Антивирус ничего не находит, а компьютер тормозит: алгоритм диагностики

Семёнов Евгений Сергеевич, директор АйТи Фреш. За пятнадцать лет я выезжал на десятки заявок «у нас компьютер тормозит, антивирус молчит». В девяти случаях из десяти причина была не в антивирусе и не в вирусе — а в третьей сущности, которую современная малварь использует, чтобы не попадаться на глаза. Расскажу, что я смотрю в первую очередь, какие команды помогают за 5 минут понять — это «просто старая Windows» или скрытое заражение.

Почему антивирус не видит то, что должен видеть

Двадцать лет назад вирус был файлом — exe, com, dll. Антивирус сравнивал хеш файла со своей базой сигнатур и кричал «нашёл!» Сегодня всё иначе. По данным наших расследований за 2024–2026, более 60% реальных заражений в офисах малого бизнеса в Москве — это так называемая fileless-малварь, которая вообще не оставляет файла на диске.

Где она живёт:

• WMI Event Subscriptions. Подсистема Windows Management Instrumentation позволяет регистрировать обработчики на события (например, «при каждом запуске Windows выполни вот этот PowerShell-код»). Антивирус туда смотрит редко.
• Реестр Windows. В разделах Run, RunOnce, AppInit_DLLs, ImageFileExecutionOptions можно прописать запуск произвольной команды без файла на диске.
• Планировщик задач. Скрытые задания с действием «запустить PowerShell с base64-закодированным скриптом из реестра».
• Прямо в памяти. Атакующие через эксплойт загружают код прямо в память легитимного процесса (svchost.exe, explorer.exe), и на диске ничего не появляется.

Когда сигнатурный антивирус говорит «угроз не обнаружено» — это правда. Угрозы в виде файла действительно нет. А угроза в виде поведения — есть, но искать её нужно другими инструментами.

Симптомы, на которые я обращаю внимание

Если клиент звонит и жалуется «всё тормозит, но антивирус ничего не находит», я по телефону задаю эти вопросы — и в 70% случаев уже начинаю догадываться о причине:

• Тормоза проявляются в одно и то же время? (планировщик, WMI-trigger)
• Лампочка диска или сетевой активности горит, когда никто не работает?
• Счета за электричество в офисе выросли за последние 3–4 месяца? (классический признак майнера)
• Появились ли новые иконки в трее, расширения в браузере, баннеры?
• Антивирус сам сообщил о попытке отключения сторонним процессом?
• Кто-то из сотрудников за последние 2 недели запускал крякнутый софт, скачанный «с торрентов»?

Если хотя бы на 2–3 вопроса ответ «да» — это тот случай, когда стоит ехать на машину и смотреть глубже, а не запускать ещё один полный скан Касперского.

Алгоритм диагностики за 30 минут

Когда я приезжаю к клиенту и сажусь за подозрительный компьютер, я делаю ровно девять шагов в одном и том же порядке. Это не панацея, но 90% реальных заражений я нахожу именно так.

Шаг 1. Анализ запущенных процессов

Открываю не Task Manager (он многое скрывает), а Process Hacker или Process Explorer от Sysinternals. Смотрю на:

• Процессы с высокой загрузкой CPU/RAM/сети, которые не имеют видимого окна.
• Дочерние процессы svchost.exe — какой из них родительский? Нормально, если это services.exe. Подозрительно, если это powershell.exe или cmd.exe.
• Процессы с подписью «не подписан» или с подписью на странных издателей.
• Процессы, запущенные из %APPDATA%, %TEMP%, %ProgramData% — легитимный софт обычно живёт в Program Files.

Шаг 2. Проверка автозагрузки

Снова Sysinternals — Autoruns. Включаю опции «Verify Code Signatures» и «Hide Microsoft Entries». Всё, что осталось без подписи или с пустым описанием — кандидат на удаление. Особое внимание разделам:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run и RunOnce
• HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon (Userinit, Shell)
• Image File Execution Options (тут любят «подменять» легитимные программы)
• Browser Helper Objects и расширения браузеров

Шаг 3. WMI-подписки

Это место, в которое заглядывают редко, и именно поэтому там часто прячется малварь. Открываю PowerShell от администратора и выполняю:

Get-WmiObject -Namespace root\subscription -Class __EventFilter
Get-WmiObject -Namespace root\subscription -Class __EventConsumer
Get-WmiObject -Namespace root\subscription -Class __FilterToConsumerBinding

Если в выводе появляются записи, которые я не создавал, — это очень подозрительный сигнал. Легитимные программы крайне редко создают WMI-подписки. У меня был случай в марте 2025 на ноутбуке директора компании, торгующей металлопрокатом: WMI-подписка запускала PowerShell-скрипт, который раз в 4 часа подгружал из интернета майнер прямо в память процесса dllhost.exe. Антивирус Касперского молчал. Тормоза начались, когда вторая волна майнера загрузилась в svchost.exe.

Шаг 4. Планировщик задач

Открываю taskschd.msc, смотрю в Task Scheduler Library. Ищу:

• Задачи без описания или с описанием на иностранных языках.
• Задачи, действие которых — powershell.exe с длинным base64-параметром.
• Задачи, скрытые от обычного просмотра (атрибут Hidden=true в XML).
• Задачи в нестандартных папках (легитимные обычно в Microsoft\Windows\... или в корне).

Для PowerShell-обзора всех задач:

Get-ScheduledTask | Where-Object {$_.Actions.Execute -like "*powershell*"} |
    Select-Object TaskName, TaskPath, @{N='Args';E={$_.Actions.Arguments}}

Шаг 5. Сетевые соединения

Команда netstat -abno | findstr ESTABLISHED в командной строке от администратора. Смотрю, какие процессы куда подключены. Подозрительно:

• Соединения по нестандартным портам (3333, 7777, 14444 — типичные пулы майнеров).
• Соединения процессов, которые сети «не должны видеть» (notepad.exe, calc.exe).
• Множественные соединения с IP-адресами в Юго-Восточной Азии или экзотических странах.

Параллельно в Wireshark или в логе роутера смотрю, не идёт ли трафик ночью на странные адреса.

Шаг 6. Журналы Windows

Event Viewer, журнал Security. Ищу события 4624 (вход в систему) и 4688 (запуск процесса) с необычными именами или временами. Если включён PowerShell Script Block Logging (event 4104) — там можно увидеть, какие именно скрипты запускались.

Шаг 7. Изменения в hosts и DNS

Открываю C:\Windows\System32\drivers\etc\hosts. Если там есть записи про google.com, mail.ru, gosuslugi.ru, banki — это явный признак работы pharming-малвари. Аналогично проверяю настройки DNS на сетевых адаптерах — не подменены ли на «левые» серверы.

Шаг 8. Проверка целостности системных файлов

Команды sfc /scannow и DISM /Online /Cleanup-Image /CheckHealth. Если sfc находит повреждённые файлы — это либо просто старая система, либо её модифицировал руткит.

Шаг 9. Проверка вторым мнением

Если стандартный антивирус молчит — запускаю на машине Malwarebytes Anti-Malware и Kaspersky Virus Removal Tool в режиме сканирования. Эти инструменты бесплатны, не требуют установки, и часто находят то, что пропустил основной антивирус. Параллельно — загрузка с Kaspersky Rescue Disk и сканирование вне работающей системы.

Что делать, если нашли заражение

Когда я вижу подтверждённый компромет, мой алгоритм такой:

1. Изоляция. Отключаем компьютер от сети — выдёргиваем кабель, отключаем Wi-Fi. Чтобы малварь не успела «доложить» оператору о том, что её обнаружили, и не запустила процедуру самоочистки или шифрования данных.
2. Сбор артефактов. До переустановки делаем снимок дампа памяти (через DumpIt от Comae), копируем подозрительные файлы и журналы для последующего анализа.
3. Проверка остальных машин в сети. Если заражена одна — с большой вероятностью заражены и другие. Запускаем массовую проверку через скрипт PowerShell, обходящий все машины домена.
4. Смена паролей. Все пароли пользователя на заражённой машине считаем скомпрометированными. Это не только пароль AD — это и почта, и 1С, и банк-клиент.
5. Переустановка системы. Лечить fileless-малварь технически можно, но в 95% случаев надёжнее снести и переустановить. На малом бизнесе час работы инженера дешевле, чем риск, что что-то осталось.
6. Анализ причины. Откуда пришло? Через что зашло? Чтобы не повторилось — нужен ответ на этот вопрос.

Профилактика: что мы делаем для клиентов

В АйТи Фреш на каждом клиенте, который выбрал тариф «Стандарт» или «Премиум», мы поднимаем минимум следующее:

• Корпоративный антивирус с централизованным управлением (Kaspersky Endpoint Security или Symantec). Лицензия — 1 200–1 800 руб. за рабочее место в год.
• AppLocker или WDAC на критичных машинах — запрет запуска неподписанных скриптов и приложений из %APPDATA%.
• Отключение PowerShell для не-IT пользователей через групповые политики.
• Ограничение Excel-макросов из недоверенных источников через GPO.
• Patch Tuesday — обновления безопасности применяются в течение недели после выхода.
• EDR-решение (Endpoint Detection and Response) для машин с критичными данными — поведенческий анализ, реакция на подозрительную активность.
• Регулярный аудит WMI-подписок и заданий планировщика через Ansible/PowerShell-скрипт раз в месяц.

Сколько стоит лечение и профилактика

Для понимания бюджета:

FAQ

Почему антивирус не видит вирус?

Современная малварь работает без файлов на диске — через WMI, PowerShell, реестр, планировщик задач. Сигнатурный антивирус не видит то, чего нет в виде файла.

Какие признаки скрытого заражения?

Тормоза без видимой нагрузки, странный сетевой трафик ночью, новые задания в планировщике, неизвестные WMI-подписки, увеличение счётов за электричество (майнеры).

Сколько стоит проверка одного компьютера?

Глубокая диагностика рабочей станции с проверкой WMI, реестра, планировщика, сетевых соединений и журналов — от 4 500 руб. за машину.

Какой антивирус лучше для бизнеса?

Для офиса 10–50 рабочих мест — Kaspersky Endpoint Security или Symantec Endpoint Protection с централизованным управлением. От 1 200 руб. за лицензию в год.

Можно ли защититься от fileless-малвари?

Да: AppLocker для запрета неподписанных скриптов, отключение PowerShell для не-IT пользователей, EDR-решения с поведенческим анализом, регулярный аудит WMI и Scheduled Tasks.