Não é possível inicializar no modo de segurança mesmo após a correção do registro

0

Eu tenho um sistema Windows XP SP3 que é afetado pelo worm Sality. Os sintomas usuais de taskmanager e regedit sendo desativados estavam lá, e eu vi que não consegui inicializar meu sistema no modo de segurança. Então descobri que o worm Sality remove as chaves SAFEBOOT da seção do registro.

Então baixei um arquivo reg do link e consegui atualizar o arquivo reg para o meu sistema . Mas ainda quando eu bati F8 durante a inicialização e selecione a opção de modo de segurança, ele ainda reinicia após o carregamento do arquivo mup.sys.

Eu não sei mais o que fazer para chegar ao modo de segurança. O vírus ainda está lá em seu estágio inativo. Eu posso verificar isso porque taskmanager e regedit não são desativados depois que eu reiniciei no modo normal e eu poderia navegar em qualquer site e não matar o processo do navegador. Eu também corri o salitykiller do mesmo link acima e ele curou todos os arquivos exe infectados.

Isso está relacionado a outra pergunta que eu tenho perguntei aqui, mas não vejo como uma solução comum pode resolver esses dois problemas.

Alguma ajuda pessoal?

    
por Anirudh Goel 26.06.2010 / 12:53

2 respostas

1

Eu não tenho nenhuma experiência particular com este vírus, mas estas instruções do Lifehacker podem ajudá-lo a limpar um vírus, mesmo que você não consiga inicializar o computador. Felizmente, não precisei usá-los, mas as instruções do Lifehacker geralmente são muito boas.

Basicamente, você cria um pen drive USB no Linux, coloca um aplicativo AV no disco (eles têm um boa lista , mas eu não uso nenhum nessa lista, por isso não posso recomendar um), e inicializo o computador a partir da unidade / CD. Em seguida, você executa o antivírus a partir da segurança do sistema operacional Linux, que não possui o vírus. Isso deve limpar o vírus da unidade do Windows, para que você possa inicializar novamente. Não sei se algum dos aplicativos deles consertará o modo de segurança, mas isso deve ser muito mais fácil quando você não precisa se preocupar com um vírus. Se isso não reparar o modo de segurança, A resposta de gbarry é provavelmente o melhor lugar para começar, já que não posso ajudar com isso.

    
por 04.10.2010 / 06:36
0

Then i found that the sality worm removes the SAFEBOOT keys from registry hive.

Há um artigo que eu achei que diz que ele também adiciona chaves para que ele seja salvo. Vou citar isso porque, então, ele pode ser encontrado com uma pesquisa, mesmo que o URL mude.

The virus also writes extra records to the system registry which would terminate TaskManager and UAC, and adds the driver to the registry branch “System\CurrentControlSet\Control\SafeBoot”. This allows the driver to boot in safe mode.

    
por 27.08.2010 / 20:27