Гид по технологиям

Как удалить вредоносное ПО с Windows — пошаговое руководство

8 min read Кибербезопасность Обновлено 17 Dec 2025
Удаление вредоносного ПО в Windows — важные шаги
Удаление вредоносного ПО в Windows — важные шаги

Системные и параметры безопасности в Панели управления

Быстрые ссылки

  • Отключите интернет и устройства

  • Выполните быстрый скан Microsoft Defender

  • Выполните полный скан Microsoft Safety Scanner

  • Завершите подозрительные процессы в Диспетчере задач

  • Удалите неизвестные учётные записи в Управлении компьютером

  • Очистите ПК и переустановите Windows при необходимости

  • Всегда соблюдайте правила кибербезопасности

Если вы подозреваете заражение компьютера или получили предупреждение от Microsoft Defender, действуйте быстро. Ниже — подробная пошаговая инструкция для Windows 10 и 11 с объяснениями, планом действий для пользователей и ИТ, контрольными списками и методологией инцидента.

Почему важно действовать немедленно

Вредоносное ПО может как «звонить домой» через интернет, так и работать автономно: шифровать файлы, удалять данные, перехватывать учётные записи или распространяться по локальной сети. Отключение сети не лечит систему, но уменьшает риски удалённого управления и распространения.

Коротко о терминах

  • Вредоносное ПО — программа или код, созданный для причинения вреда.
  • Карантин — изоляция подозрительных файлов, чтобы они не запускались.
  • Сброс системы — восстановление Windows до заводских настроек с удалением приложений и данных.

Остановите сеть и отсоедините устройства

  1. Отключите интернет. Это первое действие. Оно предотвращает связь атакующего с вашим ПК и распространение угрозы.
    • Для проводного подключения просто физически выньте кабель Ethernet.
    • Для беспроводного подключения откройте «Параметры» с помощью Win+i, выберите в меню пункт «Сеть и интернет», затем «Wi‑Fi» и отключитесь от активной сети.

Сеть и интернет выделены в параметрах Windows 10

  1. Отключите все внешние накопители и несущественные устройства. Вредоносное ПО может пытаться заразить внешние диски, сетевые накопители или подключённые смартфоны.

Отключение беспроводной сети в параметрах Windows 10

Важно: не подключайте новые USB‑накопители или устройства до завершения проверки и очистки.

Выполните быстрый скан Microsoft Defender

Microsoft Defender входит в Windows и даёт возможность мгновенно проверить систему на широкоизвестные угрозы.

  1. Откройте меню «Пуск», введите «Безопасность Windows» и запустите приложение.

Безопасность Windows в меню «Пуск»

  1. Перейдите в раздел «Защита от вирусов и угроз».

Защита от вирусов и угроз в Безопасности Windows

  1. Нажмите «Быстрое сканирование», чтобы проверить наиболее уязвимые области.

Кнопка быстрого сканирования в Microsoft Defender

Быстрый скан занимает от нескольких минут до получаса в зависимости от объёма файлов. Он быстрее, но менее полон, чем полный скан.

Быстрое сканирование Microsoft Defender выполняется

После завершения вы увидите результаты и действия, которые антивирус предпринял (карантин, удаление и т. д.).

Результаты быстрого сканирования

Запустите полный скан Microsoft Safety Scanner

Microsoft Safety Scanner — отдельный инструмент Microsoft для глубокого одноразового сканирования. Он не устанавливается постоянно и его нужно загрузить с официального сайта.

  1. Скачайте версию 32‑ или 64‑бит с сайта Microsoft, соответствующую вашей системе.
  2. Запустите скачанный файл MSERT.exe и подтвердите выполнение.

Microsoft Safety Scanner в папке загрузок

Предупреждение безопасности перед запуском файла

  1. Примите лицензионное соглашение и выберите «Далее».

Лицензионное соглашение Microsoft Safety Scanner

  1. На странице приветствия нажмите «Далее», затем выберите «Полное сканирование» и запустите проверку.

Страница приветствия Microsoft Safety Scanner

Опции сканирования в Microsoft Safety Scanner

Полное сканирование может занять несколько часов. По окончании инструмент попытается удалить найденные угрозы и предложит перезагрузку.

Результаты полного сканирования Microsoft Safety Scanner

Замечание: Safety Scanner действителен только 10 дней с момента скачивания. Для повторного использования загрузите актуальную версию.

Завершите подозрительные процессы в Диспетчере задач

Во время сканирования откройте Диспетчер задач и проверьте процессы. Это поможет временно остановить вредоносную активность в оперативной памяти.

  1. Нажмите Ctrl+Alt+Del и выберите «Диспетчер задач».

Диспетчер задач показывает запущенные приложения и процессы

  1. На вкладке «Процессы» просмотрите список. Если не уверены в процессе, щёлкните по нему правой кнопкой и выберите «Поиск в Интернете», чтобы найти информацию.

'Поиск в Интернете' в Диспетчере задач

  1. Для подтверждённо вредоносных процессов выберите «Завершить задачу».

Завершение задачи в Диспетчере задач

Важно: некоторые системные процессы критичны для работы Windows. Если вы не уверены, сначала выполните поиск по имени процесса.

Проверьте и удалите неизвестные учётные записи в Управлении компьютером

Многие угрозы создают скрытые учётные записи для постоянного доступа. Удалите такие учётные записи.

  1. Откройте «Пуск», найдите «Управление компьютером» и запустите его.

Результаты поиска Windows для Управления компьютером

  1. В левой панели выберите «Локальные пользователи и группы», затем «Пользователи».

Список локальных пользователей, включая администратора и гостя

  1. Сравните пользователей с теми, что вы знаете. Удалите незнакомые учётные записи.

Удаление учётной записи в Управлении компьютером

Совет: создайте список действующих пользователей заранее, чтобы знать, какие записи безопасно удалять.

Очистите ПК и переустановите Windows при необходимости

Если проблемы сохраняются после всех проверок — нестабильность, исчезнувшие файлы или подозрительные изменения настроек — возможно, потребуется сброс системы.

  1. Перед сбросом обязательно сохраните резервную копию чистых важных данных. Не используйте резервную копию, созданную после обнаружения заражения.

  2. Откройте «Параметры» (Win+i), в строке поиска введите «Сброс» и выберите «Восстановление» или «Сбросить этот компьютер».

'Сброс' введён в строке поиска и показан вариант Сбросить этот компьютер

  1. Нажмите «Начать» или «Сбросить ПК» и следуйте инструкциям. При необходимости выбирайте вариант с полной очисткой диска.

Кнопка «Начать» в параметрах восстановления Windows

Сброс удаляет большую часть угроз. Очень редко сложные вредоносные программы сохраняются в прошивке или других скрытых разделах, но это маловероятно для типичного пользователя.

После очистки: укрепление безопасности и восстановление

После удаления угрозы важно закрыть коренные причины и восстановить систему безопасно.

  • Обновите Windows и все приложения до последних версий.
  • Измените пароли на всех учётных записях, особенно если использовался браузер с автозаполнением. Используйте менеджер паролей и уникальные пароли.
  • Включите двухфакторную аутентификацию там, где она доступна.
  • Проверьте резервные копии и восстановите данные только из подтверждённо чистых копий.
  • Подключайте внешние устройства последовательно и сканируйте их до использования.

Критерии приёмки

  • Нет обнаруженных угроз в результате полного сканирования Safety Scanner и Microsoft Defender.
  • Система запускается стабильно, без неожиданных сбоев или утечек ресурсов.
  • Не появилось дополнительных неизвестных учётных записей или автозагрузок.
  • Приложения и данные восстановлены из чистых резервных копий.

Мета-методология реагирования на инцидент (короткая)

  1. Изолировать: отключить сеть и внешние устройства.
  2. Выявить: быстро сканировать Defender, затем полно с Safety Scanner.
  3. Остановить: завершить подозрительные процессы, удалить неизвестных пользователей.
  4. Устранить: удалить файлы, очистить или сбросить систему.
  5. Восстановить: вернуть данные из чистых резервных копий.
  6. Укрепить: обновить, поменять пароли, включить MFA.

Роли и контрольные списки

Пользователь — быстрый чек-лист

  • Отключил интернет и отсоединил USB устройства
  • Запустил быстрое сканирование Microsoft Defender
  • Сделал резервную копию чистых нужных файлов (на отдельный носитель)
  • При необходимости обратился к ИТ или специалисту

ИТ-администратор — расширенный чек-лист

  • Собрал логи событий и скриншоты состояния системы
  • Проанализировал сетевые подключения и журналы аутентификации
  • Запустил полноформатный анализ антивирусными и EDR инструментами
  • Проверил настройки групповой политики и удалённого доступа
  • При необходимости подготовил образ системы для судебного анализа

Инцидент‑плейбук — пошаговый runbook

  1. Немедленно сообщить владельцу и при необходимости отключить машину от сети.
  2. Сделать снимок памяти (memory dump) если доступно и требуется для расследования.
  3. Выполнить быстрый скан Microsoft Defender и зафиксировать результаты.
  4. Скачать и запустить Microsoft Safety Scanner в режиме полного сканирования.
  5. Проверить автозапуск и задачи Планировщика задач на неизвестные элементы.
  6. Удалить обнаруженные угрозы, перевести подозрительные файлы в карантин.
  7. Если угроза устойчива — планировать сброс системы и восстановление.
  8. После восстановления — мониторить систему 7–14 дней на предмет повторного появления активности.

Когда описанный подход может не сработать

  • Угроза затрагивает микрокод/прошивку или UEFI — в этом случае простой сброс Windows не решит проблему.
  • Если атака сопровождалась кражей учётных записей с доступом к облачным сервисам, потребуется менять пароли и проверять внешние сервисы.
  • Если у вас нет чистых резервных копий — восстановление может быть частичным или затруднено.

Альтернативные подходы

  • Использовать специализированные инструменты сторонних вендоров для обнаружения сложных угроз (EDR/XDR).
  • В средах с критичными данными привлекать команду реагирования на инциденты или специалистов по судебной экспертизе.

Практические советы для повышения безопасности

  • Включите автоматические обновления ОС и программ.
  • Не запускать файлы из непроверенных источников.
  • Использовать менеджер паролей и уникальные пароли для каждого сервиса.
  • Включить шифрование диска (BitLocker) на ноутбуках и рабочих станциях.
  • Подключаться к общественным Wi‑Fi только через проверенный VPN.

Тонкая настройка и безопасность системы

  • Проверьте автозагрузку: msconfig или вкладка «Автозагрузка» в Диспетчере задач.
  • Проверьте планировщик задач на неизвестные задания.
  • Просмотрите записи реестра в разделах автозапуска только если вы уверены в своих действиях.

Быстрый фактбокс

  • Microsoft Safety Scanner действителен 10 дней после загрузки.
  • Быстрое сканирование охватывает часто используемые места, но не заменяет полный анализ.
  • Сброс системы удаляет почти все известные угрозы, но требует чистой резервной копии для восстановления данных.

Короткий словарь

  • Карантин — изоляция файла, чтобы он не выполнялся.
  • Полный скан — глубокая проверка всех файлов и областей диска.
  • Сброс — удаление данных ОС и переустановка Windows.

Примеры тестов и критерии приёмки

  • После полного сканирования Threat Level = ноль, никаких карантинных действий не требуется.
  • Результаты мониторинга за 7 дней после очистки — отсутствие повторной активности.
  • Восстановленные файлы открываются и проверены антивирусом на предмет изменений.

Шаблон действий для первого часа после обнаружения

  1. Отключить интернет и внешние диски.
  2. Сделать снимок экрана всех предупреждений и уведомлений антивируса.
  3. Запустить быстрое сканирование Microsoft Defender.
  4. Запустить Microsoft Safety Scanner (скачать, если нужно) и запустить полноформатный анализ.
  5. При наличии — уведомить ИТ или специалиста по инцидентам.

Короткое резюме

Действуйте быстро: сначала изолируйте систему, затем выполните быстрое и полный сканы, прекратите подозрительные процессы и удалите незнакомые учётные записи. Если угроза не устранена — выполните сброс и восстановление из чистой резервной копии. После этого укрепите систему и поменяйте пароли.

Важно: профилактика снижает вероятность повторного заражения. Простые ежедневные привычки значительно повышают безопасность.

Если нужно, могу подготовить готовый чек‑лист в формате таблицы для печати или файл с инструкциями для ИТ‑отдела.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как загрузить Mac в безопасном режиме
Mac

Как загрузить Mac в безопасном режиме

Автоматическое резервное копирование MySQL
Базы данных

Автоматическое резервное копирование MySQL

Dynamic Lock в Windows 11: автоматическая блокировка при уходе
Windows

Dynamic Lock в Windows 11: автоматическая блокировка при уходе

Включить Microsoft Copilot в Windows 11
Windows

Включить Microsoft Copilot в Windows 11

Инверсия цветов на Android и Samsung
Мобильные устройства

Инверсия цветов на Android и Samsung

Ускорить Reddit на старых устройствах
Гайды

Ускорить Reddit на старых устройствах