Usuwanie malware (wirusa) z komputera sprowadza się do pięciu kroków: odłącz internet, uruchom Windows w trybie awaryjnym, przeskanuj system Windows Defenderem (pełny skan), a następnie drugim skanerem typu Malwarebytes lub HitmanPro, na końcu zmień hasła i zaktualizuj system. Cała procedura zajmuje od godziny do trzech, w zależności od ilości danych na dysku. W większości przypadków nie potrzebujesz reinstalacji systemu ani pomocy serwisu. Poniżej każdy krok rozpisany szczegółowo, razem z tym, czego nie robić, żeby nie pogorszyć sytuacji.
Skąd wiesz, że masz wirusa?
Nie każde spowolnienie komputera to malware. Zanim zaczniesz procedurę usuwania, sprawdź czy rozpoznajesz poniższe objawy. Im więcej z nich się pojawia naraz, tym większe prawdopodobieństwo infekcji.
- Komputer działa znacznie wolniej niż zwykle, bez wyraźnego powodu
- Pojawiają się reklamy lub okna pop-up, nawet gdy przeglądarka jest zamknięta
- Strona startowa lub wyszukiwarka w przeglądarce zmieniła się sama
- Antywirus wyświetla ostrzeżenia o nieznanych zagrożeniach
- Nieznane programy pojawiły się na liście zainstalowanych aplikacji
- Dysk twardy lub sieć są mocno obciążone bez widocznego powodu
- Znajomi informują cię, że dostają dziwne wiadomości z twojego konta
- Pliki zostały zaszyfrowane i otrzymujesz żądanie okupu (ransomware)
Zanim zaczniesz - przeczytaj to
Kilka rzeczy, które musisz wiedzieć przed przystąpieniem do czyszczenia:
Nie zmieniaj haseł z zainfekowanego komputera. Jeśli masz keyloggera (program rejestrujący naciśnięcia klawiszy), nowe hasła natychmiast trafią do atakującego. Hasła zmieniaj dopiero po potwierdzeniu czystości systemu - albo z innego urządzenia.
Nie rób kopii zapasowej teraz. Kopia zainfekowanego systemu zawiera malware. Poczekaj z kopią zapasową do zakończenia czyszczenia.
Jeśli masz ransomware - nie restartuj komputera. Restart może uruchomić kolejną fazę szyfrowania. Odłącz internet i przejdź od razu do sekcji Szczególne przypadki.
Krok 1: Odłącz komputer od internetu
To pierwszy i najważniejszy krok. Odcięcie połączenia sieciowego zatrzymuje malware w miejscu - nie może już:
- wysyłać twoich danych do zewnętrznych serwerów
- pobierać dodatkowych modułów złośliwego oprogramowania
- komunikować się z centrum dowodzenia atakującego
- szyfrować plików na dyskach sieciowych lub w chmurze
Wyciągnij kabel sieciowy lub wyłącz Wi-Fi. Nie używaj trybu samolotowego przez system operacyjny - niektóre malware potrafią go obejść. Fizyczne odłączenie jest pewniejsze.
Krok 2: Uruchom system w trybie awaryjnym
Tryb awaryjny (Safe Mode) ładuje tylko niezbędne sterowniki systemu. Większość malware nie uruchomi się razem z systemem, co znacznie ułatwia skanowanie i usuwanie.
Windows 10 i 11
Najprostszy sposób: naciśnij i przytrzymaj klawisz Shift, a następnie kliknij Start → Zasilanie → Uruchom ponownie. System uruchomi się w menu zaawansowanym.
Wybierz kolejno: Rozwiązywanie problemów → Opcje zaawansowane → Ustawienia uruchamiania → Uruchom ponownie. Po restarcie naciśnij F4 (tryb awaryjny) lub F5 (tryb awaryjny z obsługą sieci - potrzebujesz do pobrania Malwarebytes).
Krok 3: Skanuj Windows Defenderem - pełny skan
Windows Defender (wbudowany w Windows 10/11) to solidny punkt startowy. Otwórz go przez: Start → Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami.
Kliknij Opcje skanowania i wybierz Pełne skanowanie. Nie "Szybkie skanowanie" - to tylko pobieżny przegląd. Pełne skanowanie sprawdza każdy plik na dysku i trwa 30-90 minut.
Po zakończeniu Defender pokaże listę znalezionych zagrożeń. Kliknij Wyczyść zagrożenia i pozwól mu działać.
Krok 4: Malwarebytes - drugi skaner
Malwarebytes to najczęściej polecane narzędzie do usuwania malware wśród specjalistów bezpieczeństwa. Łapie rzeczy, które Defender przeocza - adware, spyware, PUP (potencjalnie niechciane programy), trojany bankowe.
Pobierz darmową wersję z oficjalnej strony malwarebytes.com. Instalacja jest szybka. Po uruchomieniu kliknij Skanuj teraz. Darmowa wersja pozwala na jednorazowe skanowanie i usuwanie zagrożeń - to wszystko czego teraz potrzebujesz.
Krok 5: Sophos HitmanPro - skaner chmurowy
HitmanPro to narzędzie, które działa inaczej niż Malwarebytes. Zamiast lokalnej bazy sygnatur, wysyła podejrzane pliki do analizy w chmurze i wykrywa zagrożenia na podstawie zachowania. Szczególnie skuteczny przy rootkitach i zagrożeniach, które ukrywają się przed innymi skanerami.
Nie wymaga instalacji - pobierasz jeden plik wykonywalny i go uruchamiasz. To ogromna zaleta na zainfekowanym systemie, gdzie instalacja mogłaby zostać zablokowana przez malware.
HitmanPro oferuje 30-dniowy bezpłatny okres próbny z pełnym usuwaniem zagrożeń. Do jednorazowego czyszczenia systemu wystarczy.
Krok 6: Microsoft Defender Offline - skan przed uruchomieniem systemu
To ostatnia linia obrony. Defender Offline restartuje komputer do specjalnego środowiska przed załadowaniem systemu Windows, po czym skanuje dysk. Rootkity - malware ukrywające się głęboko w systemie - nie mają szansy się uruchomić i zamaskować swojej obecności.
Uruchom przez: Zabezpieczenia Windows → Ochrona przed wirusami i zagrożeniami → Opcje skanowania → Skanowanie w trybie offline programu Microsoft Defender → Skanuj teraz.
Komputer uruchomi się ponownie, przeprowadzi skan (ok. 15 minut), a następnie wróci do normalnego systemu z raportem.
Po usunięciu - co teraz?
System jest czysty. Nie kończ jednak tutaj - infekcja pozostawia luki, przez które malware dostało się do środka. Zamknij je:
- Zmień hasła - do wszystkich ważnych kont: poczta, bankowość, media społecznościowe. Rób to teraz, z już czystego systemu. Zacznij od skrzynek email, bo przez nie można zresetować pozostałe hasła.
- Zaktualizuj Windows - Start → Ustawienia → Windows Update → Sprawdź aktualizacje. Malware często wykorzystuje niezałatane luki systemowe.
- Zaktualizuj przeglądarkę i wtyczki - szczególnie Java, Adobe Reader, Flash (jeśli jeszcze używasz). To popularne wektory infekcji.
- Sprawdź rozszerzenia przeglądarki - usuń wszystkie nieznane lub te, których nie instalowałeś świadomie.
- Sprawdź zainstalowane programy - Panel sterowania → Programy → Odinstaluj. Usuń wszystko co jest nieznane lub podejrzane.
- Zrób kopię zapasową - teraz, gdy system jest czysty, masz zdrowy punkt przywracania.
Szczególne przypadki
Ransomware - pliki zostały zaszyfrowane
Ransomware to osobna kategoria. Twoje pliki są zaszyfrowane i przestępcy żądają okupu za klucz deszyfrujący.
Co zrobić zamiast płacić:
- Odłącz komputer od sieci i zasilania (zatrzymuje szyfrowanie)
- Sprawdź nomoreransom.org - bezpłatna baza narzędzi deszyfrujących dla znanych rodzin ransomware
- Zgłoś incydent na policję - w Polsce CSIRT NASK pod adresem incydent.cert.pl
- Jeśli masz kopię zapasową - przywróć z niej dane po czystej reinstalacji systemu
Podejrzenie rootkita
Rootkity to zaawansowane malware ukrywające swoją obecność na poziomie systemu operacyjnego. Objawy: skaner nie może usunąć zagrożenia, malware wraca po restarcie, system zachowuje się podejrzanie mimo czystych wyników skanowania.
W przypadku rootkita najpewniejszym rozwiązaniem jest czysta reinstalacja Windows. Brzmi drastycznie, ale przy poważnej infekcji żaden skaner nie daje 100% pewności. Utwórz nośnik instalacyjny przez Media Creation Tool, sformatuj dysk systemowy i zainstaluj system od nowa.
Mac - czy to możliwe?
macOS jest odporniejszy na klasyczne wirusy, ale malware dla Maców istnieje i przybywa go z roku na rok. Na Macu uruchom Malwarebytes for Mac (darmowy) - obsługuje tę platformę i skutecznie usuwa adware oraz spyware charakterystyczne dla ekosystemu Apple.
Trojan, robak czy zwykły wirus - czy procedura się różni?
W praktyce nie. „Wirus" to potoczna nazwa, której większość ludzi używa na każde złośliwe oprogramowanie. Technicznie trojan podszywa się pod legalny program, robak rozprzestrzenia się sam przez sieć, a klasyczny wirus doczepia się do plików - ale usuwanie malware wygląda tak samo niezależnie od rodzaju. Tryb awaryjny, pełny skan Defenderem, potem Malwarebytes i HitmanPro wyłapią trojana bankowego, robaki i adware tym samym kompletem narzędzi.
Procedura nie zależy też od sprzętu. Czy usuwasz wirusa z laptopa, czy z komputera stacjonarnego, kroki są identyczne - te same skanery działają na obu. Na laptopie zadbaj tylko, by podczas skanu był podłączony do zasilania: pełne skanowanie potrafi trwać godzinę i więcej, a wyładowanie baterii w połowie przerwie proces.
Jak nie dać się zarazić następnym razem
Usunięcie wirusa to jedno. Ważniejsze jest zamknięcie drogi, przez którą malware dostało się do systemu.
- Aktualizuj system i oprogramowanie na bieżąco - większość infekcji wykorzystuje znane luki, dla których łatki już istnieją
- Nie klikaj w linki z nieznanych emaili - phishing to najczęstszy wektor infekcji w Polsce
- Pobieraj oprogramowanie wyłącznie z oficjalnych źródeł - crackowane programy to prosta droga do malware
- Używaj menedżera haseł - silne, unikalne hasła na każdym koncie ograniczają straty w razie wycieku
- Włącz dwuskładnikowe uwierzytelnianie - na poczcie i bankowości to konieczność
- Rób regularne kopie zapasowe - najlepsza ochrona przed ransomware to backup, do którego malware nie ma dostępu
Jeśli chcesz wzmocnić ochronę w czasie rzeczywistym, sprawdź nasz poradnik jak wybrać antywirus - opisujemy tam, kiedy Windows Defender naprawdę wystarczy, a kiedy warto dopłacić do płatnego rozwiązania.
FAQ
Czy mogę uruchomić Malwarebytes i HitmanPro jednocześnie?
Nie uruchamiaj ich równocześnie - skanery mogą wchodzić sobie w drogę i spowalniać się nawzajem. Uruchom jeden, poczekaj na zakończenie, dopiero wtedy włącz drugi.
Wirus wrócił po restarcie - co robię?
To może oznaczać rootkita lub że malware zapisało się w miejscach, których skaner nie sprawdził (np. harmonogram zadań, rejestr, sektor rozruchowy). Uruchom Defender Offline. Jeśli problem wraca nadal, czysta reinstalacja Windows jest najbezpieczniejszym wyjściem.
Czy muszę kupić płatną wersję Malwarebytes żeby usunąć wirusa?
Nie. Darmowa wersja Malwarebytes skanuje i usuwa znalezione zagrożenia bez ograniczeń. Płatna wersja dodaje ochronę w czasie rzeczywistym i blokowanie złośliwych stron - przydatna jako stały element ochrony, ale do jednorazowego czyszczenia niepotrzebna.
Czy po usunięciu malware muszę zmieniać hasła do wszystkich kont?
Zmień hasła do kont wrażliwych: poczta, bankowość, sklepy internetowe z zapisaną kartą. Jeśli malware było aktywne długo, możliwe że twoje dane logowania trafiły do atakującego. Zmieniaj hasła już po potwierdzeniu czystości systemu, nie w trakcie infekcji.
Mój antywirus mówi że system jest czysty, ale coś nadal jest nie tak.
Nie każdy problem to wirus. Spowolnienie może powodować zapełniony dysk, zbyt wiele programów startowych, przegrzewający się procesor lub po prostu stary sprzęt. Jeśli dwa niezależne skanery (Malwarebytes + HitmanPro) nic nie znalazły, przyczyna leży prawdopodobnie gdzie indziej.
Jak usunąć trojana albo robaki z laptopa?
Tak samo jak każde inne malware. Rodzaj zagrożenia - trojan, robak, adware - nie zmienia procedury: tryb awaryjny, pełny skan Defenderem, potem Malwarebytes i HitmanPro. Sprzęt też nie ma znaczenia, na laptopie i komputerze stacjonarnym kroki są identyczne. Na laptopie podłącz tylko zasilanie, żeby bateria nie padła w trakcie skanu.
Czym różni się usuwanie malware od usuwania wirusa?
Niczym - „wirus" to potoczne określenie na całe złośliwe oprogramowanie (malware). Czyszczenie komputera z wirusów, trojanów czy robaków sprowadza się do tej samej rzeczy: przeskanowania systemu dwoma niezależnymi narzędziami i usunięcia tego, co wykryją. Nazwa zagrożenia nie wpływa na sposób jego usunięcia.