Вредоносные программы, расширения браузеров и потенциально нежелательное ПО (PUP, ПНП) — одна из главных проблем пользователей Windows сегодня. Особенно в связи с тем, что многие антивирусы попросту «не видят» такие программы, так как они не являются в полной мере вирусами.

На настоящий момент времени существует достаточно качественных бесплатных утилит, позволяющих обнаружить такие угрозы — AdwCleaner, Malwarebytes Anti-malware и другие, с которыми можно ознакомиться в обзоре Лучшие средства удаления вредоносных программ, а в этой статье ещё одна такая программа — RogueKiller Anti-Malware от Adlice Software, об её использовании и сравнение результатов с другой популярной утилитой.

Использование RogueKiller Anti-Malware

Также, как и другие средства для очистки от вредоносного и потенциально нежелательного ПО, RogueKiller проста в использовании (несмотря на то, что интерфейс программы не на русском языке). Утилита совместима с Windows 10, 8 (8.1) и Windows 7 (и даже XP).

Внимание: программа на официальном сайте доступна для загрузки в двух вариантах, один из которых отмечен как Old Interface (старый интерфейс), в варианте со старым интерфейсом Rogue Killer на русском языке (где скачать RogueKiller — в конце материала). В этом обзоре рассматривается новый вариант оформления (думаю, и в нем скоро появится перевод).

Шаги по поиску и очистке в утилите выглядят следующим образом (перед очисткой компьютера рекомендую создать точку восстановления системы).

1. После запуска (и принятия условий использования) программы нажмите кнопку «Start Scan» или перейдите на вкладку «Scan». 
2. На вкладке Scan в платной версии RogueKiller можно настроить параметры поиска вредоносного ПО, в бесплатной версии — лишь посмотреть, что будет проверяться и еще раз нажать «Start Scan» для начала поиска нежелательных программ. 
3. Будет запущено сканирование на наличие угроз, которое занимает, субъективно, более продолжительно время, чем этот же процесс в других утилитах. 
4. В результате вы получите список найденных нежелательных элементах. При этом пункты разного цвета в списке означают следующее: Красные — вредоносные, Оранжевые — потенциально нежелательные программы, Серые — потенциально нежелательные модификации (в реестре, планировщике заданий и т.п.). 
5. Если в списке нажать кнопку «Open Report», откроется более подробная информация о всех найденных угрозах и потенциально нежелательных программах, отсортированная на вкладках по типу угрозы. 
6. Для удаления вредоносных программ отметьте в списке из 4-го пункта то, что требуется удалить и нажмите кнопку Remove Selected.

А теперь о результатах поиска: на моей экспериментальной машине не было установлено значительного количества потенциально нежелательных программ, кроме одной (с сопутствующим ей мусором), которую вы видите на скриншотах, и которая определяется вовсе не всеми похожими средствами.

RogueKiller нашел 28 мест на компьютере, где эта программа была прописана. В то же самое время, AdwCleaner (который я всем рекомендую к использованию как эффективное средство) нашел лишь 15 изменений в реестре и других местах системы, произведенных этой же программой.

Конечно, это нельзя считать объективным тестом и сложно сказать, как поведет себя проверка с другими угрозами, но есть основания предполагать, что результат должен быть хорошим, с учетом того, что RogueKiller, помимо прочего, проверяет:

• Процессы и наличие руткитов (может быть полезно: Как проверить процессы Windows на вирусы).
• Задачи планировщика заданий (актуально в контексте часто встречающейся проблемы: Сам открывается браузер с рекламой).
• Ярлыки браузеров (см. Как проверить ярлыки браузеров).
• Загрузочную область диска, файл hosts, угрозы в WMI, службы Windows.

Т.е. список более обширен, чем в большинстве подобных утилит (потому, вероятно, и проверка занимает более продолжительное время) и, если другие продукты такого рода вам не помогли, рекомендую попробовать.

Где скачать RogueKiller (в том числе на русском языке)

Скачать бесплатно RogueKiller можно с официального сайта https://www.adlice.com/download/roguekiller/ (нажмите внизу колонки «Free» кнопку «Download»). На странице загрузки будет доступен как установщик программы, так и ZIP-архивы Portable версии для 32-бит и 64-бит системы для запуска программы без установки на компьютер.

Там же присутствует возможность загрузки программы со старым интерфейсом (Old Interface), где присутствует русский язык. Внешний вид программы при использовании этой загрузки будет как на следующем скриншоте.

В бесплатной версии недоступно: настройка поиска нежелательных программ, автоматизация, темы оформления, использование сканирования из командной строки, удаленный запуск сканирования, онлайн-поддержка из интерфейса программы. Но, уверен, для простой проверки и удаления угроз обычному пользователю бесплатная версия вполне подойдет.

Во многих инструкциях, касающихся удаления Adware, Malware и другого нежелательного ПО с компьютера присутствует пункт о необходимости проверить запущенные процессы Windows на наличие среди них подозрительных уже после использования автоматических средств удаления вредоносных программ. Однако, сделать это пользователю без серьезного опыта работы с операционной системой не так уж и просто — список выполняемых программ в диспетчере задач мало о чем может ему рассказать.

Помочь в проверке и анализе запущенных процессов (программ) Windows 10, 8 и Windows 7 и XP может бесплатная утилита CrowdStrike CrowdInspect, предназначенная именно для этой цели, о которой и пойдет речь в данном обзоре. См. также: Как избавиться от рекламы (AdWare) в браузере.

Использование CrowdInspect для анализа запущенных процессов Windows

CrowdInspect не требует установки на компьютер и представляет собой архив .zip с единственным исполняемым файлом crowdinspect.exe, который при запуске может создать еще один файл для 64-разрядных систем Windows. Для работы программы потребуется подключенный Интернет.

При первом запуске вам потребуется принять условия лицензионного соглашения кнопкой Accept, а в следующем окне при необходимости выполнить настройки интеграции с онлайн-сервисом проверки на вирусы VirusTotal (и при необходимости отключить загрузку заранее неизвестных файлов на этот сервис, отметка «Upload unknown files»).

После нажатия «Ок» на короткий промежуток времени откроется рекламное окно платного средства защиты CrowdStrike Falcon, а затем — главное окно программы CrowdInspect со списком запущенных в Windows процессах и полезной информацией о них.

Для начала информация по важным столбцам в CrowdInspect

• Process Name — имя процесса. Также можно отобразить полные пути к исполняемым файлам, нажав кнопку «Full Path» в главном меню программы.
• Inject — проверка на инъекции кода процессом (в некоторых случаях может показать положительный результат для антивирусов). При подозрении на наличие угрозы выдается двойной восклицательный знак и красный значок.
• VT или HA — результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, которые считают файл опасным). В последней версии отображается колонка HA, а анализ выполняется с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
• MHR — результат проверки в Team Cymru Malware Hash Repository (база контрольных сумм известных вредоносных программ). Отображает красную иконку и двойной восклицательный знак при наличии хэша процесса в базе.
• WOT — при выполнении процессом соединений с сайтами и серверами в Интернете, результат проверки этих серверов в репутационном сервисе Web Of Trust

Оставшиеся столбцы содержат информацию об установленных процессом Интернет-соединениях: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.

Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка и более процессов в CrowdInspect. Причина этого в том, что отображается отдельная строка для каждого установленного единственным процессом соединения (а обычный сайт, открытый в браузере, заставляет подключаться сразу ко многим серверам в Интернете). Вы можете отключить такой тип отображения, отключив кнопку TCP и UDP в верхней панели меню.

Другие элементы меню и управления:

• Live / History — переключает режим отображения (в реальном времени или список, в котором отображается время запуска каждого процесса).
• Pause — поставить сбор информации на паузу.
• Kill Process — завершить выбранный процесс.
• Close TCP — завершить подключение по TCP/IP для процесса.
• Properties — открыть стандартное окно Windows со свойствами исполняемого файла процесса.
• VT Results — открыть окно с результатами сканирования в VirusTotal и ссылкой на результат сканирования на сайте.
• Copy All — скопировать всю представленную информацию об активных процессах в буфер обмена.
• Также для каждого процесса по правому клику мышью доступно контекстное меню с основными действиями.

Допускаю, что более опытные пользователи к настоящему моменту подумали: «отличный инструмент», а начинающие не совсем поняли, какой толк от него и как его можно использовать. А потому кратко и максимально просто для начинающих:

1. Если у вас возникли подозрения что на компьютере происходит что-то плохое, а антивирусом и утилитами, наподобие AdwCleaner компьютер уже был проверен (см. Лучшие средства удаления вредоносных программ), можно заглянуть в Crowd Inspect и посмотреть, нет ли подозрительных фоновых программ, запущенных в Windows.
2. Подозрительными стоит считать процессы с красной отметкой с высоким процентом в столбце VT и (или) красной отметкой в столбце MHR. Красные значки в Inject вы навряд ли встретите, но если увидите — тоже обратите внимание. 
3. Что делать в случае если процесс подозрителен: посмотрите его результаты в VirusTotal, нажав кнопку VT Results, а затем перейдя по ссылке с результатами сканирования файла антивирусами. Можно попробовать выполнить поиск по имени файла в Интернете — распространенные угрозы обычно обсуждаются на форумах и на сайтах поддержки. 
4. Если в результате сделан вывод о том, что файл вредоносный — пробуйте убрать его из автозагрузки, удалить программу, к которой относится этот процесс и использовать другие методы для избавления от угрозы.

Примечание: учитывайте, что с точки зрения многих антивирусов разного рода «программы для скачивания» и подобные средства, популярные у нас в стране, могут являться потенциально нежелательным ПО, что будет отображаться в столбцах VT и (или) MHR утилиты Crowd Inspect. Однако это не обязательно означает, что они опасны — тут стоит рассматривать каждый отдельный случай.

Скачать Crowd Inspect можно бесплатно с официального сайта https://www.crowdstrike.com/resources/community-tools/crowdinspect-tool/ (после нажатия кнопки загрузки, на следующей странице потребуется принять условия лицензии, нажав Accept для начала скачивания). Также может пригодиться: Лучшие бесплатные антивирусы для Windows.