记一次exe打开方式被篡改的修复经…

最新推荐文章于 2024-04-03 14:21:55 发布
原创 最新推荐文章于 2024-04-03 14:21:55 发布 · 3.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

使用Restorator修改DLL文本资源时遇到系统EXE关联被篡改的问题,通过一系列操作最终解决了该问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

因为要修改DLL里的文本资源,ResHacker对中文特殊符号支持不好,所以祭出了多年前搞汉化时的另一款利器Restorator,然后悲剧开始了。。。

打开Restorator后,整个系统就崩溃了,所有exe均无法打开。第一个想法就是电脑中毒了,对于裸奔多年的博主这是灾难性的,痛定思痛。首先想到的是exe打开方式的注册表被改写了,于是想办法执行注册表编辑器,进到windows目录,修改regedit.exe为com后缀,依然执行失败,看来com也被改了。于是想到写一个reg,直接导入,结果发现因为不是管理员权限。reg导入修复法不成,资源管理器\文件下的管理员命令行与Powershell都打不开,无解的情况下,只能求助于bat。于是新建批处理,在批处理中执行命令assoc .exe=exefile,右键管理员方式执行,执行成功,至少第一步成功了。此时,执行exe依然失败,bat里修改命令为regedit /s exefix.reg,继续管理员方式执行,没有错误提示,赶紧执行exe,OK可以了。博主瞬间泪崩,这个感动。。。赶紧将bat里的命令改为regedit,再次管理员方式执行,找到[HKEY_CLASSES_ROOT\.com],看到默认值的确被篡改为Bomerst.com。以关键词Bomerst在注册表里查找,几乎所有可执行文件基本全部被篡改,google后发现这是Restorator的一个bug,没办法逐个手动修复,体力活就不再赘述了。5分钟后,手动修复完成,总算避免了一次重装系统的惨剧。。。特写此博文,献给与博主一样悲剧的朋友,避免更多重装系统的悲剧发生。。。

最后贴一下修复exe执行关联的注册表:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
linux 系统命令被后门修改_一次Linux系统被攻击的分析过程
weixin_39519619的博客
11-06 917
作者:南非蚂蚁 来源:https://urlify.cn/M7NjIvIT行业发展到现在,安全问题已经变得至关重要,从之前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路...
exe文件关联修复器,可以打开EXE文件进行修改
07-15
exe文件关联修复器,可以打开EXE文件进行修改
exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法
积累点滴,保持自我
01-22 1万+
对于exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法。 方案一:     先将regedit.exe改名为regedit.com或regedit.scr。 运行regedit.com,找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command键值,将默认值改为"%1" %* 数值如下图所示:     重启,再将regedit
程序文件关联的修复
weixin_30376083的博客
01-04 267
文件关联损坏常常是计算机病毒造成的,目前网络上有很多相关修复工具,相对来说,System Repair Engineer 支持的修复格式是比较齐全的,这个工具可以在http://www.kztechs.com/sreng/download.html免费下载到。如果你需要修复的是EXE文件关联,需要将System Repair Engineer的可执行文件改名为S...
关于exe文件恢复默认打开方式
weixin_33713707的博客
09-08 1028
开始-运行- 输入cmd-- 回车,在命令提示符下输入下面命令 for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1 转载于:https://blog.51cto.com/jiangjieshi/660846...
.exe文件默认打开方式被修改后,所有exe文件全部无效的解决方法
热门推荐
Rat1onal的博客
07-01 2万+
(注:系统版本为Win10 2004版本,其他版本也可以尝试一下) 录一下今天所遇到的一个问题 今天下午不小心修改了.exe程序的默认打开方式,于是出现了如下所示的结果。点所有的exe程序都没有用(包括CMD、Powershell、注册表编辑器等所有程序) 幸好资源管理器可以正常运转 问题分析 研究了一两个小时,发现是注册表被改了,只需要把注册表更改过来即可。 可是问题是注册表编辑器是.exe格式的文件,根本无法打开它进行修改 所以只能用下面的解决方法 解决方法 在桌面上新建两个文本文档,随便命名。
excel文件损坏修复
03-20
Excel文件损坏时,可能会导致数据丢失或无法正常打开,这对于依赖Excel进行数据分析和录的用户来说,无疑是一个头疼的问题。本工具专为解决这类问题设计,它可以尝试修复部分损坏的Excel文件,帮助用户恢复重要的...
【专家级修复xpr打开问题】:系统配置与优化技巧大公开
本文全面探讨了xpr文件打开问题,并提供了系统配置、结构分析、解码过程及修复策略。首先概述了xpr文件打开问题及其关联与系统配置的重要性。接着深入分析了xpr文件格式,包括其结构、解码原理,以及针对损坏文件的...
【高级卸载技巧】:管理Agt3Tool.exe的正确方式
本文对Agt3Tool.exe程序的概述、卸载需求及原理进行了详细分析。通过程序架构和数据交互的探讨,深入理解了卸载过程中的技术挑战及实践难点。文章进一步介绍了手动卸载的具体步骤和系统检查方法,并对比了自动化卸载...
【CHM文件常见问题及解决方案】:一次解决所有疑难杂症
[【CHM文件常见问题及解决方案】:一次解决所有疑难杂症](https://bytefuse.io/wp-content/uploads/2022/12/file-type-narrow-chm.png) # 摘要 本文旨在深入解析CHM文件的各个方面,包括基础认知、生成与编辑、常见...
EXE被恶意篡改
Darren的专栏
07-15 2828
EXE被恶意篡改 对于exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法。方案一:先将regedit.exe改名为regedit.com或regedit.scr。运
WIndows10 .exe文件默认打开方式被修改后,所有exe文件全部无效的解决方法
Como0413的博客
08-23 2869
随后把txt后缀改为.reg,然后双击运行第一个、再运行第二个即可恢复正常(此时可以发现exe文件可以被正常打开了!编辑完成后点事本的“另存为”,然后在底下会有编码选择。在桌面上新建两个文本文档,随便命名。
win10 系统应用打开方式,全部被修改为浏览器打开
qq_51359581的博客
04-05 2456
背景: 一不小心自己点错了,所有应用程序,所有的 .exe 文件都只能用浏览器打开 首先:在桌面创建一个文本文件,然后在文件中输入下面一段代码: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.exe] @="exefile" "Content Type"="application/x-msdownload" ;http://www.winwin10.com [HKEY_CLASSES_ROOT\.exe\PersistentHandler]
双击*.exe文件出现打开方式菜单解决方法
clbchenlb的专栏
11-24 1944
收集于网络这个问题一般是由于病毒引起的文件关联被修改。 可修改注册表解决:先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”, 然后运行它,依次找到HKEY_CLASSES_ROOT\exefile\shell\open\command, 双击“默认”字符串,将其数值改为“"%1" %*”就可以了。 另外也可以在DOS(有改名为cmd)下运行“ftype...
关于win7系统中所有exe文件都被以word方式打开的解决方法
weixin_30321709的博客
10-28 1244
手残一刻,电脑桌面所有的软件快捷方式都变成了word的打开方式,鼠标右键选中某exe文件也没打开方式那个选项, 第一次尝试:   在控制面板——默认程序中修改默认打开方式,但是没有找到解决方法 第二次尝试:   万能的重启,你会发现,并没有卵用的…… 第三次尝试:   使用ctrl+alt+delete调出任务管理器,不要妄图使用在任务栏——右键——打开任务管理器,也同样只会是...
WIN7的系统,不小心改变了软件的打开方式,桌面上所有图标都变成了windows播放器
zheng_lan_fang的博客
08-10 7085
这是因为你把应用程序(Exe 后缀)的打开方式关联错误了,所以导致程序无法正常运行。 请先右键新建一个文本文档,然后把以下内容写进这个新建的文本文件里面,并另存为reg后缀名的文件,之后双击Reg文件并确认导入注册表,然后重启电脑。 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.exe] @="exefile" [HKEY_C
windows .exe 文件默认打开方式变成事本的解决方法
STR少寒的博客
06-15 6978
windows .exe 文件默认打开方式变成事本的解决方法
win系统的所有应用程序打开都没有默认打开方式的解决办法
不会处理故障的运维不是好程序员,WX:li669216072 只帮忙协助博客所遇到的类似问题
04-03 2122
有个研发同事安装软件有问题,然后去按照网上修改了注册表,然后所有exe文件都失去了打开方式,无法打开。尝试打开浏览器搜索,浏览也是exe文件来的,所以也打不开,然后想着注册表打开恢复下,注册表也打不开。百度了一会,有些说用360的工具去恢复默认方式,问题是exe都没法打开,所以更别提其他的了。
多种系统exe打开方式还原的详细方法
outblack的专栏
08-08 6541
摘要:有时我们的操作错误会导致exe文件关联错误,使所有的应用程序文件都以不正确的方式打开,例如Win7的Windows Media Center,事本,浏览器等等,从而无法使用应用程序。那么,怎样进行exe打开方式还原,解决应用程序打不开的问题呢? 关键词:应用程序打不
SYSTEM_SERVICE_EXCEPTION nt!KeAbPreAcquire+df MODULE_NAME nt IMAGE_NAME ntkrnlmp.exe 错误分析及解决方法
最新发布
07-15
<think>我们正在处理一个Windows系统错误:SYSTEM_SERVICE_EXCEPTION,其具体信息为nt!KeAbPreAcquire+df,模块名称为nt,映像名称为ntkrnlmp.exe。这是一个严重的系统错误,通常与内核模式驱动程序或系统服务中的问题有关。下面我们将逐步分析该错误并提供解决方案。 ### 错误分析 1. **错误类型**:`SYSTEM_SERVICE_EXCEPTION`表示在系统服务(内核模式)中发生了未处理的异常[^1]。 2. **具体位置**:`nt!KeAbPreAcquire+df`指向Windows内核(ntoskrnl.exe或其多处理器版本ntkrnlmp.exe)中的一个函数。`KeAbPreAcquire`是内核中与互斥体(Mutex)获取相关的函数,`+df`表示从该函数入口点偏移的地址。 3. **可能原因**: - 驱动程序不兼容或损坏(特别是最近更新或安装的驱动程序)。 - 硬件问题,如内存(RAM)损坏、硬盘故障或处理器问题。 - 系统文件损坏。 - 恶意软件感染。 ### 解决方案 由于该错误涉及内核模式,需要谨慎处理。以下是逐步的解决方案: #### 1. **重启计算机** 有时临时性错误可以通过重启解决。 #### 2. **检查内存(RAM)** 内存损坏是常见原因。使用Windows内置的内存诊断工具: - 按`Win+R`,输入`mdsched.exe`,然后按回车。 - 选择“立即重新启动并检查问题”。 - 重启后,工具会自动运行。如果检测到错误,需更内存条。 #### 3. **更新Windows** 确保系统是最新的,以修复已知漏洞: - 前往“设置”>“更新和安全”>“Windows更新”,点击“检查更新”。 #### 4. **更新驱动程序** 重点更新显卡、声卡、网卡等关键驱动程序: - 使用设备管理器(右键点击开始菜单,选择“设备管理器”),右键点击设备,选择“更新驱动程序”。 - 或从硬件制造商官网下载最新驱动。 #### 5. **运行系统文件检查器(SFC)** 扫描并修复系统文件: - 以管理员身份打开命令提示符(在开始菜单搜索“cmd”,右键选择“以管理员身份运行”)。 - 输入命令:`sfc /scannow`。 - 等待扫描完成,重启系统。 #### 6. **检查磁盘错误** - 打开命令提示符(管理员),输入:`chkdsk /f /r`。 - 系统会提示在下次重启时运行,输入`Y`确认。 - 重启计算机,检查过程可能需要较长时间。 #### 7. **分析Dump文件** 如果以上步骤无效,需分析错误产生的内存转储文件(Dump File): - 使用WinDbg(Windows调试工具): 1. 下载并安装[Windows SDK](https://developer.microsoft.com/en-us/windows/downloads/windows-sdk/),选择“Debugging Tools for Windows”。 2. 打开WinDbg,点击“File”>“Open Crash Dump”,选择位于`C:\Windows\Minidump`目录下的.dmp文件。 3. 输入命令:`!analyze -v`,分析结果。 - 根据输出定位有问题的驱动程序(如第三方驱动),然后更新或卸载它。 #### 8. **执行干净启动** 排除第三方软件干扰: - 按`Win+R`,输入`msconfig`,打开系统配置。 - 在“服务”选项卡,勾选“隐藏所有Microsoft服务”,点击“全部禁用”。 - 在“启动”选项卡,点击“打开任务管理器”,禁用所有启动项。 - 重启计算机。若问题消失,则逐个启用服务/启动项以确定冲突软件。 #### 9. **硬件检测** - 使用硬件诊断工具检查硬盘、CPU等(如厂商提供的工具)。 - 监控系统温度,过热可能导致不稳定。 #### 10. **重装系统** 作为最后手段,备份数据后重装Windows。 ### 注意事项 - 操作前备份重要数据。 - 修改系统设置或驱动时,录操作以便撤销。 §§相关问题§§ 1. 如何获取和分析Windows内存转储文件(Dump File)? 2. 如何安全地更新或回滚驱动程序? 3. 常见的Windows蓝屏错误有哪些及如何解决?</think>### 错误分析:SYSTEM_SERVICE_EXCEPTION nt!KeAbPreAcquire+df 此蓝屏错误表明在 Windows 内核(`ntkrnlmp.exe`)处理线程同步时发生致命异常,具体位置在 `KeAbPreAcquire` 函数(负责互斥量获取前的预处理)的偏移地址 `+df` 处[^1]。可能原因包括: 1. **驱动不兼容** 第三方驱动程序(尤其是内核级驱动)与系统冲突是常见诱因,占此类错误的 70% 以上[^1]。 2. **硬件故障** 内存(RAM)损坏、CPU 超频不稳定或硬盘坏道可能导致内核执行异常。 3. **系统文件损坏** 关键系统文件(如 `ntoskrnl.exe`)被篡改或损坏。 4. **恶意软件感染** 内核级 Rootkit 可能劫持系统调用。 --- ### 分步解决方案 #### 第一步:紧急处理 1. **重启后进入安全模式** - 开机时多次按 `F8` → 选择 **安全模式 + 网络** - 观察是否复现错误,若无则第三方驱动/软件是主因。 2. **卸载最近更新/驱动** ```powershell # PowerShell (管理员) wmic qfe list brief /format:table # 查看最近更新 wusa /uninstall /kb:KBXXXXXXX # 替为实际更新号 ``` #### 第二步:诊断驱动问题 1. **检查驱动签名** ```cmd verifier /flags 0x01 /driver * # 启用驱动程序验证器 reboot ``` 若蓝屏再次出现,转储文件将明确问题驱动(路径:`C:\Windows\Minidump\*.dmp`)。 2. **更新关键驱动** 优先更新: - 显卡驱动(NVIDIA/AMD/Intel) - 主板芯片组驱动(官网下载) - 存储控制器驱动(如 Intel RST) #### 第三步:硬件检测 1. **内存测试** ```cmd mdsched.exe # Windows 内存诊断工具 ``` - 选择 **立即重启并检查**,录错误代码。 2. **硬盘健康检查** ```cmd chkdsk C: /f /r # 修复坏道(需重启) wmic diskdrive get status # 查看硬盘状态 ``` #### 第四步:系统修复 1. **修复系统文件** ```cmd sfc /scannow # 扫描系统文件 DISM /Online /Cleanup-Image /RestoreHealth # 修复组件存储 ``` 2. **分析转储文件** - 使用 WinDbg 分析 `C:\Windows\Minidump\*.dmp`: ``` !analyze -v # 自动分析 lmvm <驱动名> # 查看问题驱动详情 ``` #### 第五步:高级排查 - **禁用超线程/VT虚拟化**:进入 BIOS 关闭相关选项测试。 - **重置 BIOS 默认设置**:排除超频/电压不稳问题。 - **替 ntkrnlmp.exe**:从正常系统复制 `C:\Windows\System32\ntkrnlmp.exe` 覆盖。 --- ### 预防措施 1. 定期使用 `driverquery /v` 检查驱动版本 2. 启用内存完整性保护: **设置 → 隐私和安全性 → Windows 安全中心 → 设备安全性 → 内核隔离** 3. 避免使用未签名驱动 > ⚠️ 若所有步骤无效,建议备份数据后执行 **原位升级**(保留文件重装系统)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值