В зависимости от заражения это может быть изменение требуемого системного файла. Я столкнулся с этим с несколькими инфекциями в последние 6-7 месяцев, когда был заражен ATAPI.SYS. Удаление зараженного файла приводит к тому, что система не загружается, и, по крайней мере, на ранних этапах программное обеспечение не могло восстановить - просто удалите / переименуйте.
Решение, которое я выбрал для раннего заражения, состояло в том, чтобы загрузить консоль восстановления с установочного компакт-диска XP и вручную заменить поврежденный файл чистой копией.
Мне также повезло с загрузочным компакт-диском Kaspersky, хотя вам нужно иметь проводное сетевое подключение, потому что оно должно загружать обновления, если на компьютере не установлен продукт Kaspersky (я полагаю, что в этой ситуации он может использовать эти сигнатуры вирусов). Приятной особенностью Kaspersky является то, что вы можете открывать как окна терминала, так и файловый браузер (Avira позволяет это, но делает это с немецкой раскладкой клавиатуры, что раздражает). Это позволяет довольно просто удалить содержимое Documents and Settings\%USERNAME%\Local Settings\Temporary Internet Files\Content.IE5 (или просто удалите сам каталог, он будет воссоздан), любые исполняемые файлы /DLL / и т.д. из временных каталогов и проверьте наличие недавно измененных исполняемых файлов, библиотек DLL и системных файлов. Командная строка включает в себя команду "найти", так что вы можете проверить наличие недавно измененных файлов, но я не думаю, что она включает "меньше" или "больше". Если вы не хотите использовать find, ls -ltr - очень полезная команда в таких каталогах, как system32.
Кроме того, что касается карантина: как правило, это будет означать, что он переименовывает файл (Avira добавляет.Расширение XXX), поэтому его нельзя найти / запустить при перезагрузке системы в Windows. Полное удаление файлов может быть плохой идеей в случае ложных срабатываний.
