Аварийная перезагрузка: как проверить и восстановить системные файлы после атаки вируса

Автор На чтение 11 мин Просмотров 1 Опубликовано

Представьте ситуацию: вы долго боролись с вирусом или трояном. Антивирус, который вы скачали в панике, вроде бы справился. Угроза удалена, «опасные процессы» остановлены. Но компьютер ведёт себя странно — вылетают программы, пропадают иконки, Windows запускается медленно или с ошибками. Вы чувствуете, что что-то не так, но не понимаете, где именно была нанесена травма.

Часто после удаления вредоносного ПО система остаётся «беззащитной» и повреждённой. Вирусы не просто копируются, они меняют системные настройки, подменяют важные файлы или повреждают их, чтобы скрыть своё присутствие. В этот момент самый эффективный инструмент, который есть у каждого пользователя Windows — это утилита проверки системных файлов. В обиходе её называют по команде, которая её запускает: sfc /scannow.

В этой статье мы разберёмся, почему эта команда — не просто формальность, а реальная мера лечения, как её правильно запустить и что делать, если она не может исправить найденные повреждения. Без лишней теории, только практика.

Содержание
  1. Почему после удаления вируса система «ломается»
  2. Подготовка к проверке: почему права администратора важны
  3. Пошаговая инструкция: запуск SFC /scannow
  4. Способ 1: Через поиск (самый быстрый)
  5. Способ 2: Через меню «Выполнить»
  6. Как читать результаты сканирования
  7. Что делать, если SFC не справился? (Инструмент DISM)
  8. Сравнение: SFC и DISM — в чём разница?
  9. Частые ошибки при восстановлении
  10. Ошибка 1: Запуск без прав администратора
  11. Ошибка 2: Прерывание процесса
  12. Ошибка 3: Игнорирование лога ошибок
  13. Ошибка 4: Использование только SFC
  14. Сценарии: что делать в вашей ситуации
  15. Практические рекомендации: как обезопасить себя после лечения
  16. Итог

Почему после удаления вируса система «ломается»

Многие пользователи ошибочно полагают, что если антивирус удалил файл, который он посчитал угрозой, то всё вернулось в норму. Это не так. Вирусы живут в системе годами, и за это время они делают с ней много вещей.

Вот что часто происходит под капотом:

  • Подмена файлов. Некоторые трояны заменяют легитимные системные файлы своими версиями (например, библиотеки .dll или исполняемые файлы .exe), чтобы контролировать работу системы. Когда антивирус удаляет вирусную копию, на её месте остаётся дыра. Система пытается запустить программу, а файл физически отсутствует.
  • Повреждение реестра. Злоумышленники прописывают свои ключи в реестр. При удалении вируса эти ключи часто удаляют, но связи между ними и системными файлами могут нарушиться.
  • Сбои в работе защитных механизмов. Вирусы часто отключают Windows Defender или брандмауэр, модифицируя их файлы. После удаления вируса эти компоненты могут перестать запускаться или работать некорректно.

Команда sfc /scannow (System File Checker) работает как врач-диагност. Она сканирует все критически важные файлы Windows, сверяет их с оригинальной базой данных, хранящейся в системе, и, если находит отличия, подменяет их на правильные, восстановленные из кэша.

После атаки эта процедура обязательна. Она закрывает «дыры», оставленные вирусом, и возвращает системе её первоначальную целостность.

Подготовка к проверке: почему права администратора важны

Самая частая ошибка, которую я вижу — попытка запустить эту команду из обычного командного окна. Это бесполезно. Утилите sfc требуются права администратора, потому что она имеет право изменять системные файлы. Без административных прав она просто скажет, что процесс отключён или недоступен.

Вот как правильно подготовиться к запуску:

  1. Закройте все лишние программы. Браузеры, игры, мессенджеры. В идеале — оставьте систему в покое. Сканеру нужно место на диске и ресурсы процессора. Если в это время будет скачиваться что-то в фоне, проверка может зависнуть или выдать ложную ошибку.
  2. Отключите сторонний антивирус (если он есть). Иногда другие антивирусы блокируют попытки доступа к системным файлам, считая это подозрительным действием. После удаления вируса его всё равно лучше временно отключить или удалить, чтобы он не мешал восстановлению.
  3. Подключитесь к интернету (опционально). Если локальный кэш Windows повреждён, утилите может потребоваться скачать оригинальные файлы с серверов Microsoft. Хотя чаще всего всё берётся из локального хранилища.

Теперь давайте перейдём к самому главному — запуску.

Пошаговая инструкция: запуск SFC /scannow

Существует несколько способов открыть командную строку с правами администратора. Выбери тот, который тебе привычнее. Главное — убедиться, что в заголовке окна написано «Администратор».

Способ 1: Через поиск (самый быстрый)

  1. Нажмите на значок Поиска (лупа) или клавишу Win на клавиатуре.
  2. Начните вводить фразу: cmd.
  3. В результатах поиска появится «Командная строка». Не нажимайте Enter сразу. Справа (или при клике правой кнопкой мыши) выберите пункт «Запуск от имени администратора».
  4. Если Windows спросит разрешение на внесение изменений, нажмите «Да».

Способ 2: Через меню «Выполнить»

  1. Нажмите комбинацию клавиш Win + R.
  2. В появившемся окне введите: cmd.
  3. Затем зажмите клавишу Ctrl + Shift и нажмите Enter. Это комбинация запуска от имени администратора.
  4. Подтвердите действие «Да».

У вас откроется чёрное окно с белым текстом. Это и есть командная строка. Введите туда следующую команду:

sfc /scannow

Обратите внимание: между sfc и /scannow обязательно должен быть пробел. Если вы напишете слитно или с двумя слешами, команда не сработает. Нажимайте Enter.

Процесс начнётся. Вы увидите строку «Начало проверки системы…» и процент выполнения. Это не быстрая операция. В зависимости от скорости вашего жёсткого диска (HDD или SSD) и количества файлов, это займёт от 15 минут до часа.

Как читать результаты сканирования

Когда процесс завершится (дойдёт до 100%), система выдаст один из четырёх вариантов. Понимание того, что написано, критически важно для дальнейших действий.

Вариант 1: «Важные файлы Windows не повреждены»

Это хороший знак. Скорее всего, вирус не затронул критическую часть ядра системы, или антивирус уже всё починил. Если проблемы с производительностью остались, причина может быть в настройках, реестре или оставшихся «мусорных» файлах, но целостность ядра не нарушена.

Вариант 2: «Найдены повреждённые файлы. Восстановление выполнено успешно»

Идеальный сценарий работы SFC. Система обнаружила отличия от оригинала и заменила их на правильные версии. Перезагрузите компьютер и проверьте работу программ.

Вариант 3: «Найдены повреждённые файлы. Восстановление выполнено частично»

Это тревожный сигнал. SFC попытался починить файлы, но не смог или не хватило прав доступа. Возможно, повреждения слишком глубокие, или утилита сама не может получить доступ к файлу, который заблокирован. В этом случае нужно действовать дальше (см. раздел про DISM).

Вариант 4: «Найдены повреждённые файлы. Восстановление не удалось»

Система видит проблему, но не может её решить самостоятельно. Это часто случается после серьёзных атак, когда повреждён даже кэш восстановления. Здесь без дополнительных действий не обойтись.

Что делать, если SFC не справился? (Инструмент DISM)

Если вы получили сообщение, что восстановление не удалось или выполнено частично, останавливаться нельзя. Файлы всё ещё повреждены. Следующим шагом нужно использовать инструмент DISM (Deployment Image Servicing and Management). Он работает на более глубоком уровне, скачивая свежие образы системы прямо из обновлений Windows.

В той же командной строке (от имени администратора) введите следующую команду:

DISM /Online /Cleanup-Image /RestoreHealth

Эта команда «лечит» хранилище компонентов Windows. Она скачивает оригинальные файлы с серверов Microsoft и заменяет ими битые версии в вашем локальном кэше.

Важно: После запуска DISM сканирование может зависнуть на 20% или 40%. Это нормально. Не закрывайте окно и не выключайте компьютер. Процесс может занять 10–30 минут. Как только он завершится (появится сообщение об успешном завершении), перезагрузите компьютер и снова запустите sfc /scannow.

Почему снова? Потому что DISM чинит «запчасти» (кэш), а SFC уже устанавливает их в систему. Без повторного запуска SFC вы не узнаете, была ли проблема решена.

Сравнение: SFC и DISM — в чём разница?

Многие путают эти две утилиты или используют их как синонимы. На самом деле они решают разные задачи, и хотя в контексте восстановления после вируса они работают в паре, механизмы у них разные.

Критерий Команда SFC /scannow Команда DISM
Что проверяет Саму операционную систему на целостность файлов. Образ системы (хранилище компонентов, где лежат «запчасти»).
Откуда берёт исправления Из локального кэша (%WinDir%\System32\dllcache). Из облачного хранилища Windows Update (если локальный кэш повреждён).
Когда применять В первую очередь, как базовую проверку. Когда SFC не может исправить ошибки или выдал ошибку доступа.
Скорость работы Обычно быстрее (15–30 мин). Дольше, зависит от скорости интернета (может занять час).
Результат Заменяет битые файлы на те, что есть на диске. Восстанавливает саму возможность замены файлов (обновляет кэш).

В контексте заражения вирусом алгоритм такой: сначала SFC. Если он «споткнулся» — запускаем DISM, ждём окончания, а потом снова SFC.

Частые ошибки при восстановлении

Даже опытные пользователи иногда совершают одни и те же ошибки, которые сводят на нет всё лечение. Проверьте себя, не попали ли вы в эти ловушки.

Ошибка 1: Запуск без прав администратора

Как уже говорилось, обычный запуск CMD не поможет. Вы получите сообщение «Отказано в доступе» или ошибку 0x800f081f. Всегда запускайте от имени администратора.

Ошибка 2: Прерывание процесса

Если вы увидели, что сканирование висит на одном месте, и нажали Ctrl+C или закрыли окно — вы можете повредить структуру кэша ещё сильнее. Если процесс завис, лучше подождать час. Если ничего не меняется — принудительно перезагрузите ПК, но потом придётся запускать DISM, чтобы восстановить целостность.

Ошибка 3: Игнорирование лога ошибок

Иногда SFC пишет, что нашёл проблемы, но не может их исправить, и просто говорит «Примечание: файл CBS.log содержит подробную информацию». Многие игнорируют это и бросают дело. Файл CBS.log (находится по пути C:\Windows\Logs\CBS\CBS.log) — это детальный отчёт. Если вы можете прочитать его (или скопировать часть текста ошибки в поиск), вы поймёте, какой именно файл повреждён. Иногда это помогает понять, что вирус всё ещё жив и блокирует файл.

Ошибка 4: Использование только SFC

Если локальный кэш Windows сам был заражён или повреждён вирусом, SFC будет пытаться «залатать дыры» битыми деталями. В этом случае он только подтвердит наличие проблем, но не решит их. Всегда имейте в запасе команду DISM.

Сценарии: что делать в вашей ситуации

Давайте разберём конкретные ситуации, с которыми вы можете столкнуться после очистки от вируса.

Сценарий 1: «Компьютер чист, но тормозит и вылетает»
Если антивирус удалил угрозу, но система работает нестабильно, запустите sfc /scannow. Скорее всего, проблема в отсутствии системных файлов. Если SFC найдёт и исправит ошибки — проблема исчезнет.

Сценарий 2: «Winsock и интернет не работают»
Многие трояны атакуют сетевые настройки. Если после удаления вируса вы не можете выйти в интернет, sfc /scannow может помочь, но лучше добавить две команды для сброса сетевых настроек. В командной строке по очереди введите:

netsh winsock reset
netsh int ip reset

После этого перезагрузите компьютер. Это сбросит настройки сети к заводским.

Сценарий 3: «SFC выдает ошибку 0x800f081f»
Это значит, что утилита не находит оригинальные файлы для восстановления. Обычно это лечится командой DISM. Если и DISM не помогает, возможно, у вас отключена служба обновлений Windows (что часто делают вирусы). Нужно зайти в Службы (services.msc), найти Windows Update и включить её, затем повторить попытку.

Сценарий 4: «Система вообще не загружается»
Если после удаления вируса Windows не стартует, запускать команды из-под Рабочего стола не получится. Вам понадобится загрузочная флешка с Windows. Загрузитесь с неё, выберите «Восстановление системы» -> «Поиск и устранение неисправностей» -> «Командная строка». Там можно запустить sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows, указав путь к системному диску (буква диска может отличаться от привычной C:).

Практические рекомендации: как обезопасить себя после лечения

После того как вы запустили sfc /scannow, получили зелёный свет и перезагрузили компьютер, не расслабляйтесь. Восстановление файлов — это только половина дела. Вирус мог оставить бэкдоры (скрытые каналы доступа).

Вот что нужно сделать обязательно:

  • Смените пароли. Если вирус был трояном-формостеалером (stealer), он мог украсть данные. Смените пароли на основные аккаунты (почта, банки, соцсети) с другого, уверенно чистого устройства (например, телефона).
  • Проверьте автозагрузку. Нажмите Ctrl + Shift + Esc, откройте вкладку «Автозагрузка». Внимательно изучите список. Если видите незнакомые процессы с пустыми именами или странными путями — отключите их. Вирусы часто возвращаются именно через автозагрузку, если вы не удалили их полностью.
  • Обновите систему. После восстановления файлов зайдите в Центр обновлений и установите все накопительные пакеты. Это закроет дыры безопасности, через которые вирус проник в первый раз.
  • Настройте точку восстановления. Как только система заработает стабильно, создайте новую точку восстановления. Это позволит вам откатиться назад, если вирус проявит себя снова.

Итог

Проверка целостности системных файлов с помощью sfc /scannow — это не просто «ещё одна проверка», а необходимый этап реабилитации системы после атаки. Вирусы — это разрушители, и они оставляют после себя хаос в виде битых файлов и сбитых настроек.

Помните простую формулу пост-вирусного восстановления:

  1. Запуск sfc /scannow (проверка и ремонт).
  2. Если не помогло — запуск DISM (ремонт инструментария).
  3. Повторный запуск sfc /scannow (финальная полировка).
  4. Смена паролей и проверка автозагрузки.

Если вы выполните эти шаги, вы не просто удалите вирус, но и вернёте операционной системе её первоначальную работоспособность. Это сэкономит вам кучу времени, нервов и, возможно, необходимость переустанавливать Windows. Не бойтесь командной строки — в данном случае это ваш лучший друг и инструмент, который работает быстро и точно.

Информация в статье носит ознакомительный и рекомендательный характер. Операции по восстановлению системных файлов и редактированию реестра могут повлиять на работу операционной системы. Рекомендуется перед выполнением действий создавать резервную копию важных данных. Если вы не уверены в своих действиях, обратитесь к специалисту.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком