Как найти программы шпионы для компьютера

1. 

   1

   Запомните признаки наличия программы-шпиона. Если скорость подключения к интернету часто падает или на смартфон приходят странные текстовые сообщения, включая сообщения от незнакомых людей, скорее всего, устройство заражено шпионским ПО.^[2]
   

   • Зачастую программы-шпионы генерируют сообщения с беспорядочным набором символов или с просьбой ввести определенный код.

2. 

   2

   Проверьте, как приложения расходуют интернет-трафик. Откройте приложение «Настройки» и нажмите «Контроль трафика». Прокрутите экран вниз и просмотрите, какой трафик расходуется тем или иным приложением. Как правило, программы-шпионы расходуют большой объем трафика.

3. 

   3

   Создайте резервную копию данных. Подключите смартфон к компьютеру с помощью USB-кабеля, а затем перетащите на жесткий диск важные файлы (например, фотографии или контакты).

   • Так как мобильное устройство и компьютер работают под управлением разных операционных систем, компьютер заражен не будет.

4. 

   4

   Откройте приложение «Настройки» и нажмите «Восстановление и сброс». Откроется экран с несколькими опциями, включая опцию возврата к заводским настройкам устройства.

5. 

   5

   Нажмите «Возврат к заводским настройкам». Эта опция находится в нижней части экрана «Восстановление и сброс».

6. 

   6

   Нажмите «Сброс настроек». Смартфон автоматически перезагрузится, а пользовательские данные и приложения, включая программы-шпионы, будут удалены.

   • Имейте в виду, что возврат к заводским настройкам приведет к удалению всех пользовательских данных. Поэтому обязательно сделайте резервную копию важной информации.

   Реклама

1. 

   1

   Скачайте и установите HijackThis. Это утилита, которая предназначена для обнаружения программ-шпионов. Дважды щелкните по установочному файлу, чтобы запустить его. Когда вы установите эту утилиту, запустите ее.

   • Аналогичным программным обеспечением является Adaware или MalwareBytes.

2. 

   2

   Нажмите «Config» (Настройки). Эта кнопка расположена в правом нижнем углу экрана в разделе «Other Stuff» (Дополнительно). Откроются настройки программы.

   • В настройках можно включить или выключить определенные функции, например, резервное копирование файлов. Рекомендуется создать резервную копию, если вы работаете с важными файлами или программным обеспечением. Резервная копия имеет небольшой размер; более того, ее можно удалить позже (из папки, в которой хранятся резервные копии).
   • Обратите внимание, что функция «Make backups before fixing items» (Создать резервную копию до удаления нежелательных программ) по умолчанию включена.

3. 

   3

   Нажмите «Back» (Назад), чтобы вернуться в главное меню. Эта кнопка заменяет кнопку «Config» (Настройки), когда открыто окно настроек.

4. 

   4

   Нажмите «Scan» (Сканировать). Эта кнопка расположена в левом нижнем углу экрана, на котором отобразится список потенциально опасных файлов. Важно отметить, что HijackThis быстро просканирует наиболее уязвимые узлы системы, поэтому не все файлы, представленные в списке, будут вредоносными.

5. 

   5

   Поставьте флажок возле подозрительного файла и нажмите «Info on selected item» (Информация о выбранном элементе). Откроется окно с подробными сведениями о файле и причина, по которой он попал в указанный список. Проверив файл, закройте окно.

   • В качестве подробной информации на экран выводится расположение файла, его возможное использование и действие, которое рекомендуется применить к файлу.

6. 

   6

   Нажмите «Fix checked» (Исправить выбранный элемент). Эта кнопка расположена в левом нижнем углу экрана; утилита HijackThis либо восстановит, либо удалит выбранный файл (в зависимости от выбранного действия).

   • Можно выбрать сразу несколько файлов; для этого поставьте флажок возле каждого из них.
   • Перед тем как выполнить любое действие, HijackThis создаст (по умолчанию) резервную копию данных, чтобы у пользователя была возможность отменить внесенные изменения.

7. 

   7

   Восстановите данные из резервной копии. Чтобы отменить любые изменения, внесенные HijackThis, нажмите «Config» (Настройки) в нижнем правом углу экрана, а затем нажмите «Backup» (Резервная копия). В списке выберите файл резервной копии (его имя включает дату и время создания), а затем нажмите «Restore» (Восстановить).^[3]
   

   • Резервные копии будут храниться до тех пор, пока вы не удалите их. То есть можно закрыть HijackThis, а данные восстановить позже.

   Реклама

1. 

   1

   Откройте окно командной строки. Netstat – это встроенная утилита Windows, которая позволяет обнаружить программы-шпионы и другие вредоносные файлы. Нажмите ⊞ Win + R, чтобы открыть окно «Выполнить», а затем введите cmd. Командная строка обеспечивает взаимодействие с операционной системой посредством текстовых команд.

   • Воспользуйтесь этим методом, если вы не хотите устанавливать дополнительное программное обеспечение или хотите получить больший контроль над процессом удаления вредоносных программ.

2. 

   2

   Введите команду netstat -b и нажмите ↵ Enter. Отобразится список процессов, которые имеют доступ к интернету (могут открывать порты или использовать интернет-соединение).

   • В этой команде оператор -b означает «двоичный код». То есть на экране отобразятся активные «двоичные файлы» (исполняемые файлы) и их соединения.

3. 

   3

   Выясните, какие процессы являются вредоносными. Если имя процесса вам не известно или он открывает порт, скорее всего, это вредоносная программа. Если вы не уверены в каком-либо процессе или порте, найдите имя процесса в интернете. Скорее всего, другие пользователи уже сталкивались с необычными процессами и оставили отзывы об их характере (вредоносные или безвредные). Если вы уверены, что процесс является вредоносным, удалите файл, который запускает этот процесс.

   • Если вы так и не выяснили характер процесса, лучше не удалять соответствующий файл, потому что это может привести к краху какой-нибудь программы.

4. 

   4

   Нажмите Ctrl + Alt + Delete. Откроется Диспетчер задач Windows, в котором перечислены все активные процессы. Прокрутите список вниз и найдите в нем вредоносный процесс, который вы обнаружили с помощью командной строки.

5. 

   5

   Щелкните правой кнопкой мыши по имени процесса и в меню выберите «Открыть место хранения файла». Откроется папка с вредоносным файлом.

6. 

   6

   Щелкните по файлу правой кнопкой мыши и в меню выберите «Удалить». Вредоносный файл будет отправлен в Корзину, которая не позволяет запускать процессы.

   • Если открылось окно с предупреждением, что файл нельзя удалить, потому что он используется, вернитесь в окно Диспетчера задач, выделите процесс и нажмите «Завершить процесс». Процесс будет завершен, и вы сможете удалить соответствующий файл.
   • Если вы удалили не тот файл, дважды щелкните по Корзине, чтобы открыть ее, а затем перетащите файл из Корзины, чтобы восстановить его.

7. 

   7

   Щелкните правой кнопкой мыши по Корзине и в меню выберите «Очистить». Так вы безвозвратно удалите файл.

   Реклама

1. 

   1

   Откройте терминал. В терминале можно запустить утилиту, которая обнаружит программы-шпионы (если, конечно, они есть). Нажмите «Приложения» – «Утилиты» и дважды щелкните по «Терминал». Терминал обеспечивает взаимодействие с операционной системой посредством текстовых команд.

   • Значок терминала можно найти в Launchpad.

2. 

   2

   Введите команду sudo lsof -i | grep LISTEN и нажмите ⏎ Return. Отобразится список активных процессов и информация об их активности в сети.^[4]
   

   • Команда sudo предоставляет корневой доступ последующей команде, то есть позволяет просматривать системные файлы.
   • lsof является сокращением от «list of open files» (список открытых файлов). То есть эта команда позволяет просматривать запущенные процессы.
   • Оператор -i указывает, что список активных процессов должен сопровождаться информацией об их сетевой активности, потому что программы-шпионы подключаются к интернету, чтобы связываться с внешними источниками.
   • grep LISTEN – это команда отбирает процессы, которые открывают определенные порты (именно так действуют программы-шпионы).

3. 

   3

   Введите пароль администратора и нажмите ⏎ Return. Этого требует команда sudo. Имейте в виду, что во время ввода пароля он не отображается в терминале.

4. 

   4

   Выясните, какие процессы являются вредоносными. Если имя процесса вам не известно или он открывает порт, скорее всего, это вредоносная программа. Если вы не уверены в каком-либо процессе или порте, найдите имя процесса в интернете. Скорее всего, другие пользователи уже сталкивались с необычными процессами и оставили отзывы об их характере (вредоносные или безвредные). Если вы уверены, что процесс является вредоносным, удалите файл, который запускает этот процесс.

   • Если вы так и не выяснили характер процесса, лучше не удалять соответствующий файл, потому что это может привести к краху какой-нибудь программы.

5. 

   5

   Введите команду lsof | grep cwd и нажмите ⏎ Return. Отобразятся пути к папкам с файлами, которые соответствуют активным процессам. В списке найдите вредоносный процесс и скопируйте путь к нему.

   • cwd обозначает текущий рабочий каталог.
   • Чтобы облегчить чтение списков, запустите последнюю команду в новом окне терминала; для этого в терминале нажмите ⌘ Cmd + N.

6. 

   6

   Введите sudo rm -rf [путь к файлу] и нажмите ⏎ Return. В скобах вставьте путь к файлу. Эта команда приведет к удалению соответствующего файла.

   • rm – сокращение от «remove» (удалить).
   • Убедитесь, что вы хотите удалить именно этот файл. Помните, что файл будет удален безвозвратно. Поэтому рекомендуем заранее создать резервную копию. Откройте меню «Apple» и нажмите «Системные настройки» – «Time Machine» – «Резервное копирование».

   Реклама

Советы

• Если утилита HijackThis выдала слишком большой список подозрительных файлов, нажмите «Save Log» (Сохранить журнал), чтобы создать текстовый файл с результатами, и разместите их на этом форуме. Возможно, другие пользователи порекомендуют вам, что делать с тем или иным файлом.
• Порты 80 и 443 используются многими надежными программами для доступа в сеть. Конечно, программы-шпионы могут использовать эти порты, но это маловероятно, то есть шпионское ПО будет открывать другие порты.
• Когда вы обнаружите и удалите программы-шпионы, поменяйте пароли к каждой учетной записи, в которую вы входите с компьютера. Лучше перестраховаться, чем потом сожалеть.
• Некоторые мобильные приложения, которые якобы обнаруживают и удаляют программы-шпионы на Android-устройствах, на самом деле являются ненадежными или даже мошенническими. Лучший способ очистить смартфон от программ-шпионов – это вернуться к заводским настройкам.
• Сброс настроек до заводских также является эффективным способом удаления шпионских программ на iPhone, но если у вас нет корневого доступа к системным файлам, скорее всего, программы-шпионы не смогут проникнуть в iOS.

Реклама

Предупреждения

• Будьте осторожны, удаляя незнакомые файлы. Удаление файла из папки «System» (в Windows) может привести к повреждению операционной системы и последующей переустановке Windows.
• Аналогично, будьте осторожны, когда удаляете файлы посредством терминала в Mac OS X. Если вы считаете, что нашли вредоносный процесс, сначала почитайте информацию о нем в интернете.

Реклама

1. 

   1

   Download and install HijackThis. HijackThis is a diagnostic tool for Windows used to detect the presence of spyware. Double-click the installer to run it. Once installed, launch the software.

   • Other free software like Adaware or MalwareBytes, will also function with a similar process.

2. 

   2

   Press “Config…”. This button is located in the lower right corner under “Other Stuff” and will take you to a list of options for the program.

   • Here you can toggle important options (like file backups) on or off. Making a backup is a good, safe practice when working with removing files or software. They do take up a small amount of storage space, but the backups can always be removed later by deleting them from the backups folder.
   • Note that “Make backups before fixing items” is toggled on by default.

   Advertisement

3. 

   3

   Press “Back” to return to the main menu. This button replaces the “Config…” button while the configuration menu is open.

4. 

   4

   Press “Scan”. This button is located in the lower left corner and will generate a list of potentially bad files. It is important to note that HijackThis does a quick scan of likely locations for malicious software. Not all of the results will be harmful.

5. 

   5

   Select the checkbox next to a suspicious item and click “Info on selected item…”. This will give details about the item and why it was flagged in a separate window. Close the window when you are done reviewing.

   • Details will typically include the file location, the likely use of the file, and the action to be taken as a fix.

6. 

   6

   Press “Fix checked”. This button is located in the lower left and the software will either repair or remove the selected file, depending on its diagnosis.

   • You can fix multiple files at a time by selecting the checkbox next to each file.
   • Before making any changes, HijackThis will create a backup (by default) so that you can undo your change.

7. 

   7

   Restore from a backup. If you want to undo the changes made by HijackThis, press “Config” in the lower right, then “Backup”. Select your backup file (marked with the date and timestamp it was created) from the list and press “Restore”.^[2]
   

   • Backups persist through different sessions. You can close HijackThis and then restore a file from a backup at a later time.

Advertisement

1. 

   1

   Open a command line window. Netstat is a built-in Windows utility that can help detect the presence of spyware or other malicious files. Press ⊞ Win + R to manually run a program and enter “cmd”. The command line allows you to interact with the operating system using text commands.

   • This approach is good for those who want to avoid using third party software or take a more manual approach to the malicious software removal.
   • Make sure you run an elevated command prompt window by choosing Run as administrator.

2. 

   2

   Enter the text “netstat -b” and hit ↵ Enter. This will display a list of programs utilizing a connection or listening port (i.e. processes connecting to the internet).

   • In this context, ‘b’ stands for binary. The command displays the running “binaries” (or executables) and their connections.

3. 

   3

   Identify bad processes. Look for unfamiliar process names or port usage. If you are unsure about a process or its port, research its name online. You’ll find others who have encountered the process and they can help identify it as malicious (or harmless). When you have confirmed a process as malicious, it is time to remove the file running it.

   • If you are unsure whether the process is malicious or not after researching, then it is best to leave it alone. Tampering with the wrong files may cause other software to not work properly.

4. 

   4

   Press Ctrl + Alt + Delete simultaneously. This will open the Windows Task Manager, which lists all of the processes running on your computer. Scroll to locate the name of the bad process you found in the command line.

5. 

   5

   Right-click the process name and select “Show In Folder”. This will take you to the directory location of the bad file.

6. 

   6

   Right-click the file and select “Delete”. This will move the bad file to the Recycling Bin. Processes cannot run from this location.

   • If you receive an alert that the file cannot be deleted because it is in use, return to the Task Manager, select the process and press “End Task”. This will end the process immediately so that it can be moved to recycling.
   • If you deleted the wrong file, you can double-click the recycling to open it and then click and drag to move the file back out.

7. 

   7

   Right-click the Recycling Bin and select “Empty Recycling Bin”. This will permanently delete the file.

Advertisement

1. 

   1

   Open the Terminal. Through the Terminal, you’ll be able to run a diagnostic that can detect the presence of spyware on your computer. Go to “Applications > Utilities” and double-click Terminal to launch. This program allows you to interact with the operating system using text commands.

   • Alternately you can search for “Terminal” in the Launchpad.

2. 

   2

   Enter the text “sudo lsof -i | grep LISTEN” and hit ⏎ Return. This will instruct the computer to output a list of processes and their network information.^[3]
   

   • sudo gives root access to the command, allowing it to view system files.
   • ”lsof” is short for “list of open files”. This allows you to see running processes.
   • ”-i” specifies that the list of open files must be utilizing the network interface. Spyware will try to use to the network to communicate with outside sources.
   • ”grep LISTEN” is a command to the operating system to filter for those using listening ports — a necessity for spyware.

3. 

   3

   Enter your computer’s administrator password and hit ⏎ Return. Your password will not be displayed in the terminal, but it will be entered. This is necessary for the ‘sudo’ command.

4. 

   4

   Identify bad processes. Look for unfamiliar process names or port usage. If you are unsure about a process or its port, research its name online. You’ll find others who have encountered the process and they can help identify it as malicious (or harmless). When you have confirmed a process as malicious, it is time to remove the file running it.

   • If you are unsure whether the process is malicious or not after researching then it is best to leave it alone. Tampering with the wrong files may cause other software to not work properly.

5. 

   5

   Enter “lsof | grep cwd” and hit ⏎ Return. This will list the folder locations of the processes on your computer. Find the bad process in the list and copy the location.

   • ”cwd” stands for current working directory.
   • To make the lists easier to read through, you can run this command in a new Terminal window by pressing ⌘ Cmd + N while in the Terminal.

6. 

   6

   Enter “sudo rm -rf [path to file]” and hit ⏎ Return. Paste the location into the bracketed space (do not type the brackets). This command will delete the file at that path.

   • ”rm” is short for “remove”.
   • Make absolutely sure you want to remove the entered item. This process is irreversible! You may want to perform a Time Machine backup beforehand. Go to “Apple >System Preferences > Time Machine” and select “Backup”.

Advertisement

1. 

   1

   Identify suspicious behavior. If you are experiencing frequently slow network speeds, or are receiving unfamiliar/suspicious text messages, then you may have spyware on your phone.^[4]
   

   • Text messages with gibberish text or requesting replies with certain codes are good indicators that you may have spyware.

2. 

   2

   Check your data usage. Open the “Settings” app and tap “Data Usage”. You can scroll down to view the data usage of your different apps. Unusually high data usage may be a sign of spyware.

3. 

   3

   Back up your data. Connect your phone to your computer via USB, then drag and drop your data (e.g. photos or contact info) to back it up.

   • Since the device and your computer are running different operating systems, your computer will not become infected.

4. 

   4

   Open the “Settings” app and tap “Backup and Reset”. This opens a menu with a number of restoration options, including restoring the phone to factory settings.

5. 

   5

   Tap “Factory data reset”. This button appears at the bottom of the «Backup and Reset» menu.

6. 

   6

   Tap “Reset Phone”. Your phone will automatically restart and remove all apps and data, including any spyware, restoring the phone to its factory state.

   • Resetting the phone removes ALL of your stored data on the device. Make sure you make a backup first or don’t mind losing the data!

Advertisement

Advertisement

• Avoid opening or downloading files if you don’t know where they’re coming from since they may contain spyware.^[5]
  

• Always click «No» if an unknown program is asking for user control.^[6]
  

• Install reputable antivirus and antimalware programs on your computer to help prevent spyware.^[7]
  

Show More Tips

• Use caution when removing unfamiliar items. Removing items from the “System” folder on Windows can cause damage to your operating system and force you to reinstall Windows.

• Use similar caution when removing items from Mac with the Terminal. If you think you see a bad process, try researching it on the internet first!

Did this summary help you?