Je nach Infektion kann es sich um eine Änderung einer erforderlichen Systemdatei handeln. Ich bin in den letzten 6-7 Monaten mit ein paar Infektionen aufgetreten, bei denen ATAPI.SYS infiziert wurde. Durch das Entfernen der infizierten Datei wird das System nicht mehr bootfähig, und die Software konnte zumindest frühzeitig nicht repariert werden - einfach entfernen / umbenennen.
Die Lösung für diese frühe Infektion bestand darin, die Wiederherstellungskonsole von einer XP-Installations-CD zu booten und die betroffene Datei manuell durch eine saubere Kopie zu ersetzen.
Ich habe auch viel Glück mit der Boot-CD von Kaspersky gehabt, obwohl Sie eine kabelgebundene Netzwerkverbindung benötigen, da Updates heruntergeladen werden müssen, es sei denn, Sie haben ein Kaspersky-Produkt auf dem PC installiert (ich glaube in dieser Situation kann es diese Virensignaturen verwenden). Das Schöne an Kaspersky ist, dass Sie sowohl Terminal- als auch Dateibrowser-Fenster öffnen können (Avira erlaubt dies, jedoch mit einem deutschen Tastaturlayout, das nervig ist). Dies macht es ziemlich einfach, den Inhalt von zu entfernenDocuments and Settings\%USERNAME%\Local Settings\Temporary Internet Files\Content.IE5(oder einfach das Verzeichnis selbst entfernen, es wird neu erstellt), alle ausführbaren Dateien / DLLs / etc. aus temporären Verzeichnissen, und überprüfen Sie, ob kürzlich modifizierte ausführbare Dateien, DLLs und Systemdateien vorhanden sind. Die Befehlszeile enthält den Befehl "find", damit Sie nach kürzlich geänderten Dateien suchen können, aber ich glaube nicht, dass sie "less" oder "more" enthält. Wenn Sie find nicht verwenden möchten, ls -ltrist dies ein sehr nützlicher Befehl in Verzeichnissen wie system32.
Auch in Bezug auf die Quarantäne: Normalerweise bedeutet das, dass die Datei umbenannt wird (Avira fügt die Erweiterung .XXX hinzu), sodass sie nicht gefunden werden kann, wenn das System unter Windows neu gestartet wird. Das vollständige Entfernen von Dateien kann bei Fehlalarmen eine schlechte Idee sein.