На днях ко мне обратились знакомые с просьбой о помощи в лечение компьютера от вирусов. Все операции нужно было проделать удаленно через интернет, в связи с чем использование загрузочных флешек отпадала. Проанализировав систему обнаружил файл с вирусом, расположенный в каталоге C:\Windows\AppPatch .
Удивительно что установленный на машине Касперский Антивирус 2012 с последними базами его не находил. После ряда попыток вручную удалить вирус с диска и из автозагрузки в реестре стало понятно что вирус просто так не сдастся и тогда мне пришла в голову отличная идея. Я установил на уровне файловой системы NTFS запрет на чтение и запуск этого файла для группы Все. В результате после перезагрузки компьютера вирус не смог загрузиться в результате того что на этот файл стояли запрещающие права. Я снял запрет с этого файла и спокойно удалил его и диска и ссылку на него в реестре.
PS: Этот метод я кстати перенял у какого то хитрого вируса который попав ко мне на флешку не хотел удалятся ни каким антивирусом в виду того что для его удаления нужны были NTFS права. К сожалению современные антивирусы не умеют правильно анализировать права на файловую систему и менять их по необходимости.