40) Присваивание каталогам имён реестра.
HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

C:\HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

т.е. если просматривать лог то можно принять запись относящеюся к каталогу к записи реестра.
* Актуально для таких программ как FRST
как всегда расчёт на невнимательность + нестандартность решения.

41) Подделка имени или путей известных папок.

Она раз и:
\APPDATA\ROAMING\TEMPO\
\APPDATA\LOCAL\UPDATE\TEMP\

42) Присвоение папке расширения. ( якобы )
\APPLICATION DATA\BROWSERS\EXE.
\APPDATA\ROAMING\MICROSOFT\.REG
\APPDATA\ROAMING\MICROSOFT HELP\.RU

38) Adware\рекламные программы.
\PROGRAM FILES (X86)\MYBROWSER
\PROGRAM FILES (X86)\SHOPPERPRO
\СКИДКОЦЕНТР
\AMIGO.EXE
\SAFEBROWSER.EXE

Конечно не так часто им присваиваю такие звучные имена.

39) Вирус - Изменение расширения.
SVCHOST.VBS
EXPLORER.VBS
ctfmon.COM
userinit.COM
и т.д.
т.е. сохраняется имя файла, файл остаётся исполняемым, сохраняется родной\привычный путь до файла.

37) Подделка\имитация\обманка.
Исполняемым файлам присваиваются привычные имена... имена известных папок\каталогов.
Windows.exe
Media.exe
Installer.exe
security.exe
Tasks.exe
Windows Defender.exe
Windows Media Player.exe

RECYCLED.EXE
RECYCLER.exe

30 ) Закос под системные.
У системных файлов как известно есть своё легальное место.

C:\Windows\explorer.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SysWOW64\wusa.exe
C:\Windows\SysWOW64\userinit.exe

Файл с идентичным\одинаковым наименованием не может находиться в одном каталоге.
Значит придумывают другое место.
C:\WINDOWS\AC9642BE\SVCHSOT.EXE
C:\ProgramData\Application Data\Mozi\SVCHSOT.EXE

В диспетчере задач пользователь не видит путь ( если не смотреть доп. информацию ) - видит только имя файла.
Поэтому логично со стороны злокодеров подсунуть ему, что-то знакомое\привычное\родное\ручное :)
Что может быть привычнее svchost.exe ?
Кроме того svchost.exe может быть и 10 и 20 что затрудняет обнаружение.


31) Просматривая Инфо. файла также нужно обращать внимание на Поле производитель ( не путать с ЭЦП ):
TGBVOILFEGNNO
SSSSTYLE
Monetizer $
Global-Update
HC@ © 2020

Рандомное наименование ; Левое наименование ; явно рекламной направленности ; левый производитель ; не указан.


32) Спец символы в пути
C:\USERS\►►►►\APPDATA\ROAMING\EQTV3AROPWXS17X8VQ.EXE
C:\USERS\►►►►\APPDATA\ROAMING\JVAPZCHZVRFVHF1SVKP.EXE

33) Не идентичные системным имена, а только похожие. По легальному пути.
C:\Windows\SysWOW64\wussa.exe (s)
C:\Windows\SysWOW64\userlnit.exe (l)
C:\Windows\System32\ctfmon .exe ( )

34) Подмена системного файла на левый\вирус
Особое внимание на системные файлы если у Системный.exe в графе производитель будет указан Global-Update это явно подозрительно ;)
Отсутствие ЭЦП ( или самоподписанный\поддельный сертификат )
Удаляются\подменяются не все файлы подряд, а те  которые постоянно активны.
EXPLORER.EXE
SERVICES.EXE
и т.д.

35) Изменение параметров запуска системного файла.
файл со стартом системы по умолчанию не запускается...
Но, он нужен плохим дяденькам  чтобы  с его помощью запускать свой файл
Примеры:
Запуск через задачу\Task
Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll"
Через реестр:
HKCU\. .\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG
т.е. легальный файл используется в деструктивных целях.

Поэтому удалется не сам файл, а левые записи\настройки\параметры к нему относящиеся.


36) Имитация Файла Антивируса.
Антивирус удаляется, а вместо него в процессах висят вирусные процессы.

29) Короткие имена. В расчёте на плохое зрение\невнимательность\усталость\неопытность оператора проводящего лечение.
В расчёте на недоработки антивирусов\сканеров.
..exe
_.exe
Имена с пробелами:
.                                                                                                                                                                                                                                       ..exe
_                                                                                                                                                                                                                                      .exe

Имена содержащие сцец. символы: https://ru.wikipedia.org/wiki/Alt-%D0%BA%D0%BE%D0%B4

► .exe
◄ .exe
☻ .exe
◙ .exe

Или имя в одну букву.
l.exe
A.EXE
S.RAR

По поводу Подписанных\Не подписанных файлов Windows

SHA-2
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

[QUOTE]Александр Sherr написал:
нормально будет создать несколько загрузочных флешек?[/QUOTE]
Главное это успешная реанимация пациента.
Так, что на ваше усмотрение.

23) Битые файлы.
т.е. вес файла 0 БАЙТ
Если таких файлов много это может привести к торможению системы.

24) Малый вес файла например всего: 45 - 400 килобайт. Какая у такого файла может быть полезная нагрузка ?

25) Повреждённые системные файлы - возможно файл повреждён, или его заменили на вирус, или модифицировали\изменили

26) Избыточно длинное имя файла\каталога. ( и\или рандомное имя )

27) AUTORUN -  AUTORUN.INF  и связанные с ним файлы. ( могут быть и легальные программы )

28) Легальные шпионы\программы\службы. К этим требуется особый подход.

22) Пример венерического заболевания. ( как известно венерические заболевания придумали итальянские врачи :) и стали хорошо на этом зарабатывать. ;)

Полное имя                  C:\USERS\NO0N3PRO\APPDATA\ROAMING\IDENTITIES\CODEXI\STEAM
Имя файла                   STEAM
Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2019-08-20

ESET-NOD32                  a variant of Win32/CoinMiner.BF potentially unwanted
Kaspersky                   not-a-virus:RiskTool.Win32.BitCoinMiner.ykd

                           
Удовлетворяет критериям   ****
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     54900BD6152000
Linker                      2.22
Размер                      1437836 байт
Создан                      23.12.2014 в 19:13:21
Изменен                     23.12.2014 в 19:13:21
                           
TimeStamp                   16.12.2014 в 10:39:18
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
CmdLine                     OVERBTC123.
SHA1                        4047DADA8D8734A2C49548A6FD3A59DEFD305DBA
MD5                         F9E9386140565D3D9FA41B04563F57C9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91
                           
Что должно насторожить ?
а) Имя файла - у файла нет видимого расширения.
это просто: STEAM
не STEAM.exe
б) Рандомное\произвольное наименование каталога: \NO0N3PRO\
в) Объект  в автозапуске т.е. не просто валяется на диске.
г) Проверка на V.T. показывает, что это майнер. ( или, что вернее переделка легального файла для майнинга )
д) Обращает на себя внимание время создания ( хотя файл реально старый )
ж)Работа с командной строкой и обращение к другому неизвестному\подозрительному файлу без расширения к OVERBTC123.
з)Запуск через задачу в планировщике заданий: TASKS
и)Подозрительный путь: \APPDATA\ROAMING\

Полное имя                  OVERBTC123.
Имя файла                   OVERBTC123.
Тек. статус                  ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    ***
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
CmdLine                     OVERBTC123.
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\STEAM_X64-S-2-106-91

21) Атрибуты.
R - Атрибут "Только чтение".
A - Атрибут "Архивный".
S - Атрибут "Системный".
H - Атрибут "Скрытый".

Следует помнить, что и легальные\известные файлы могут иметь такие атрибуты.
Ведь системный файл должен быть защищён от случайного\преднамеренного повреждения\изменения\заражения\подмены.