W zależności od infekcji może to być modyfikacja wymaganego pliku systemowego. Natknąłem się na to z kilkoma infekcjami w ciągu ostatnich 6-7 miesięcy, w których ATAPI.SYS został zainfekowany. Usunięcie zainfekowanego pliku powoduje, że system nie nadaje się do rozruchu, a przynajmniej na początku oprogramowanie nie było w stanie naprawić - wystarczy usunąć / zmienić nazwę.
Rozwiązaniem, w którym znalazłem się w przypadku tych wczesnych infekcji, było uruchomienie konsoli odzyskiwania z płyty instalacyjnej XP i ręczne zastąpienie uszkodzonego pliku czystą kopią.
Miałem również szczęście z bootowalną płytą CD Kaspersky, chociaż musisz mieć przewodowe połączenie sieciowe, ponieważ musi pobierać aktualizacje, chyba że masz zainstalowany na komputerze produkt Kaspersky (wierzę, że w tej sytuacji może korzystać z tych sygnatur wirusów). Zaletą Kaspersky jest to, że możesz otwierać zarówno okna terminali, jak i okna przeglądarki plików (Avira na to pozwala, ale robi to z denerwującym układem klawiatury w języku niemieckim). To sprawia, że usunięcie zawartości pliku jest dość prosteDocuments and Settings\%USERNAME%\Local Settings\Temporary Internet Files\Content.IE5
(lub po prostu usuń sam katalog, zostanie on ponownie utworzony), wszelkie pliki wykonywalne / DLL / etc. z katalogów tymczasowych i sprawdź ostatnio zmodyfikowane pliki ekwiwalentne, biblioteki DLL i pliki systemowe. Wiersz poleceń zawiera polecenie „znajdź”, aby można było sprawdzić ostatnio zmodyfikowane pliki, ale nie sądzę, aby zawierało ono „mniej” lub „więcej”. Jeśli nie chcesz używać find, ls -ltr
jest to bardzo przydatne polecenie w katalogach takich jak system32.
Również w odniesieniu do kwarantanny: zwykle oznacza to, że zmienia nazwę pliku (Avira dodaje rozszerzenie .XXX), więc nie można go zlokalizować / uruchomić, gdy system zostanie ponownie uruchomiony w systemie Windows. Całkowite usunięcie plików może być złym pomysłem w przypadku fałszywych trafień.