Вчера я открыл папку %LocalAppData%\CoreAIPlatform.00 на своём тестовом ПК с Windows 11 25H2. Внутри оказалось более 4000 скриншотов. Каждый мой клик, пароль от банка и черновик этой статьи за последние три месяца. Всё это молча делал Recall. Сегодня я покажу, как его уничтожить по-настоящему, без следов и возможности воскрешения.
🛡️ Подпишись на канал «Настройки Windows» — здесь мы разбираем, что на самом деле делает твоя система. 🔧 Каждую неделю — реальные инструкции, скрытые настройки и защита от цифровой слежки. 👇 Жми «Подписаться», чтобы не пропустить следующую статью серии.
🛡️ Фонд цифровой тишины 🛡️
Зовут этого шпиона Recall. В сборке 25H2 он стал ещё наглее: теперь он сует свой нос в NPU (нейропроцессор), чтобы жрать батарею и такты даже в простое. Его база данных — это зашифрованный гроб, в котором лежат тысячи твоих скриншотов с текстовыми метками. И самое смешное: эта база лежит в твоей же %LocalAppData%, и любой, кто получит доступ к твоему пользователю, сможет её прочитать.
Сегодня мы не будем «настраивать» Recall. Мы его выжжем дотла. Через GPO, реестр, PowerShell 7.6, снос папок и блокировку служб. Ты — не подопытный кролик корпорации. Ты — хозяин своей машины.
Погнали.
⚠️ Важные предупреждения перед началом
⚖️ Дисклеймер: все действия вы выполняете на свой страх и риск. Автор не несёт ответственности за возможные проблемы с системой. Статья носит образовательный характер.
- Ты работаешь с системными компонентами. Одна ошибка — и Windows может не загрузиться. Обязательно делай точку восстановления.
- Recall в 25H2 — это не просто «фича», а полноценный компонент. Его снос через DISM необратим без переустановки или ISO-образа.
- Удаление папки CoreAIPlatform.00 удалит все твои моментальные снимки. Если ты реально пользовался поиском Recall — данные уйдут. Но ты же не пользовался, правда?
- Редактирование реестра и GPO требует прав администратора.
- Используем только PowerShell 7.6 (pwsh.exe). Старый powershell.exe 5.1 — это динозавр, мы работаем с современным оружием.
- После всех действий обязательна полная перезагрузка. Не сон, не гибернация.
🧰 Что понадобится для операции
- 💻 Windows 11 25H2 (сборка 26200.8655 или новее)
- ⚡ PowerShell 7.6 LTS (скачай через winget install Microsoft.PowerShell)
- 👑 Права администратора (без них никак)
- 💾 Точка восстановления системы (сделай прямо сейчас через rstrui.exe)
- 📝 Блокнот или VS Code для сохранения скриптов
- ☕ Кофе (обязательно)
📋 Пошаговая инструкция по уничтожению
Шаг 0. Создаём точку восстановления
Прежде чем ломать — страхуемся. Запусти PowerShell от имени администратора и выполни:
Checkpoint-Computer -Description "BEFORE_RECALL_KILL" -RestorePointType "MODIFY_SETTINGS"
Шаг 1. Отключаем функцию через настройки
Это самый безопасный первый шаг.
- Нажми Win + I и открой Параметры.
- Перейди в Конфиденциальность и безопасность → Recall и моментальные снимки.
- Выключи переключатель «Сохранять моментальные снимки».
- Нажми «Удалить все моментальные снимки».
💬 Вопрос к читателям: открой сейчас %LocalAppData%\CoreAIPlatform.00 и посмотри размер папки. Напиши в комментариях, сколько у тебя весит база Recall. Поспорим, больше 500 МБ?
Шаг 2. Блокируем через групповые политики (GPO)
Если у тебя Windows 11 Pro или Enterprise:
- Нажми Win + R, введи gpedit.msc.
- Перейди: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Windows AI.
- Найди политику «Разрешить включение Recall» (Allow Recall to be enabled).
- Дважды кликни, выбери «Отключено» и нажми ОК.
Шаг 3. Отключаем через реестр (для всех редакций)
GPO — это просто обёртка над реестром. Мы запишем ключи напрямую. Выполни в PowerShell 7.6:
# Путь 1: через Policies\WindowsAI (основной)
$aiPath1 = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsAI"
if (-not (Test-Path $aiPath1)) { New-Item -Path $aiPath1 -Force | Out-Null }
Set-ItemProperty -Path $aiPath1 -Name "AllowRecallEnablement" -Value 0 -Type DWord
Set-ItemProperty -Path $aiPath1 -Name "DisableAIDataAnalysis" -Value 1 -Type DWord
# Путь 2: через Policies\Recall (дополнительный)
$aiPath2 = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Recall"
if (-not (Test-Path $aiPath2)) { New-Item -Path $aiPath2 -Force | Out-Null }
Set-ItemProperty -Path $aiPath2 -Name "AllowRecallEnablement" -Value 0 -Type DWord
Set-ItemProperty -Path $aiPath2 -Name "DisableAIDataAnalysis" -Value 1 -Type DWord
Write-Host "✅ Recall заблокирован через реестр (все пути)" -ForegroundColor Green
Что мы сделали:
- AllowRecallEnablement = 0 — прямой запрет включения Recall
- DisableAIDataAnalysis = 1 — запрещаем анализ содержимого экрана
Шаг 4. Полное удаление компонента через DISM
Это тяжёлая артиллерия. Мы выкорчёвываем Recall из образа Windows.
Проверяем статус компонента
dism /online /get-featureinfo /featurename:Recall
Полностью удаляем компонент
Disable-WindowsOptionalFeature -Online -FeatureName "Recall" -NoRestart
Удаляем UWP-пакет Recall
Get-AppxPackage *Recall* | Remove-AppxPackage -AllUsers
Важно: в 25H2 компонент называется просто Recall. После DISM-удаления обязательна перезагрузка.
Шаг 5. Убиваем зависшие процессы
Даже после отключения в памяти могут висеть процессы-зомби.
Get-Process | Where-Object { $_.ProcessName -match "aihost|aixhost|recall|coreai|workload" } | Stop-Process -Force -ErrorAction SilentlyContinue
Write-Host "✅ AI-процессы убиты" -ForegroundColor Green
Шаг 6. Блокируем NPU-службы
Нейропроцессор (NPU) Microsoft пытается заставить работать на Recall даже в простое.
$aiServices = @("WSAIFabricSvc", "WpnService", "RetailDemo", "diagnosticshub")
foreach ($svc in $aiServices) {
$service = Get-Service -Name $svc -ErrorAction SilentlyContinue
if ($service) {
Stop-Service -Name $svc -Force -ErrorAction SilentlyContinue
Set-Service -Name $svc -StartupType Disabled
}
}
💬 Вопрос к читателям: владельцы ноутбуков с Intel Core Ultra или Snapdragon X — отзовитесь! Заметили, что батарея стала жить дольше после отключения NPU? Делитесь цифрами в комментариях.
🔧 Секретный твик с Win-Raid: драйвер NPU держит чип в состоянии повышенного энергопотребления. Отключи его на уровне реестра:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\IntelNPU" -Name "Start" -Value 4 -Type DWord -ErrorAction SilentlyContinue
...
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\AMDNPU" -Name "Start" -Value 4 -Type DWord -ErrorAction SilentlyContinue
Шаг 7. Удаляем папку с данными и скриншотами
В 25H2 база данных ukg.db — это зашифрованная SQLite-база с использованием SQLite SEE и *AES-256-GCM*. Ключи криптографически привязаны к TPM и учётной записи пользователя. Сносим всё.
$recallPath = "$env:LOCALAPPDATA\CoreAIPlatform.00"
if (Test-Path $recallPath) {
# Снимаем атрибуты "только для чтения" и "системный"
Get-ChildItem -Path $recallPath -Recurse -Force | ForEach-Object { $_.Attributes = 'Normal' }
# Удаляем всё
Remove-Item -Path $recallPath -Recurse -Force -ErrorAction SilentlyContinue
if (-not (Test-Path $recallPath)) {
Write-Host "✅ Папка CoreAIPlatform.00 удалена" -ForegroundColor Green
} else {
Write-Host "⚠️ Часть файлов заблокирована. Перезагрузись и повтори." -ForegroundColor Yellow
}
} else {
Write-Host "ℹ️ Папка CoreAIPlatform.00 не найдена (уже удалена?)" -ForegroundColor Cyan
}
Что мы удалили:
- Подпапку UKP\ImageStore — тысячи JPEG-скриншотов
- Файл ukg.db — зашифрованную SQLite-базу с метаданными и векторными индексами
- Временные файлы и кэш AI-моделей
Шаг 8. Блокируем папку от повторного создания
Microsoft хитрая и может пересоздать папку при обновлении. Файл-пустышку в 25H2 они научились обходить. Используем NTFS-запрет (секретный метод с MDL).
$path = "$env:LOCALAPPDATA\CoreAIPlatform.00"
if (-not (Test-Path $path)) { New-Item -Path $path -ItemType Directory -Force | Out-Null }
$acl = Get-Acl $path
$rule1 = New-Object System.Security.AccessControl.FileSystemAccessRule("NT AUTHORITY\SYSTEM", "CreateDirectories", "Deny")
$rule2 = New-Object System.Security.AccessControl.FileSystemAccessRule("NT SERVICE\TrustedInstaller", "CreateDirectories", "Deny")
$acl.AddAccessRule($rule1)
$acl.AddAccessRule($rule2)
Set-Acl $path $acl
Write-Host "✅ NTFS-запрет на создание папки установлен" -ForegroundColor Green
Шаг 9. Блокируем задачи планировщика
Recall использует Task Scheduler для периодических снимков.
$tasks = Get-ScheduledTask | Where-Object { $_.TaskName -match "Recall|AI|CoreAI|Snapshot|WindowsAI" }
foreach ($task in $tasks) {
Disable-ScheduledTask -TaskName $task.TaskName -TaskPath $task.TaskPath -ErrorAction SilentlyContinue | Out-Null
}
# Защита от пересоздания через UpdateOrchestrator
$sysPath = "C:\Windows\System32\Tasks\Microsoft\Windows\AI\"
if (Test-Path $sysPath) {
takeown /f $sysPath /r /d y | Out-Null
icacls $sysPath /deny "NT AUTHORITY\SYSTEM:(OI)(CI)W" /T | Out-Null
}
Шаг 10. Финальная перезагрузка
Restart-Computer -Force
💡 Простое объяснение каждого действия
- Шаг 1 (Настройки) — это как выключить свет в комнате. Шпион всё ещё в доме, но он ничего не видит.
- Шаг 2 (GPO) — это как повесить на дверь амбарный замок. Политика говорит системе: «Recall — нельзя».
- Шаг 3 (Реестр) — это как вбить гвоздь в замочную скважину. Ключ есть, но повернуть его нельзя.
- Шаг 4 (DISM) — это как вырвать дверь с петлями. Компонент физически удалён из системы.
- Шаг 5 (Процессы) — это как выгнать шпиона из дома. Даже если он прятался в шкафу, мы его нашли.
- Шаг 6 (Службы) — это как перерезать телефонный провод. Шпион не сможет доложить «наверх».
- Шаг 7 (Удаление папки) — это как сжечь фотоальбом шпиона. Все доказательства уничтожены.
- Шаг 8 (NTFS-блокатор) — это как забить досками окно, через которое шпион мог бы вернуться.
- Шаг 9 (Планировщик) — это как отменить будильник шпиона. Он больше не проснётся для нового снимка.
- Шаг 10 (Перезагрузка) — это как проверить, что дом пуст, и запереть входную дверь.
🔍 Проверка результата: мёртв ли шпион?
После перезагрузки запускаем диагностику. Если всё зелёное — поздравляю, Recall мёртв.
1. Проверка компонента
dism /online /get-featureinfo /featurename:Recall
Должно быть: State : Disabled
2. Проверка реестра
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsAI" -ErrorAction SilentlyContinue
Должно быть: AllowRecallEnablement = 0, DisableAIDataAnalysis = 1
3. Проверка процессов (должно быть пусто)
Get-Process | Where-Object { $_.ProcessName -match "aihost|recall|coreai" }
Форензик-проверка: очистка следов в логах:
wevtutil cl "Microsoft-Windows-AI-Explorer/Operational"
wevtutil cl "Microsoft-Windows-Recall/Analytic"
↩️ Как откатить изменения
Если что-то пошло не так, вот как всё вернуть:
- Вернуть компонент: Enable-WindowsOptionalFeature -Online -FeatureName "Recall" -NoRestart
- Откатить реестр: Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsAI" -Recurse -Force
- Удалить NTFS-блокатор: Запусти rstrui.exe и выбери точку восстановления «До экзекуции Recall».
❓ Частые вопросы (FAQ)
А если у меня Windows 11 Home, где нет gpedit.msc?
Не парься. Шаги с 3 по 10 работают в любой редакции. GPO — это просто интерфейс для ключей реестра, которые мы прописываем напрямую.
Recall удалён, но NPU всё равно что-то делает. Что делать?
NPU используют и другие фичи: Cocreator в Paint, Live Captions, Studio Effects. Используй команды из Шага 6 для полного отключения служб и реестровых ключей NPU.
Microsoft выпустит обновление и включит Recall обратно. Что делать?
Наши методы (особенно NTFS-запрет и DISM-удаление) создают барьер, который cumulative updates не могут легко преодолеть. Но для 100% гарантии нужно контролировать Windows Update. Как это сделать — в следующей статье.
Я удалил базу данных. Это точно безопасно?
Да. База ukg.db зашифрована с использованием SQLite SEE и *AES-256-GCM*, ключи криптографически привязаны к TPM и учётной записи пользователя. Это значит, что украсть базу и прочитать на другом ПК невозможно. Но любой процесс с правами твоего пользователя может её прочитать через AIProtection.dll. Там лежат скриншоты твоего экрана, включая пароли и переписки. Ты сам хочешь это хранить?
После всех действий Windows стала работать быстрее. Это нормально?
Абсолютно. Recall в фоне делал скриншоты, прогонял их через OCR, строил векторные индексы и писал на диск. Ты не «потерял функцию», ты избавился от паразита, жравшего CPU, RAM и батарею.
🎣 Война только начинается
Recall мёртв. Папка стёрта. Службы остановлены. Реестр заблокирован. Ты можешь спать спокойно... пока.
Но давай я расскажу тебе секрет, от которого по спине побегают мурашки. Microsoft не сдастся. Прямо сейчас на серверах в Редмонде собирается cumulative update, который проверит, не отключён ли у тебя Recall. Если отключён — он попытается включить его обратно, перезаписав ключи и пересоздав папки.
А ещё есть Hotpatching — новая фича 25H2 (доступна в Enterprise-редакции), которая позволяет ставить обновления БЕЗ ПЕРЕЗАГРУЗКИ. Система может на лету, пока ты работаешь, внедрить в ядро новый код. Ты даже не заметишь, как ИИ-шпион воскреснет.
Как раз и навсегда заблокировать эти механизмы? Как настроить Windows Update так, чтобы он спрашивал разрешения, а не лез в систему без приглашения?
Об этом — в следующей статье серии. Готовься. Будет больно, но необходимо.
👉 Статья №9:
👍 Если статья помогла — поставь лайк. Это не для меня, это сигнал алгоритму, что тема приватности важна. Чем больше лайков — тем чаще Дзен показывает такие материалы другим. 🔔 Подпишись на канал «Настройки Windows» 📤 Поделись статьёй с другом, который ещё не знает, что его компьютер делает скриншоты каждые 5 секунд. Чем больше нас — тем сложнее их бизнес-модель.
До встречи в следующей статье, боец. Держи оборону. 🛡️
#Windows11 #Windows11_25H2 #Recall #безопасностьWindows #удалитьRecall #PowerShell #настройкиWindows #приватность #цифроваягигиена #отключитьИИ #NPU #WindowsUpdate #системныйадминистратор #лайфхакиWindows #защитаданных #Microsoft #техноблог #информационнаябезопасность #оптимизацияПК #скоростьWindows #Hotpatching #SQLite #AES256 #TPM #GroupPolicy #реестрWindows #цифроваябезопасность #контрольПК #антислежка #WindowsEnterprise
✴️ Дорогие друзья. Если статья оказалась полезна, одна СТЕЛЛА от вас = мощная реклама для сотен людей. Поддержите контент, чтобы проблемы и решения находились быстрее! ✴️
С уважением. Александр, канал "Настройки Windows" на Яндекс.Дзен