Виявити стеження не потребує магії чи докторського ступеня з інформатики — достатньо систематично перевірити кілька ключових місць, де шпигунське ПЗ зазвичай залишає сліди. Скористайтеся Диспетчером завдань, командою netstat -ano, інструментом Autoruns з пакета Sysinternals, планувальником завдань і перевіркою прав облікового запису. Цього вистачить, щоб помітити підозрілі процеси, несподівані з’єднання із зовнішніми серверами та записи в автозавантаженні.
Сигнали тривоги рідко бувають голлівудськими. Комп’ютер раптом починає працювати повільніше без видимої причини, курсор смикається сам по собі, вентилятор шумить уночі, а індикатор камери загоряється, коли нікого немає перед нею. Додайте сюди невідомі облікові записи в системі, дивні правила брандмауера, відсутність оновлень антивіруса — і поступово вимальовується чітка картина.
Після виявлення шкідливого ПЗ змініть паролі з іншого чистого пристрою, від’єднайте комп’ютер від мережі, виконайте повне сканування програмами на кшталт Malwarebytes, ESET або Microsoft Defender Offline. У разі серйозного втручання краще перевстановити систему з чистого носія. Якщо йдеться про stalkerware в контексті домашнього насильства — спочатку зберегіть докази і лише потім видаляйте.
Перші сигнали, які не можна ігнорувати
Комп’ютер під моніторингом через stalkerware або RAT (Remote Access Trojan) зазвичай не показує миготливого напису «я заражений». Навпаки — найкраще шпигунське ПЗ працює тихо, економно й майже непомітно для системи. Чим менше слідів воно залишає, тим успішніше виконує своє завдання. Тому важливо навчитися помічати нюанси, які на перший погляд здаються звичайною поломкою техніки.
Повільніша робота системи сама по собі ще нічого не доводить — причиною може бути засмічений SSD, брак оперативної пам’яті чи фонові оновлення. Але ситуація стає підозрілою, коли уповільнення виникає лише під час набору тексту (класична ознака кейлогера) або коли вентилятор активно працює вночі, коли ніхто не користується комп’ютером. Саме ці вибіркові та нічні прояви набагато красномовніші, ніж просто «щось повільно працює».
Другий важливий сигнал — індикатор камери. Виробники ноутбуків (Lenovo, Dell, HP, Apple) вбудовують його апаратно саме для того, щоб програмно його не можна було вимкнути. Коротке мигання при запуску — норма, це ініціалізується драйвер. А от коли лампочка загоряється під час перегляду фільму чи вночі — це вже привід для занепокоєння. Так само звертайте увагу на несподівані іконки мікрофона в панелі завдань Windows 11: система показує їх щоразу, коли програма звертається до мікрофона.
Третя група сигналів — дрібні аномалії: хаотична поведінка курсора, раптове відкривання й закривання вікон, зміни стартової сторінки в браузері, невідомі розширення в Chrome чи Firefox, листи, позначені як прочитані, хоча ви їх не відкривали. Один симптом може бути випадковістю, але три-чотири разом уже формують чітку картину.
Типологія інструментів стеження: що саме може сидіти в системі
Перш ніж починати пошуки, корисно зрозуміти, на кого саме ви полюєте. Spyware — це широкий термін, який охоплює різні класи програм, і кожен залишає свої характерні сліди. Розуміння цих відмінностей може скоротити час діагностики навіть удвічі.
| Тип програмного забезпечення | Що саме робить | Типовий слід у системі | Хто зазвичай встановлює |
|---|---|---|---|
| Кейлогер | Записує кожне натискання клавіш, іноді робить скріншоти | Хук клавіатури, файли .log в AppData, трафік SMTP/HTTPS | Кіберзлочинці, партнер, роботодавець без згоди |
| RAT (Remote Access Trojan) | Повний віддалений контроль: файли, камера, мікрофон, команди | Відкритий порт прослуховування, з’єднання з сервером C&C | Хакери, цілеспрямовані атакувальники |
| Stalkerware | Постійне стеження за партнером: історія, геолокація, скріншоти | Прихований застосунок, права адміністратора, автозавантаження | Близька людина з фізичним доступом |
| Комерційний моніторинг працівників | Звіти про продуктивність, блокування сайтів, скріншоти | Видима служба, політика GPO, іконка в треї | Роботодавець (зазвичай легально, з повідомленням) |
| Adware зі шпигунством | Профілювання інтересів, продаж даних рекламодавцям | Розширення браузера, панелі інструментів, спливаючі вікна | Самі користувачі — добровільно, хоч і неусвідомлено |
Джерела класифікації: документація Malwarebytes (malwarebytes.com), словник Fortinet та звіт CrowdStrike про кейлогери.
Масштаб проблеми зростає швидше, ніж здається більшості з нас. Згідно зі звітом Kaspersky «The State of Stalkerware», у 2024–2025 роках жертвами stalkerware стали понад 34 тисячі користувачів у більш ніж 160 країнах. Росія, Бразилія та Індія традиційно лідирують. Це дані зі смартфонів — десктопні версії реєструються рідше, адже їх складніше виявити антивірусам, які часто класифікують такі програми як «потенційно небажані», а не як однозначне шкідливе ПЗ.
Диспетчер завдань і Провідник процесів: перший рубіж діагностики
Натискання Ctrl + Shift + Esc відкриває Диспетчер завдань — простий, але дуже корисний інструмент. Перейдіть на вкладку «Подробиці» та відсортуйте процеси за алфавітом. Кожен процес із незрозумілою назвою клацніть правою кнопкою миші та оберіть «Відкрити розташування файлу». Легальні системні програми зазвичай знаходяться в C:WindowsSystem32 або Program Files. А от процеси з папок AppDataRoaming, Temp чи кореневого каталогу користувача — класична ознака шкідливого ПЗ. Зловмисники люблять ці місця, бо для них не потрібні права адміністратора.
Однак Диспетчер завдань має суттєві обмеження: він не показує повну ієрархію процесів, не перевіряє цифрові підписи та не розкриває приховані потоки. Для глибшої діагностики використовуйте Process Explorer з пакета Sysinternals — потужний безкоштовний інструмент від Microsoft. Завантажте його з learn.microsoft.com і запустіть procexp.exe від імені адміністратора. Програма покаже дерево процесів, підсвітить підозрілі файли кольором (рожевий часто сигналізує про проблеми) і дозволить перевірити цифровий підпис через контекстне меню («Verify»).
Приклад з практики: якщо бачите процес на кшталт svhost.exe (замість svchost.exe), scvhost.exe чи explore.exe — це майже напевно шкідливе ПЗ. Зловмисники люблять маскуватися під системні процеси. Також підозріло, коли батьківським процесом для svchost.exe є не services.exe, а щось інше. Process Explorer відразу це покаже.
Netstat і TCPView: розмови вашого комп’ютера зі світом
Будь-яке серйозне шпигунське ПЗ рано чи пізно надсилає зібрані дані на контрольний сервер. Саме тоді його можна впіймати. Відкрийте командний рядок від імені адміністратора та введіть:
netstat -ano
Команда покаже всі активні з’єднання TCP/UDP, порти прослуховування та PID процесів. Звертайте увагу на ESTABLISHED (активне з’єднання) та LISTENING (порт у режимі очікування). Підозріло виглядають з’єднання з віддаленими IP-адресами в моменти, коли ви не користуєтеся інтернетом, прослуховування на нестандартних портах вище 1024 або часті короткі «heartbeat»-пакети до сервера C&C.
PID можна співставити з процесом у Диспетчері завдань командою tasklist /FI "PID eq 1234". Зручніше використовувати TCPView з того ж пакета Sysinternals — воно показує з’єднання в реальному часі, виділяє нові та закриває підозрілі одним кліком. Геолокацію IP перевіряйте на whois.domaintools.com або ipinfo.io.
Важливе зауваження: Windows 11 сам генерує багато мережевого трафіку (телеметрія, OneDrive, Defender). Не кожне з’єднання з *.microsoft.com — це атака. Команда netstat -fb допоможе відразу відфільтрувати легітимні процеси.
Autoruns і планувальник завдань: де стеження закріплюється надовго
Шпигунське ПЗ має переживати перезавантаження, тому воно закріплюється в автозавантаженні: реєстр Run/RunOnce, папка Startup, служби, заплановані завдання тощо. Ручна перевірка всіх місць зайняла б багато часу.
Тут на допомогу приходить Autoruns — один з найкращих інструментів Microsoft. Він показує всі елементи автозавантаження, цифрові підписи та шляхи. Увімкніть «Hide Microsoft Entries» та «Hide Windows Entries» — і відразу побачите стороннє ПЗ. Кожну підозрілу позицію перевірте в VirusTotal (вбудована функція).
Паралельно відкрийте taskschd.msc. Перегляньте завдання, особливо ті, що запускають файли з AppData, Temp або використовують PowerShell з параметром -encodedcommand.
Список місць для перевірки (від найпоширеніших до рідкісних):
- Програми та компоненти в Панелі керування — видаляйте все незрозуміле після перевірки в пошуковику.
- Автозавантаження (Параметри → Застосунки → Автозавантаження).
- Служби (services.msc).
- Облікові записи користувачів (lusrmgr.msc).
- Розширення браузерів (Chrome, Edge, Firefox).
- Правила брандмауера (wf.msc).
- Файл Hosts (C:WindowsSystem32driversetchosts).
Перед видаленням будь-якої підозрілої позиції пошукайте її в Google — у 2026 році це може бути цілком легальний компонент.
Антивірус, антивредоносне ПЗ і друга думка
Microsoft Defender у Windows 11 став надійним захистом, але stalkerware часто має легальні сертифікати й обходить його. Тому варто перевірити систему додатковими інструментами: Malwarebytes Free, ESET Online Scanner, Kaspersky Virus Removal Tool чи HitmanPro.
Для складних випадків використовуйте Microsoft Defender Offline. Якщо підозрюєте rootkit, розгляньте GMER, ESET SysRescue Live або chkrootkit.
Що робити після виявлення — послідовність має значення
Не поспішайте все видаляти — особливо якщо це може сповістити зловмисника. Організації, що допомагають жертвам домашнього насильства, рекомендують спочатку зберегти докази.
Безпечна послідовність:
- З чистого пристрою змініть усі важливі паролі та увімкніть двоетапну автентифікацію (краще через застосунки, а не SMS).
- Зробіть резервну копію важливих файлів (без exe-файлів).
- Проведіть повне сканування кількома інструментами в безпечному режимі.
- Перевірте сертифікати (certmgr.msc).
- При серйозному втручанні виконайте чисту перевстановлення Windows 11.
- Якщо йдеться про насильство, зверніться до фахівців («Голуба лінія» 800 120 002 у Польщі чи аналогічні служби).
Після перевстановлення ще раз перевірте активні сесії в сервісах Google, Microsoft та Apple.
Профілактика, або як ніколи більше не опинитися в цій ситуації
Найкращий захист — не допустити стеження. Більшість випадків починається через необережність: позичений ноутбук, незаблокований екран, «корисна» програма від знайомого.
Корисні звички:
- Повнодискове шифрування BitLocker або Device Encryption.
- Пароль BIOS/UEFI та вимкнення завантаження з USB.
- Обліковий запис без прав адміністратора для щоденної роботи.
- Регулярні оновлення системи та програм.
- Фізична шторка для камери (коштує близько 5 гривень) та вимкнення мікрофона.
- Не відкривайте сумнівні посилання та вкладення.
- Менеджер паролів (Bitwarden, KeePassXC тощо).
Приватність у 2026 році — це як фізична форма: її підтримують регулярними невеликими зусиллями. Щотижня перевіряйте Process Explorer, раз на місяць — Autoruns, раз на квартал — розширення браузерів. П’ять хвилин уваги заощадять місяці неприємних пояснень.