Руткиты (rootkits) — это одна из самых опасных категорий вредоносного ПО. Они проникают глубоко в ядро операционной системы, подменяют системные функции и скрывают процессы, файлы и ключи реестра. Из-за этого обычные антивирусы, запущенные внутри работающей Windows, часто просто не видят угрозу. В этой инструкции мы разберем, как обнаружить и удалить скрытые руткиты в Windows 11 и 10 с помощью встроенных инструментов и специализированных бесплатных утилит.
Примечание: В современных версиях Windows 11 защиту от руткитов на уровне ядра обеспечивают функции «Безопасная загрузка» (Secure Boot) и «Целостность памяти» (изоляция ядра). Убедитесь, что они включены в настройках безопасности Вашего устройства.
Способ 1. Автономный защитник Microsoft Defender Offline
Самый эффективный способ борьбы с руткитами — сканирование системы до её полной загрузки, пока вредоносный код не успел активироваться и перехватить управление. В Windows 11 и 10 для этого есть встроенный инструмент:
Шаг 1. Откройте приложение «Параметры» с помощью сочетания клавиш Win + I.
Шаг 2. Перейдите в раздел «Конфиденциальность и безопасность» → «Безопасность Windows».
Шаг 3. Выберите пункт «Защита от вирусов и угроз».
Шаг 4. Нажмите на ссылку «Параметры сканирования» под кнопкой быстрой проверки.
Шаг 5. Отметьте пункт «Проверка автономным защитником Microsoft Defender» (Microsoft Defender Offline) и нажмите кнопку «Выполнить сканирование сейчас».
Шаг 6. Сохраните все открытые документы и подтвердите перезагрузку. Компьютер перезагрузится в специальную чистую среду и проведет глубокое сканирование системных файлов и загрузочных секторов.
Способ 2. Использование специализированной утилиты Kaspersky TDSSKiller
Если встроенный защитник не справился, воспользуйтесь бесплатной утилитой TDSSKiller от «Лаборатории Касперского». Она создана специально для быстрого поиска и удаления буткитов (руткитов, заражающих загрузочную запись) и руткитов ядра:
Шаг 1. Скачайте утилиту с официального сайта на странице поддержки Kaspersky TDSSKiller.
Шаг 2. Запустите файл tdsskiller.exe от имени администратора.
Шаг 3. В открывшемся окне нажмите кнопку «Начать проверку» (Start scan).
Шаг 4. Программа быстро проверит системную память, службы, драйверы и загрузочные секторы. В случае обнаружения подозрительных объектов утилита предложит отправить их в карантин или вылечить.
Способ 3. Сканирование через Malwarebytes Anti-Rootkit (MBAR)
Ещё один надежный инструмент — специализированный бесплатный сканер Malwarebytes Anti-Rootkit, который использует собственную базу данных для выявления скрытых угроз:
Шаг 1. Загрузите программу на официальном сайте странице загрузки Malwarebytes Anti-Rootkit.
Шаг 2. Распакуйте архив и запустите файл mbar.exe.
Шаг 3. Следуйте инструкциям мастера установки: обновите антивирусные базы и нажмите кнопку «Scan».
Шаг 4. После завершения проверки перезагрузите компьютер для окончательного удаления найденных угроз.
Почему старые утилиты (GMER и др.) больше не актуальны?
Популярная в прошлые годы утилита GMER, которая ранее использовалась ИТ-специалистами для ручного поиска скрытых процессов и перехватов системных функций (SSDT, IDT, IRP), сегодня полностью устарела. Проект не обновляется с 2016 года.
Попытка использовать GMER на современных версиях Windows 10 и 11 с высокой долей вероятности приведет к аварийному завершению работы системы с синим экраном (BSOD). Кроме того, современная архитектура Windows с включенной изоляцией ядра блокирует низкоуровневые методы сканирования, которые использовал GMER, делая его запуск бесполезным.
Совет: Всегда держите включенными функции аппаратной безопасности (Secure Boot в UEFI) и целостности памяти в Windows, так как они предотвращают саму возможность загрузки неподписанных драйверов руткитов в память.
Остались ли у Вас вопросы по проверке Вашего ПК на скрытые угрозы? Задавайте их в комментариях под статьей!
