Антивирус ничего не находит, а компьютер тормозит: алгоритм диагностики

За пятнадцать лет работы директором АйТи Фреш, мне, Семёнову Евгению Сергеевичу, доводилось выезжать на множество вызовов. Клиенты часто жаловались: «компьютер тормозит, но антивирус молчит». И знаете, что самое интересное? В девяти случаях из десяти проблема крылась не в привычном вирусе и даже не в самом антивирусе. Виновата была некая третья сила. Современная малварь умело эксплуатирует эту лазейку, чтобы оставаться незамеченной. Сейчас расскажу, на что я смотрю в первую очередь. Какие простые команды буквально за 5 минут помогут мне понять: мы имеем дело с обычной «старой Windows» или же скрытым, опасным заражением.

Почему антивирус не видит то, что должен видеть

Помните времена, лет двадцать назад? Вирус — это всегда был файл: .exe, .com, .dll. Антивирус легко сверял его хеш со своей базой сигнатур и кричал: «Нашёл!» Те времена давно прошли. Сегодня ситуация изменилась кардинально. К примеру, наши расследования за последние годы, 2024–2026, явно показывают: более 60% реальных заражений в офисах малого бизнеса здесь, в Москве, приходится на так называемую fileless-малварь. Это хитрая штука, которая вообще не оставляет никаких файлов на диске.

Где она живёт:

• WMI Event Subscriptions. Подсистема Windows Management Instrumentation позволяет регистрировать обработчики на события (например, «при каждом запуске Windows выполни вот этот PowerShell-код»). Антивирус туда смотрит редко.
• Реестр Windows. В разделах Run, RunOnce, AppInit_DLLs, ImageFileExecutionOptions можно прописать запуск произвольной команды без файла на диске.
• Планировщик задач. Скрытые задания с действием «запустить PowerShell с base64-закодированным скриптом из реестра».
• Прямо в памяти. Атакующие через эксплойт загружают код прямо в память легитимного процесса (svchost.exe, explorer.exe), и на диске ничего не появляется.

И вот ваш старый добрый сигнатурный антивирус с гордостью рапортует: «Угроз не обнаружено». Он, по сути, прав. Конкретного файла-угрозы на компьютере действительно нет. Но это не значит, что всё чисто! Угроза в виде подозрительного поведения системы никуда не делась. И вот именно её мы и должны выявлять — совершенно другими, неочевидными инструментами.

Симптомы, на которые я обращаю внимание

Когда клиент звонит мне и, едва скрывая досаду, жалуется: «Всё тормозит, а антивирус при этом ничего не видит!», я сразу же начинаю задавать вопросы. Ещё по телефону! И, поверьте, в 70% случаев уже в этот момент я смутно понимаю, что там происходит:

• Заметили, что система начинает притормаживать строго в одно и то же время каждый день? Это может быть что угодно: от банального планировщика задач до хитрых WMI-триггеров. Стоит проверить!
• Индикатор диска или сетевой активности постоянно горит, хотя на компьютере никто сейчас не работает? Странно, да? Это первый звоночек — и очень подозрительный.
• Счета за электричество в офисе вдруг стали заметно выше за последние 3-4 месяца? Ох, это почти классика: скорее всего, у вас где-то работает скрытый майнер. Увы, такое бывает.
• Внезапно заметили новые, незнакомые иконки в системном трее? А может, в браузере появились странные расширения или назойливые баннеры? Это уже не просто неудобство – пора бить тревогу!
• Ваш антивирус вдруг забил тревогу и сообщил, что какой-то сторонний процесс пытается его отключить? Не игнорируйте это предупреждение! Оно кричит о проблеме.
• Будем честны: запускал ли кто-то из сотрудников за последние пару недель крякнутый софт, скачанный, ну, с «торрентов»? Это очень частый источник серьезных проблем, поверьте нам.

Если хотя бы на два-три из этих вопросов я слышу «да», мне становится ясно: это именно тот случай, когда просто запускать очередной полный скан Касперского бессмысленно. Пора ехать на место и копать глубже.

Алгоритм диагностики за 30 минут

И вот я у клиента, сижу за этим «подозрительным» компьютером. Всегда выполняю ровно девять шагов, причём строго по порядку. Конечно, это не какая-то волшебная панацея от всех бед на свете, но, честно скажу, 90% реальных заражений я обнаруживаю именно так. Этот метод реально работает.

Шаг 1. Анализ запущенных процессов

Обычный Диспетчер задач (Task Manager) я даже не открываю – он, чего уж греха таить, много чего скрывает. Вместо него я сразу запускаю Process Hacker или Process Explorer от Sysinternals. И вот куда я смотрю первым делом:

• Внимательно посмотрите: есть ли процессы, которые без видимого окна активно нагружают процессор, память или сеть? Это очень подозрительно, и требует немедленной проверки.
• Когда видите дочерние процессы svchost.exe, всегда задавайтесь вопросом: кто их породил? Если родительский процесс — services.exe, всё в порядке. Но если это powershell.exe или cmd.exe, что-то тут явно нечисто. Крайне подозрительно!
• Обратите внимание на процессы, которые «не подписаны» вовсе. Или те, что имеют подпись от совершенно незнакомых, странных издателей. Поверьте, это ненормально, и скорее всего, указывает на проблему.
• Заметили процессы, которые стартуют из папок %APPDATA%, %TEMP% или %ProgramData%? Имейте в виду: легитимные программы обычно размещаются в Program Files. Если софт сидит где-то ещё, это повод присмотреться. Очень тщательно.

Шаг 2. Проверка автозагрузки

Дальше в ход идёт снова Sysinternals, но уже другая утилита — Autoruns. Обязательно активирую опции «Verify Code Signatures» (проверка цифровых подписей) и «Hide Microsoft Entries» (скрыть записи Microsoft). Всё, что после этого остаётся без подписи или с пустым описанием, сразу же попадает под подозрение. Это наш главный кандидат на удаление! А особое внимание я уделяю вот этим разделам:

• Обязательно проверьте ветки реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run и RunOnce. Там очень часто прячется всё самое интересное и нежелательное.
• Не забудьте заглянуть в HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Особенно важны параметры Userinit и Shell – там точно не должно быть ничего лишнего или незнакомого.
• Раздел Image File Execution Options — то самое место, где злоумышленники обожают подменять легитимные программы. Будьте крайне внимательны к нему!
• Нельзя забывать про Browser Helper Objects и, конечно, расширения браузеров. Они часто становятся лазейками для незваных гостей в вашей системе.

Шаг 3. WMI-подписки

Это место, куда, почему-то, редко кто заглядывает. Как раз поэтому малварь так обожает там прятаться! Я открываю PowerShell от имени администратора и вбиваю следующие команды:

Get-WmiObject -Namespace root\subscription -Class __EventFilter
Get-WmiObject -Namespace root\subscription -Class __EventConsumer
Get-WmiObject -Namespace root\subscription -Class __FilterToConsumerBinding

Если в выдаче появляются записи, которые я точно не создавал — это очень тревожный звоночек. Понимаете, легитимные программы WMI-подписки делают ну крайне редко. У нас был случай в марте 2025 года: на ноутбуке директора одной компании, которая торгует металлопрокатом, WMI-подписка запускала PowerShell-скрипт. Он незаметно, раз в четыре часа, подгружал майнер из интернета прямо в память процесса dllhost.exe. Антивирус Касперского, разумеется, молчал. Реальные тормоза начались только тогда, когда вторая волна этого майнера осела уже в svchost.exe.

Шаг 4. Планировщик задач

Открываю taskschd.msc. Захожу прямо в Библиотеку планировщика заданий (Task Scheduler Library). Ищу:

• А что насчёт задач без какого-либо описания? Или тех, что вдруг написаны на иностранных языках, которые никто не понимает? Это всегда повод насторожиться и копнуть глубже.
• Видите задачи, которые запускают powershell.exe, да ещё и с длиннющим base64-параметром? Это почти всегда кричит: «Внимание, вредонос!» Не игнорируйте такие сигналы.
• Если задача скрыта от обычного просмотра — например, в XML-файле у неё стоит атрибут Hidden=true — это уже подозрительно. Зачем прятаться, если ты делаешь что-то хорошее?
• Обычные, легитимные задачи живут в папках типа Microsoft\Windows\... или прямо в корневой директории. Если же вы нашли что-то в «нестандартной» папке, это повод присмотреться. Тут явно что-то не так.

Для PowerShell-обзора всех задач:

Get-ScheduledTask | Where-Object {$_.Actions.Execute -like "*powershell*"} |
    Select-Object TaskName, TaskPath, @{N='Args';E={$_.Actions.Arguments}}

Шаг 5. Сетевые соединения

Команда netstat -abno | findstr ESTABLISHED в командной строке от администратора. Смотрю, какие процессы куда подключены. Подозрительно:

• Заметили соединения по «странным» портам? Например, 3333, 7777, 14444? На нашей практике, это почти всегда пулы майнеров или что-то не менее неприятное. Проверьте немедленно!
• Если вдруг notepad.exe или calc.exe куда-то активно «ходят» в сеть, это очень странно, согласитесь? Такие процессы обычно не должны светиться в сетевых соединениях. Это явный красный флаг.
• А что насчёт множественных соединений, ведущих в Юго-Восточную Азию или другие, скажем так, экзотические страны? Если это не ваши партнёры по бизнесу, то, скорее всего, что-то не так.

Параллельно этому я открываю Wireshark или лезу в лог роутера. Смотрю, не уходит ли какой-то подозрительный трафик ночью на странные, незнакомые адреса.

Шаг 6. Журналы Windows

Следующий шаг — Event Viewer, конкретно раздел Security. Там я ищу события 4624 (это вход в систему) и 4688 (запуск процесса). Пристальное внимание уделяю любым необычным именам или странному времени. А если на компьютере включено PowerShell Script Block Logging (событие 4104), то там вообще можно увидеть детально, какие именно скрипты запускались.

Шаг 7. Изменения в hosts и DNS

Я открываю системный файл C:\Windows\System32\drivers\etc\hosts. И если вдруг вижу там записи, которые как-то касаются google.com, mail.ru, gosuslugi.ru или любых банковских ресурсов, то это, без всяких сомнений, чёткий признак активности pharming-малвари. Точно так же я проверяю и настройки DNS на всех сетевых адаптерах — вдруг их подменили на какие-то «левые» серверы?

Шаг 8. Проверка целостности системных файлов

Команды sfc /scannow и DISM /Online /Cleanup-Image /CheckHealth. Если sfc находит повреждённые файлы — это либо просто старая система, либо её модифицировал руткит.

Шаг 9. Проверка вторым мнением

Ну а если стандартный антивирус всё равно упрямо молчит, есть последний козырь. Я запускаю на заражённой машине Malwarebytes Anti-Malware и Kaspersky Virus Removal Tool в режиме сканирования. Эти две утилиты, кстати, абсолютно бесплатны, не требуют никакой установки и, как показывает практика, очень часто находят то, что основной антивирус почему-то пропустил. Не забываю и про Kaspersky Rescue Disk: делаю загрузку с него и провожу полное сканирование уже вне работающей системы, для надёжности.

Что делать, если нашли заражение

Обнаружили подтверждённый компромет? Наша практика показывает, что здесь нет времени на раздумья. Вот наш чёткий, отработанный алгоритм действий:

1. Изоляция. Отключаем компьютер от сети — выдёргиваем кабель, отключаем Wi-Fi. Чтобы малварь не успела «доложить» оператору о том, что её обнаружили, и не запустила процедуру самоочистки или шифрования данных.
2. Сбор артефактов. До переустановки делаем снимок дампа памяти (через DumpIt от Comae), копируем подозрительные файлы и журналы для последующего анализа.
3. Проверка остальных машин в сети. Если заражена одна — с большой вероятностью заражены и другие. Запускаем массовую проверку через скрипт PowerShell, обходящий все машины домена.
4. Смена паролей. Все пароли пользователя на заражённой машине считаем скомпрометированными. Это не только пароль AD — это и почта, и 1С, и банк-клиент.
5. Переустановка системы. Лечить fileless-малварь технически можно, но в 95% случаев надёжнее снести и переустановить. На малом бизнесе час работы инженера дешевле, чем риск, что что-то осталось.
6. Анализ причины. Откуда пришло? Через что зашло? Чтобы не повторилось — нужен ответ на этот вопрос.

Профилактика: что мы делаем для клиентов

В ITFresh каждый клиент, выбравший тариф «Стандарт» или «Премиум», получает от нас максимально глубокую проработку. Мы не просто оказываем услуги, а сразу поднимаем целый список критически важных параметров. Что именно мы проверяем и настраиваем как минимум?

• Надёжный корпоративный антивирус с возможностью централизованного управления — это основа любой защиты. Мы часто рекомендуем Kaspersky Endpoint Security или Symantec. Да, есть затраты: лицензия обычно обходится в 1200–1800 рублей за рабочее место в год. Но разве безопасность того не стоит?
• На критичных машинах мы настоятельно рекомендуем использовать AppLocker или WDAC. Эти инструменты надёжно блокируют запуск неподписанных скриптов и приложений, особенно из таких уязвимых мест, как %APPDATA%. Отличный барьер для многих атак!
• Зачем рядовому сотруднику PowerShell? Да незачем! Поэтому для всех не-IT пользователей мы просто отключаем его через групповые политики. Это минимум рисков и максимум спокойствия.
• А эти коварные Excel-макросы! Сколько проблем они могут принести, если придут из недоверенных источников. Поэтому мы ограничиваем их запуск с помощью групповых политик. Простая мера, которая сэкономит кучу нервов и предотвратит инциденты.
• Мы всегда следим за «Patch Tuesday». Обновления безопасности? Они должны быть установлены в течение недели после официального выхода. Никаких отговорок — это же наша общая защита!
• Для машин, где хранятся самые критичные данные, просто антивируса уже мало. Здесь нужно EDR-решение (Endpoint Detection and Response). Это уже совсем другой уровень: поведенческий анализ, автоматическая реакция на любую, даже самую мелкую, подозрительную активность. Это максимальная защита, которая того стоит.
• Чтобы ваша система работала без сбоев и была защищена, мы в ITFresh проводим ежемесячный аудит. Что именно проверяем? WMI-подписки и, конечно, задания планировщика. Для этого у нас есть свои, отлаженные Ansible или PowerShell-скрипты. Каждый месяц, ни днём позже — вот насколько это важно!

Сколько стоит лечение и профилактика

Для понимания бюджета:

FAQ

Почему антивирус не видит вирус?

Современная малварь работает без файлов на диске — через WMI, PowerShell, реестр, планировщик задач. Сигнатурный антивирус не видит то, чего нет в виде файла.

Какие признаки скрытого заражения?

Тормоза без видимой нагрузки, странный сетевой трафик ночью, новые задания в планировщике, неизвестные WMI-подписки, увеличение счётов за электричество (майнеры).

Сколько стоит проверка одного компьютера?

Глубокая диагностика рабочей станции с проверкой WMI, реестра, планировщика, сетевых соединений и журналов — от 4 500 руб. за машину.

Какой антивирус лучше для бизнеса?

Для офиса 10–50 рабочих мест — Kaspersky Endpoint Security или Symantec Endpoint Protection с централизованным управлением. От 1 200 руб. за лицензию в год.

Можно ли защититься от fileless-малвари?

Да: AppLocker для запрета неподписанных скриптов, отключение PowerShell для не-IT пользователей, EDR-решения с поведенческим анализом, регулярный аудит WMI и Scheduled Tasks.