Обнаружить слежку не нужно быть волшебником или иметь диплом программиста — достаточно систематически проверить несколько ключевых мест, где шпионское ПО обычно оставляет следы. Воспользуйтесь Диспетчером задач, командой netstat -ano, утилитой Autoruns из пакета Sysinternals, Планировщиком заданий и проверкой прав учётной записи. Этого достаточно, чтобы заметить подозрительные процессы, неожиданные подключения к внешним серверам и записи в автозагрузке.
Сигналы тревоги редко бывают голливудскими. Компьютер без причины начинает тормозить, курсор дёргается сам по себе, вентилятор шумит по ночам, а индикатор камеры загорается, когда в кадре никого нет. Добавьте сюда неизвестные учётные записи, странные правила брандмауэра, отсутствие обновлений антивируса — и картина постепенно складывается.
После обнаружения вредоносного ПО смените пароли с другого чистого устройства, отключите компьютер от сети, выполните полное сканирование программами Malwarebytes, ESET или Microsoft Defender Offline. В случае серьёзного взлома лучше переустановить систему с чистого носителя. Если речь идёт о stalkerware в контексте домашнего насилия — сначала сохраните доказательства и только потом удаляйте.
Первые сигналы, которые нельзя игнорировать
Компьютер под наблюдением stalkerware или RAT (Remote Access Trojan) обычно не показывает мигающую надпись «я заражён». Наоборот — лучшее шпионское ПО работает тихо, экономно и почти незаметно, сливаясь с операционной системой. Чем меньше следов оно оставляет, тем эффективнее выполняет свою задачу. Поэтому важно научиться замечать subtle нюансы, которые на фоне обычных поломок выглядят совершенно безобидно.
Замедление работы системы само по себе ещё ни о чём не говорит — виноватым может быть забитый SSD, нехватка оперативной памяти или фоновые обновления. Ситуация меняется, если тормоза возникают только во время печати (классический признак кейлоггера) или когда вентилятор активно работает в отсутствие пользователя. Эти два паттерна — выборочный и ночной — гораздо более показательны, чем просто «что-то начало тормозить».
Второй важный признак — индикатор камеры. Производители ноутбуков (Lenovo, Dell, HP, Apple) специально сделали его аппаратным, чтобы его нельзя было отключить программно. Краткое мигание при запуске — нормально, инициализируется драйвер. Настораживать должно, когда лампочка горит во время просмотра фильма или ночью. Так же внимательно относитесь к необычным иконкам микрофона в панели задач Windows 11 — система показывает их каждый раз, когда приложение обращается к микрофону.
Третья категория сигналов — мелкие странности: аномальное поведение курсора, внезапное открытие и закрытие окон, резкие изменения стартовой страницы браузера, неизвестные расширения в Chrome или Firefox, письма, помеченные как прочитанные, хотя вы их не открывали. Один симптом ничего не значит. Три-четыре вместе — уже чёткая закономерность.
Типология инструментов слежки: что именно может сидеть в системе
Прежде чем начинать охоту, полезно понимать, на кого вы охотитесь. Spyware — широкий термин, который включает несколько классов программ, и каждая оставляет свои характерные следы. Знание этих различий может сократить время диагностики в разы.
| Тип ПО | Что именно делает | Типичный след в системе | Кто обычно устанавливает |
|---|---|---|---|
| Кейлоггер | Записывает каждое нажатие клавиш, иногда делает снимки экрана | Хук клавиатуры, файлы .log в AppData, трафик SMTP/HTTPS | Киберпреступники, партнёр, работодатель без согласия |
| RAT (Remote Access Trojan) | Полный удалённый контроль: файлы, камера, микрофон, команды | Открытый порт прослушивания, подключение к C&C-серверу | Хакеры, целенаправленные атакующие |
| Stalkerware | Постоянная слежка за партнёром: история, геолокация, снимки | Скрытое приложение, права администратора, автозагрузка | Близкий человек с физическим доступом |
| Коммерческий мониторинг сотрудников | Отчёты о продуктивности, блокировка сайтов, снимки экрана | Видимая служба, политика GPO, иконка в трее | Работодатель (обычно легально, с уведомлением) |
| Adware со шпионскими функциями | Профилирование интересов, продажа данных рекламодателям | Расширения браузера, панели инструментов, всплывающие окна | Сами пользователи — добровольно, но неосознанно |
Источники классификации: документация Malwarebytes, словарь Fortinet и отчёты CrowdStrike о кейлоггерах.
Масштаб проблемы растёт быстрее, чем кажется большинству из нас. Согласно отчёту Kaspersky «The State of Stalkerware», в 2024–2025 годах жертвами stalkerware стали более 34 тысяч пользователей в 160+ странах, причём Россия, Бразилия и Индия традиционно лидируют. Это данные по смартфонам — десктопные версии регистрируются реже, потому что антивирусы часто относят их к «потенциально нежелательным» программам, а не к полноценному malware.
Диспетчер задач и Process Explorer: первый рубеж диагностики
Сочетание Ctrl + Shift + Esc открывает Диспетчер задач — простой, но очень полезный инструмент. Перейдите на вкладку «Подробно» и отсортируйте процессы по алфавиту. Для каждого незнакомого процесса кликните правой кнопкой мыши и выберите «Открыть расположение файла». Легитимные системные процессы находятся в C:WindowsSystem32 или Program Files. Всё, что запускается из AppDataRoaming, Temp или корня пользовательской папки, — классический признак malware.
У Диспетчера задач есть серьёзные ограничения: он не показывает полную иерархию процессов, не проверяет цифровые подписи и не видит скрытые потоки. Для более глубокого анализа используйте Process Explorer из пакета Sysinternals. Скачайте с learn.microsoft.com, запустите procexp.exe от имени администратора. Программа покажет дерево процессов, подсветит упакованные файлы (розовый цвет — часто плохой знак) и позволит проверить цифровую подпись через контекстное меню («Verify»).
Классический случай из практики: процесс с названием вроде svhost.exe (вместо svchost.exe), scvhost.exe или explore.exe почти наверняка вредоносный. Второй тревожный сигнал — svchost.exe, у которого родительский процесс не services.exe. Process Explorer покажет это мгновенно.
Netstat и TCPView: с кем разговаривает ваш компьютер
Любое серьёзное шпионское ПО рано или поздно отправляет данные на управляющий сервер. Это момент, когда его можно поймать. Откройте командную строку от имени администратора и выполните:
netstat -ano
Команда покажет все активные подключения TCP/UDP, порты прослушивания и PID процессов. Обратите внимание на ESTABLISHED (активное соединение) и LISTENING (порт в ожидании). Настораживать должны подключения к далёким IP-адресам в моменты бездействия, прослушка на нестандартных портах и регулярные «heartbeat»-сообщения.
Для удобства используйте TCPView из Sysinternals — она показывает соединения в реальном времени, позволяет быстро завершать подозрительные сессии. Геолокацию IP можно проверить на whois.domaintools.com или ipinfo.io.
Важное замечание: Windows 11 сам активно «болтает» с серверами Microsoft (телетрия, OneDrive, Defender). Команда netstat -fb помогает быстро отделить легитимный трафик.
Autoruns и Планировщик заданий: где слежка закрепляется надолго
Шпионское ПО должно пережить перезагрузку, поэтому оно цепляется за автозагрузку. Autoruns — одно из самых мощных и недооценённых инструментов Microsoft. Запустите его, включите фильтры «Hide Microsoft Entries» и «Hide Windows Entries» — сразу увидите подозрительные записи. Проверяйте всё без цифровой подписи или с необычными путями через VirusTotal.
Дополнительно откройте taskschd.msc и внимательно изучите задачи, особенно те, которые запускают файлы из AppData/Temp или используют PowerShell с -encodedcommand.
Полный список мест для проверки:
- Программы и компоненты в Панели управления — удаляйте всё незнакомое после проверки в поисковике.
- Автозагрузка (Параметры → Приложения → Автозагрузка).
- Службы (services.msc).
- Учётные записи пользователей (lusrmgr.msc).
- Расширения браузеров.
- Правила брандмауэра (wf.msc).
- Файл hosts (C:WindowsSystem32driversetchosts).
Перед удалением любого подозрительного элемента обязательно погуглите его название.
Антивирус, антималварь и второе мнение
Microsoft Defender в Windows 11 стал очень сильным, но stalkerware часто обходит его, так как формально не считается malware. Используйте дополнительные сканеры: Malwarebytes Free, ESET Online Scanner, Kaspersky Virus Removal Tool или HitmanPro. Для сложных случаев — Microsoft Defender Offline.
Rootkit'ы и bootkit'ы могут пережить даже переустановку. В подозрительных случаях используйте специализированные инструменты вроде GMER или ESET SysRescue Live.
Что делать после обнаружения — порядок действий критически важен
Не спешите всё удалять — особенно если это stalkerware от близкого человека. Сначала:
- С чистого устройства смените все важные пароли и включите 2FA (лучше через приложения, а не SMS).
- Сделайте резервную копию только важных файлов (без .exe).
- Проведите полное сканирование в безопасном режиме.
- Проверьте установленные сертификаты (certmgr.msc).
- При необходимости — чистая установка Windows с форматированием.
- При домашнем насилии — обратитесь в «Голубую линию» (800 120 002) или Фонд Feminoteka до удаления следов.
Профилактика: как не допустить слежки
Лучшая защита — профилактика. Основные привычки:
- Включите BitLocker или Device Encryption.
- Поставьте пароль на BIOS/UEFI.
- Работайте из учётной записи без прав администратора.
- Регулярно обновляйте всё.
- Используйте физическую шторку для камеры.
- Не открывайте подозрительные ссылки и вложения.
- Ведите пароли в менеджере (Bitwarden, KeePassXC).
Пять минут в неделю на проверку Process Explorer и Autoruns могут сэкономить месяцы нервов.