我的 Windows XP SP3 系统受到了 Sality 蠕虫的感染。出现了常见的症状,即任务管理器和注册表编辑器被禁用,并且我无法在安全模式下启动系统。然后我发现 Sality 蠕虫从注册表配置单元中删除了 SAFEBOOT 键。
所以我从http://support.kaspersky.com/faq/?qid=208279889并成功将 reg 文件更新到我的系统中。但是当我F8在启动过程中点击并选择安全模式选项时,它仍然会在加载 mup.sys 文件后重新启动。
我不知道还能做些什么才能进入安全模式。病毒仍处于休眠阶段。我可以验证这一点,因为在我以正常模式重新启动后,任务管理器和注册表编辑器未被禁用,我可以浏览任何网站,它没有终止浏览器进程。我还从上面的同一链接运行了 salitykiller,它修复了所有受感染的 exe 文件。
这与另一个相关问题我在这里问过这个问题,但我不知道如何用一个共同的解决方案来解决这两个问题。
大家有什么帮助吗?
答案1
我对这种病毒没有特别的经验,但是这些说明Lifehacker 的这些工具可以帮助你清除病毒,即使你根本无法启动你的电脑。幸运的是,我不需要使用它们,但是生活黑客的指示通常都非常好。
基本上,你制作一个 Linux USB 拇指驱动器,将 AV 应用程序放在磁盘上(它们有一个好名单,但我没有使用该列表中的任何程序,因此我无法推荐任何程序),然后从驱动器/CD 启动计算机。然后,从没有病毒的 Linux 操作系统的安全环境中运行病毒扫描程序。这应该会清除 Windows 驱动器中的病毒,以便您可以再次启动。我不知道他们的任何应用程序是否会修复安全模式,但当您不必担心病毒时,这应该会容易得多。如果这不能修复安全模式,gbarry 的回答可能是最好的起点,因为我对此无能为力。
答案2
然后我发现 sality 蠕虫从注册表配置单元中删除了 SAFEBOOT 键。
我发现一篇文章也说添加安全启动的密钥。我将引用此内容,因为这样即使 URL 发生变化,也可以通过搜索找到它。
该病毒还会向系统注册表写入额外记录,从而终止 TaskManager 和 UAC,并将驱动程序添加到注册表分支“System\CurrentControlSet\Control\SafeBoot”。这允许驱动程序在安全模式下启动。