Dependendo da infecção, pode ser uma modificação em um arquivo de sistema necessário. Eu corri para isso com algumas infecções nos últimos 6-7 meses, onde o ATAPI.SYS estava infectado. Remover o arquivo infectado torna o sistema não inicializável e, pelo menos no início, o software não conseguiu reparar - basta remover / renomear.
A solução que acabei com essa infecção inicial foi inicializar o console de recuperação a partir de um CD de instalação do XP e substituir manualmente o arquivo afetado por uma cópia limpa.
Também tive boa sorte com o CD de inicialização do Kaspersky, embora seja necessário ter uma conexão de rede com fio, pois ele deve baixar atualizações, a menos que você tenha um produto Kaspersky instalado no computador (acredito que pode usar esses vírus assinaturas). A coisa boa sobre o Kaspersky é que você pode abrir as janelas do terminal e do navegador de arquivos (a Avira permite isso, mas faz isso com um layout de teclado alemão que é irritante). Isto torna bastante simples remover o conteúdo do Documents and Settings\%USERNAME%\Local Settings\Temporary Internet Files\Content.IE5
(ou simplesmente remover o próprio diretório, ele será recriado), qualquer executável / DLL / etc. de diretórios temporários e verifique se há exe-recuperáveis recentemente modificados, DLLs e arquivos de sistema. A linha de comando inclui o comando "find" para que você possa verificar se há arquivos modificados recentemente, mas não acredito que inclua "menos" ou "mais". Se você não quiser usar find, ls -ltr
é um comando muito útil em diretórios como o system32.
Além disso, em relação à quarentena: normalmente, isso significa que ele renomeia o arquivo (a Avira adiciona uma extensão .XXX), portanto, não pode ser localizado / iniciado quando o sistema é reinicializado para o Windows. A remoção completa de arquivos pode ser uma má ideia no caso de falsos positivos.