这个原因是由于注册表被修改了,从而导致了所有.exe的文件都打不开,你可以尝试一下方法来解决.
EXE关联错误!
1、打开“我的电脑”,进入菜单“工具”→“文件夹选项”→“文件类型”,这时在现有的文件类型中找不到扩展名为exe的文件类型,没关系,单击“新建”弹出“新建扩展名”对话框,在“文件扩展名”框中填入“exe”,接着单击“高级”,在“关联的文件类型”下拉框中选择“应用程序”,单击“确定”返回,最后单击“应用”后关闭对话框
2、在cmd执行后,执行:
expand/i386/rundll32.ex_%Systemroot%/rundll32.exe
3、可以通过修改注册表来恢复EXE文件。因为EXE文件都无法打开,所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT/exefile/shell/open/command,双击“默认”字符串,将其数值改为“"%1" %*”就可以了。
4、在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联。
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/exefile/shell/open/command]
@="/"%1/" %*"
以上存为.reg文件
双击导入
然后杀毒。
或是把杀毒软件.exe 改成杀毒软件.com运行 进行杀毒 修复注册表。
在cmd里面输入 assoc .exe=exefile就可以改回原来的关联
----------------------------------
尝试解决1:
在c:/windows/system32中找到CMD.EXE,然后重命名为CMD.COM,在开始运行里面输入CMD.COM,就能打开命令提示符,输入assoc .exe=exefile
附“assoc“更详细的说明,借助系统提供的“assoc“命令来恢复。
恢复方法一:
点“开始”菜单,打开“运行”对话框,然后输入“cmd”,这里会打开msdos窗口,在“命令提示符”后输入格式:
assoc .扩展名=扩展名file(记住扩展名前要加“点”的)
比如,要恢复.MP3的文件关联,我们可以输入:c://>assoc .mp3=mp3file就可以了
补充说明:
这种恢复的方法,是恢复到文件的最原始的关联,和我们在文件的打开方式中更改的文件关联是有区别的。比如:EXE文件(Flash文件)与WinAMP建立了关联,这样,以后只要双击EXE文件,不管它是Flash文件也好,不是其它可执行文件都会调用WinAMP的,这样是最麻烦的。可是如果我们在命令提示符下输入:assoc .exe=exefile,这样就恢复了EXE文件的默认关联,以后再运行可执行文件就不会再调用WinAMP程序了。
用这种方法还可以恢复.com命令文件、.zip压缩文件、.rar压缩文件、.html网页文件以及一些视频和音频文件的默认关联,大家可以试试。
开始->运行->输入"command" (在 Windows 2000/XP/2003 中,输入"cmd"),回车
在命令行中,依次执行以下命令:
cd %windir%
copy regedit.exe regedit.com
regedit
注册表编辑器打开后,找到以下分支:
HKEY_CLASSES_ROOT//exefile//shell//open//command
双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT//.exe
双击右侧窗口中的 (默认) 值,设置为 exefile
然后退出注册表编辑器,重启电脑
恢复方法二: 适用于 Windows 2000/XP/2003
开始->运行->输入"cmd",回车
在命令行中,依次执行以下命令:
ftype exefile="%1" %* [包含引号]
assoc .exe=exefile
重启电脑
尝试解决方案2:
这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”
当然,清除的方法也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的
Torjan Program----------C:/WINNT/services.exe删除
3. HKEY_Classes_root/.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root/winfiles
HKEY_Local_machine/software/classes/winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%/Common Files/iexplore.pif”的信息,把这内容改为“C:/Program Files/Internet Explorer/iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT/winfiles]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/services.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
"Torjan Program"="%Windows%/services.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT/MSWinsock.Winsock
HKEY_CLASSES_ROOT/MSWinsock.Winsock.1
HKEY_CLASSES_ROOT/CLSID/
HKEY_CLASSES_ROOT/CLSID/
HKEY_CLASSES_ROOT/Interface/
HKEY_CLASSES_ROOT/Interface/
HKEY_CLASSES_ROOT/TypeLib/
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:/antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%/common files/iexplore.pif
%programfiles%/Internat explorer/iexplore.com
%windir%.com
%windir%/exeroute.exe
%windir%/explorer.com
%windir%/finder.com
%windir%/mswinsck.ocx
%windir%/services.exe
%windir%/system32/command.pif
%windir%/system32/dxdiag.com
%windir%/system32/finder.com
%windir%/system32/msconfig.com
%windir%/system32/regedit.com
%windir%/system32/rundll32.com
删除以下文件夹:
%windir%/debug
%windir%/system32/NtmsData
扫一扫
654
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
