兄弟，碰到系统被入侵、密码被篡改的情况确实糟心，我来帮你一步步搞定权限恢复和后续的安全加固问题：

一、重新获取管理员权限（解决密码失效问题） #

你之前尝试恢复模式的root shell没成功，大概率是操作细节没做到位，我再给你捋一遍精准步骤：

• 重启电脑，在开机过程中一直按住Shift键（如果是UEFI固件的电脑，可能需要按Esc键），直到出现GRUB启动菜单。
• 选中Advanced options for Ubuntu（Ubuntu高级选项），回车进入后选择带recovery mode的内核版本（选最新的那个就行）。
• 在恢复模式菜单里，找到并选中root - Drop to root shell prompt，回车进入root命令行。
• 这时候系统默认是只读挂载的，先执行命令把根目录改成可读写：

  mount -o remount,rw /
  

• 接下来修改你的用户密码，把your_username换成你自己的用户名：

  passwd your_username
  

  输入新密码的时候屏幕不会显示任何字符，正常输入两次就行，出现passwd: password updated successfully就说明改好了。
• 改完密码后，执行exit回到恢复菜单，选中resume - Resume normal boot重启电脑，就能用新密码登录了。

如果还是失败，你可以检查下是不是GRUB菜单没触发成功——有些品牌机可能需要在BIOS里先关闭快速启动，再重复上面的步骤。

二、修复安全更新问题+彻底清理恶意程序 #

密码恢复后，先处理安全更新和木马残留：

• 登录系统后打开终端，先更新软件源并安装所有安全更新：

  sudo apt update
  sudo apt full-upgrade
  

  如果遇到依赖错误，先执行sudo apt --fix-broken install修复依赖，再重新执行升级命令。
• 关于你用ClamAV（应该是你打错成clamshell啦）查到的木马，隔离后建议做一次深度扫描彻底清理：

  # 先创建隔离目录
  sudo mkdir /tmp/clam_quarantine
  # 全面扫描系统，把感染文件移动到隔离目录
  sudo clamscan -r --move=/tmp/clam_quarantine /
  # 如果你确认感染文件没用，也可以直接删除：sudo clamscan -r --remove /
  

• 检查可疑自启动项：
  • 用命令查看系统服务里的启用项，找陌生的服务：

    systemctl list-unit-files --type=service | grep enabled
    

    如果发现可疑服务，用sudo systemctl disable --now 服务名禁用并停止它。
  • 打开GNOME的「启动应用程序」，删除里面陌生的自启动条目。
• 检查系统用户列表，看看有没有新增的可疑用户：

  cat /etc/passwd
  

  如果发现陌生用户名，用sudo userdel -r 可疑用户名彻底删除该用户及其家目录。

重要提醒 #

这次系统被入侵后，即使清理了木马、改了密码，也可能存在隐藏的后门或残留恶意代码。最稳妥的做法是备份好重要数据后重装系统，重装时建议全盘格式化，避免恶意程序残留。如果暂时没法重装，一定要定期扫描系统，关闭不必要的服务（比如SSH如果不用就关掉），不要随便下载未知来源的软件。

备注：内容来源于stack exchange，提问作者R Davey