43) Дублирование.
\PROGRAMDATA\BROWSERS\BROWSER
\TIMETASKS\TIMETASK
\METABAR\METABAR

42) Подделка\замена значка файла.
У исполняемого файла может быть значок от документа: Microsoft Word ; Книги  ( якобы в формате ) PDF и т.д.

40) Присваивание каталогам имён реестра.
HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

C:\HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

т.е. если просматривать лог то можно принять запись относящеюся к каталогу к записи реестра.
* Актуально для таких программ как FRST
как всегда расчёт на невнимательность + нестандартность решения.

41) Подделка имени или путей известных папок.

Она раз и:
\APPDATA\ROAMING\TEMPO\
\APPDATA\LOCAL\UPDATE\TEMP\

42) Присвоение папке расширения. ( якобы )
\APPLICATION DATA\BROWSERS\EXE.
\APPDATA\ROAMING\MICROSOFT\.REG
\APPDATA\ROAMING\MICROSOFT HELP\.RU

38) Adware\рекламные программы.
\PROGRAM FILES (X86)\MYBROWSER
\PROGRAM FILES (X86)\SHOPPERPRO
\СКИДКОЦЕНТР
\AMIGO.EXE
\SAFEBROWSER.EXE

Конечно не так часто им присваиваю такие звучные имена.

39) Вирус - Изменение расширения.
SVCHOST.VBS
EXPLORER.VBS
ctfmon.COM
userinit.COM
и т.д.
т.е. сохраняется имя файла, файл остаётся исполняемым, сохраняется родной\привычный путь до файла.

37) Подделка\имитация\обманка.
Исполняемым файлам присваиваются привычные имена... имена известных папок\каталогов.
Windows.exe
Media.exe
Installer.exe
security.exe
Tasks.exe
Windows Defender.exe
Windows Media Player.exe

RECYCLED.EXE
RECYCLER.exe

30 ) Закос под системные.
У системных файлов как известно есть своё легальное место.

C:\Windows\explorer.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\wusa.exe
C:\Windows\SysWOW64\userinit.exe

Файл с идентичным\одинаковым наименованием не может находиться в одном каталоге.
Значит придумывают другое место.
C:\WINDOWS\AC9642BE\SVCHSOT.EXE
C:\ProgramData\Application Data\Mozi\SVCHSOT.EXE

В диспетчере задач пользователь не видит путь ( если не смотреть доп. информацию ) - видит только имя файла.
Поэтому логично со стороны злокодеров подсунуть ему, что-то знакомое\привычное\родное\ручное :)
Что может быть привычнее svchost.exe ?
Кроме того svchost.exe может быть и 10 и 20 что затрудняет обнаружение.


31) Просматривая Инфо. файла также нужно обращать внимание на Поле производитель ( не путать с ЭЦП ):
TGBVOILFEGNNO
SSSSTYLE
Monetizer $
Global-Update
HC@ © 2020

Рандомное наименование ; Левое наименование ; явно рекламной направленности ; левый производитель ; не указан.


32) Спец символы в пути
C:\USERS\►►►►\APPDATA\ROAMING\EQTV3AROPWXS17X8VQ.EXE
C:\USERS\►►►►\APPDATA\ROAMING\JVAPZCHZVRFVHF1SVKP.EXE

33) Не идентичные системным имена, а только похожие. По легальному пути.
C:\Windows\SysWOW64\wussa.exe (s)
C:\Windows\SysWOW64\userlnit.exe (l)
C:\Windows\System32\ctfmon .exe ( )

34) Подмена системного файла на левый\вирус
Особое внимание на системные файлы если у Системный.exe в графе производитель будет указан Global-Update это явно подозрительно ;)
Отсутствие ЭЦП ( или самоподписанный\поддельный сертификат )
Удаляются\подменяются не все файлы подряд, а те  которые постоянно активны.
EXPLORER.EXE
SERVICES.EXE
и т.д.

35) Изменение параметров запуска системного файла.
файл со стартом системы по умолчанию не запускается...
Но, он нужен плохим дяденькам  чтобы  с его помощью запускать свой файл
Примеры:
Запуск через задачу\Task
Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
Через реестр:
HKCU\. .\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG
т.е. легальный файл используется в деструктивных целях.

Поэтому удалется не сам файл, а левые записи\настройки\параметры к нему относящиеся.


36) Имитация Файла Антивируса.
Антивирус удаляется, а вместо него в процессах висят вирусные процессы.

29) Короткие имена. В расчёте на плохое зрение\невнимательность\усталость\неопытность оператора проводящего лечение.
В расчёте на недоработки антивирусов\сканеров.
..exe
_.exe
Имена с пробелами:
.                                                                                                                                                                                                                                       ..exe
_                                                                                                                                                                                                                                      .exe

Имена содержащие сцец. символы: https://ru.wikipedia.org/wiki/Alt-%D0%BA%D0%BE%D0%B4

► .exe
◄ .exe
☻ .exe
◙ .exe

Или имя в одну букву.
l.exe
A.EXE
S.RAR

По поводу Подписанных\Не подписанных файлов Windows

SHA-2
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

[QUOTE]Александр Sherr написал:
нормально будет создать несколько загрузочных флешек?[/QUOTE]
Главное это успешная реанимация пациента.
Так, что на ваше усмотрение.

23) Битые файлы.
т.е. вес файла 0 БАЙТ
Если таких файлов много это может привести к торможению системы.

24) Малый вес файла например всего: 45 - 400 килобайт. Какая у такого файла может быть полезная нагрузка ?

25) Повреждённые системные файлы - возможно файл повреждён, или его заменили на вирус, или модифицировали\изменили

26) Избыточно длинное имя файла\каталога. ( и\или рандомное имя )

27) AUTORUN -  AUTORUN.INF  и связанные с ним файлы. ( могут быть и легальные программы )

28) Легальные шпионы\программы\службы. К этим требуется особый подход.