搜索
查看: 3581|回复: 2
收起左侧

exe文件被感染了,杀毒之后还是无法运行。

[复制链接]
zxxwind
发表于 2006-12-9 11:19:54 | 显示全部楼层 |阅读模式
我装的是诺顿10,还是中了毒exe文件被感染了,装了卡巴杀毒之后exe文件还是无法运行,改称.com也不行,郁闷了!请高手指教!
pourkidman
发表于 2006-12-9 12:36:47 | 显示全部楼层
(转来的方法,试试吧)也不知道你中的什么毒导致的。

1.文件关联的破坏和修复

现在网上病毒N多,其中有一类就是对文件的关联进行破坏,造成系统不能正常使用。
试看一例子:

症状:任何程序无法运行,出现错误提示。.bat.coM类文件无法运行,连注册表文件。REG
也无法导入。

其实上面就是.exe,bat.com.reg四种文件关联被破坏了。我们先来他们是 如何实现的。
一共有三种方法,但实质是一样的。
{注册表修改}

注册表[HKEY_CLASSES_ROOT]是专门负责文件及文件夹关联的,其下有二种类型的子键


    A类:如.BAT,.ico之类的前面有个“."的扩展名,保存已注册文件的信息,他一般默认值 就是用来打开他的软件。如.rar的植就是winrar.而.exe,.bat.com.reg值分别为exefile, comfile,batfile,regfiel.

    b类:以软件名为键值,部分后面还加FIEL四个字母,其实这里储存的就是打开A类扩展名文件的 软件的信息。一般下面有两个项:
    1。DefaultIcon键-------程序图标
    2。shell\open\command---就是软件如何运行,一般的值就是软   件的安装路径,后面加上("%1")
        如WINRAR\shell\open\command的值就是“d:\winrar\WINRAR" "%1"("%1"表示用软件本身打开)
        exefile,batfile,comfile的值都是("%1" %*),regfile的值是regedit.exe "%1",这几个 默认值必须要记住,用来修复用的。

  还有一些子键下面有”CLSID“这个键,它的值是{00024512-0000-0000-C000-000000000046}这样格式的。  这些子键都是系统自带,捆绑的一些软件。注册表把这些软件的键值集中在[HKEY_CLASSES_
ROOT\clsid]   键下,CLSID键下都是{00024512-0000-0000-C000-000000000046}的子键,看的出来,这样的每个键就是 每个系统软件信息存放的地方。只不过中间转了一下而以。

        分析完[HKEY_CLASSES_ROOT]两类键,就很容易更改了。只要把A类中.BAT.EXE.REG.COM的默认值,或B类exefile,batfile,comfile的shell\open\command的值更改,就会用指定的软件打开。如果值改为一些没意义的字母,比如我改为SFDSFDSFDS,系统中没有这个软件,自然无法运行这些程序。如果把值改为一些CMD命令那么危险就增加了,可以制作一些简单的病毒。修复的方法当然是把这些键值改为默认值就可以了。



{用CMD命令制成批处理命令}

两个命令:assoc,fype

assoc可以修复上面介绍的第一类,即.exe.bat.com这类键的值
例子:assoc  .exe=exefile  
这个命令就是修复.EXE的管理,以此类推,任何上面介绍的A类键都可以用这个来修复。
assoc   .bat=batfile
assoc   .rar=.....\winrar.exe(就是打开它的软件的地址)

ftype  命令是修复上面介绍的B类键,
例子: ftype  exefile="%1" %*

看上面,FTYPE命令专门用来该文件关联的,exefile就是指定改的是哪一类型的文件,=后面的值就是用什么软件打开,("%1" %*)就是恢复他的默认值,自身可执行。
常见修复:ftype batfile="%1" %*
                    ftype regfile=regedit.exe %1


{用记事本修改注册表键值,保存为.REG文件,并把它导入就可以了。原理一样,只是语句上要注意}
.bat,.exe,.com的内容一样,看下面

REGEDIT4                              ----必须大写,不然 无法更改
[HKEY_CLASSES_ROOT\comfile\shell\open\command]--.COM文件的打开程序
@="\"%1\" %*"                       ---@表示注册表中的默认值,用("")代替也行,不过两引号之间不能有空格。"\"%1\" %*" 与注册表中的"%1" %*是一样的。

注:1.如果无法成功,一是REGEDIT4没有大写。二可能这三行不要连在一起,中间隔一两个空行。
    2.reg文件被更改,当然无法用这招。呵呵,能导入吗??

HKEY_CLASSES_ROOT根键--文件夹右键菜单关联

HKEY_CLASSES_ROOT\Directory\  和  HKEY_CLASSES_ROOT\Folder ,HKEY_CLASSES_ROOT\*三个地方都具有以下两项,
shell---
shellex\ContextMenuHandlers


1。举例:在右键添加快速重启菜单:必须在任一个SHELL项下新建。
         新建主键“快速重启”,在子键COMMAND的默认值为
         C:\WINDOWS\RUNDLL.EXE USER.EXE,EXITWINDOWSEXEC
2.shshellex 与 shell不同之处在于两点:
1,shell下可以让我们新建。在DIRECTORY\shell下新建的,在驱动器右键中不会出现,在FOLDER\shell下新建却可以在任何文件夹右键中出现。 2, shellex下的值都是象{750fdf0e-2a26-11d1-a3ea-080036587f03}这样的键。
文件关联的修复

1.常见的是EXE文件关联被改,导致任何程序无法运行。
解决方法:1.最简单,平时用记事本编一个修复exe文件关联的.reg文件(方法参考上面),导入注册表就可以了。
2.进入\WINDOWS\把REGEDIT.EXE 改名成REGEDIT.COM或REGEDIT.BAT,然后进入REGEDIT把.EXE关联恢复成默认值
("%1" %*)j即可。
3。把\WINDOWS\SYSTEM32下的CMD.EXE改名为CMD.COM或CMD.BAT,就
能进入CMD窗口用"FTYPE EXEFILE="%1" %*修复。
4.用软件修复,如魔法兔子等。把软件改名。bat.com就可以运行了。


2。.exe,.bat.com关联都被更改,.reg也无法导入。

解决方法:(前提,能进入我的电脑或能进入任何一文件夹)
就是更改“文件打开类型”。
进入“我的电脑”,在窗口上方的“工具栏”菜单中选“文件夹选项”--文件类型窗口 中 ---已注册的文件类型 中找到.reg,更改他的打开方式,找到\windows下的regedit.exe,这样.reg 文件就有办法导入了,导入修复即可。



3.所有文件,文件夹关联都被改,连我的电脑,文件夹都进不去。可以用以下方法----文件关联终极修复
1.进入系统桌面。随便右键点击一文件,在右键菜单中选择“打开方式 “从列 表中选择程序”--确定--在“打开方式”窗口中选浏览,找到\WINDOWS\SYStem32 下选择CMD.exe.(直接不能运行CMD.exe)
2。这样能打开cmd窗口,可以用ftype exefile="%1" %*命令恢复了。
3 。进入注册表,自己恢复.bat.com.reg的关联。或直接用软件修复,如魔法
兔 子,里面有个修复所有文件及文件夹特棒。

注:当然打开方式也可以不选cmd,直接选\windows下的regedit.exe,打开注册表就可以随便修改。


大家一起想想:EXE的默认打开程序是EXEFILE,如果这个被更改了,也会导致.EXE程序不能运行..bat.com.reg文件也不能使用,又该如何修复了?
文件关联修复特例---一进入系统就自动重启或注销。

很多人遇到过这个问题,中了冲击波病毒就有这种结果。但不都是中了这个病毒,以下讲讲如何简单实现这个效果,以及修复的方法。

分析:1。系统一启动就必 须启动exeplorer.exe(负责分配用户界
面,如:桌面,任务栏,开始菜单)。如无法启动它,
会空白一片,看不到这些。
2.主要是在exeplorer.exe上下功夫。
a.把.exe文件关联到shutdown关机命令,系统启动时候
一调用exeplorer.exe,就自动启动shutdown.exe命令。

b.更改注册表。在HKEY_LOCAL_MACHINE\SOFTWARE\Micros
oft\Windows NT\CurrentVersion\Winlogon 下的SHELL值可以
正常应该 是 Explorer.exe,现在把值改为 exeplorer.exe
shutdown.exe .或者干脆把值改为SHUTDOWN.EXE

以上两种方法都能造成重启时,过了用户密码窗口,进入桌面的一刹那,甚至看不到桌面就自动重启或注销。



解决方法:根据上面1。2种实现方法有两种解决方法。
1。进入DOS,(XP没DOS,用DOS启动盘,或系统安装盘大多
都能进入DOS)
2。进入\WINDOWS,把EXEPLORER。EXE改名(随便都行,改成
EXEPLORER。COM比较好),把CMD。EXE 改成CMD。COM
(DOS下命令格式:REN CMD。EXE CMD。COM)
3,重启,进入系统时,因为找不到EXEPLORER。EXE,系统启
动时会挂住,出现 任务管理器(如果没出现,自己按CTRL
+ATL+DEL),添一新任务。要选择CMD.com
4,出现CMD窗口,输入以下命令(FTYPE EXEFILE=“%1” %*),
注意(“%1” %*)中间要空一格。 回车。

5,重启。搞定。

open
rundll32.exe shdocvw.dll,OpenURL %l
shdocvw

print
rundll32.exe C:\WINDOWS\system32\mshtml.dll,PrintHTML "%1"
mshtml

printto
rundll32.exe C:\WINDOWS\system32\mshtml.dll,PrintHTML "%1" "%2" "%3" "%4"
mshtml


祝君好运


gxlz9110772
发表于 2006-12-11 20:36:47 | 显示全部楼层
学习了,复制下来收藏
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-20 13:59 , Processed in 0.048004 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表