstaluje się bez UAC.
- Regularne aktualizacje systemu, przeglądarek, antywirusa — Microsoft Patch Tuesday w drugi wtorek miesiąca to dobra okazja do przeglądu.
- Fizyczna przesłonka kamery (kosztuje 5 złotych, ratuje prywatność) i nawyk wyciszania mikrofonu, gdy z niego nie korzystasz.
- Zasada: żaden link z SMS-a, żaden załącznik od nieznanego nadawcy, żaden „darmowy generator kluczy” — najwięcej infekcji w 2025 i 2026 roku zaczyna się dokładnie tam.
- Menedżer haseł (Bitwarden, KeePassXC, 1Password) — nawet jeśli keylogger przechwyci jedno hasło, pozostałe są bezpieczne.
Drobna refleksja na koniec: prywatność w 2026 roku jest jak forma fizyczna — nie da się jej kupić jednym kliknięciem, wymaga drobnych, systematycznych decyzji. Co tydzień zerknij w Process Explorer, raz w miesiącu uruchom Autoruns, co kwartał przejrzyj rozszerzenia przeglądarki. Pięć minut, które oszczędza miesiące tłumaczenia, dlaczego nieznany ktoś czyta twoje wiadomości i wie, gdzie byłeś wczoraj wieczorem.