В зависимости от заражения это может быть изменение требуемого системного файла. Я столкнулся с этим с несколькими инфекциями в последние 6-7 месяцев, когда был заражен ATAPI.SYS. Удаление зараженного файла приводит к тому, что система не загружается, и по крайней мере на ранних этапах программное обеспечение не может быть восстановлено - просто удалите / переименуйте.
Решение, которое я выбрал для раннего заражения, состояло в том, чтобы загрузить консоль восстановления с установочного компакт-диска XP и вручную заменить поврежденный файл чистой копией.
Мне также повезло с загрузочным компакт-диском Kaspersky, хотя вам нужно иметь проводное сетевое подключение, потому что оно должно загружать обновления, если на компьютере не установлен продукт Kaspersky (я полагаю, что в этой ситуации он может использовать эти сигнатуры вирусов). Приятной особенностью Kaspersky является то, что вы можете открывать как окна терминала, так и файловый браузер (Avira позволяет это, но делает это с немецкой раскладкой клавиатуры, что раздражает). Это позволяет довольно просто удалить содержимоеDocuments and Settings\%USERNAME%\Local Settings\Temporary Internet Files\Content.IE5(или просто удалите сам каталог, он будет воссоздан), любые исполняемые файлы / DLL / и т.д. из временных каталогов и проверьте наличие недавно измененных исполняемых файлов, библиотек DLL и системных файлов. Командная строка включает в себя команду «найти», так что вы можете проверить наличие недавно измененных файлов, но я не думаю, что она включает «меньше» или «больше». Если вы не хотите использовать find, ls -ltrэто очень полезная команда в таких каталогах, как system32.
Кроме того, что касается карантина: как правило, это будет означать, что он переименовывает файл (Avira добавляет расширение .XXX), поэтому он не может быть обнаружен / запущен при перезагрузке системы в Windows. Полное удаление файлов может быть плохой идеей в случае ложных срабатываний.