ps:pc-cillin不能查杀,卡巴斯基能查杀部分文件,最终还是重装系统了事。。。
机子中了毒~~居然还把exe关联给改了~~真tmd狠啊~~~
找到了一些修复的办法~~大家看看吧~~郁闷啊~~
执行一些exe应用程序时,它会出现这样的对话框:
windows无法找到???.exe
该程序用于打开的"应用程序"类型的文件???.exe位置
这是由于注册表中EXE文件关联被修改所致,而这时往往只有IE可以正常运行。
解决方法:
方法一:把regedit.exe改名为regedit.com,然后执行regedit.com,把HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command右边默认项的键值改为"%1" %*即可
方法二:(只适用于Win2000/XP):
1、将cmd.exe改名为cmd.com或cmd.scr。
2、运行cmd.com
3、运行下面两个命令:
ftype exefile="%1" %*
assoc .exe=exefile
4、将cmd.com改回cmd.exe
方法三:当然是利用第三方工具了,如去下载瑞星的注册表修复器:http://download.rising.com.cn/zsgj/RegClean.com,利用它来修复一下文件关联。
Exe文件修复
http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip
(测试可下,打开Zip包,双击文件导入)
System Repair Engineer 1.0.0.262 下载:http://www.517d.com/Software/Catalog75/1030.html
一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。本工具的前身是RegFix注册表关键值修复工具。
附exeroute病毒的解决方案
关键词尾 exeroute,NtDhcp 的病毒---建议直接重装机器
这个后门共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。附图即为中毒后,任意一个EXE文件的属性,留意黄圈部分,“应用程序”变成“EXE文件”
这个病毒释放了很多病毒文件,还修改了很多注册表信息,经过一番处理,现在推荐以下步骤操作:
1. 准备工作,下载SREng.exe,并改名为SREng.com
下载地址:
http://www.kztechs.com/sreng/download.html
2. 运行ProceXP结束%Windows%\services.exe病毒进程(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可)
注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是System32\services.exe(系统进程),大家可以从路径和它们的图标来区分。
3. 运行SREng.com,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联
4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:
C:\autorun.inf
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)
%Windows%\services.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的:
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒。