文件关联的破坏和修复

文件关联的破坏和修复

文件关联的大部分设置在注册表中设置.
往往的修复方法都是修复注册表!

1.文件关联的破坏和修复
现在网上病毒N多,其中有一类就是对文件的关联进行破坏,造成系统不能正常使用。
试看一例子:
症状:任何程序无法运行,出现错误提示。.bat.coM类文件无法运行,连注册表文件。REG
也无法导入。
其实上面就是.exe,bat.com.reg四种文件关联被破坏了。我们先来他们是 如何实现的。
一共有三种方法,但实质是一样的。
{注册表修改}
注册表[HKEY_CLASSES_ROOT]是专门负责文件及文件夹关联的,其下有二种类型的子键:
    A类:如.BAT,.ico之类的前面有个“.”的扩展名,保存已注册文件的信息,他一般默认值 就是用来打开他的软件。如.rar的植就是winrar.而.exe,.bat.com.reg值分别为exefile, comfile,batfile,regfile.
    b类:以软件名为键值,部分后面还加FIle四个字母,其实这里储存的就是打开A类扩展名文件的 软件的信息。一般下面有两个项:
    1。DefaultIcon键——-程序图标
    2。shell\open\command—就是软件如何运行,一般的值就是软  件的安装路径,后面加上(”%1″)
        如WINRAR\shell\open\command的值就是“d:\winrar\WINRAR” “%1″(“%1″表示用软件本身打开)
        exefile,batfile,comfile的值都是(”%1″ %*),regfile的值是regedit.exe “%1″,这几个 默认值必须要记住,用来修复用的。
  还有一些子键下面有”CLSID“这个键,它的值是{00024512-0000-0000-C000-000000000046}这样格式的。  这些子键都是系统自带,捆绑的一些软件。注册表把这些软件的键值集中在[HKEY_CLASSES_
ROOT\clsid]  键下,CLSID键下都是{00024512-0000-0000-C000-000000000046}的子键,看的出来,这样的每个键就是 每个系统软件信息存放的地方。只不过中间转了一下而以。
        分析完[HKEY_CLASSES_ROOT]两类键,就很容易更改了。只要把A类中.BAT.EXE.REG.COM的默认值,或B类exefile,batfile,comfile的shell\open\command的值更改,就会用指定的软件打开。如果值改为一些没意义的字母,比如我改为SFDSFDSFDS,系统中没有这个软件,自然无法运行这些程序。如果把值改为一些CMD命令那么危险就增加了,可以制作一些简单的病毒。修复的方法当然是把这些键值改为默认值就可以了。

{用CMD命令制成批处理命令}
两个命令:assoc,fype
assoc可以修复上面介绍的第一类,即.exe.bat.com这类键的值
例子:assoc  .exe=exefile  
这个命令就是修复.EXE的管理,以此类推,任何上面介绍的A类键都可以用这个来修复。
assoc  .bat=batfile
assoc  .rar=…..\winrar.exe(就是打开它的软件的地址)
ftype  命令是修复上面介绍的B类键,
例子: ftype  exefile=”%1″ %*
看上面,FTYPE命令专门用来该文件关联的,exefile就是指定改的是哪一类型的文件,=后面的值就是用什么软件打开,(”%1″ %*)就是恢复他的默认值,自身可执行。
常见修复:ftype batfile=”%1″ %*
                    ftype regfile=regedit.exe %1
{用记事本修改注册表键值,保存为.REG文件,并把它导入就可以了。原理一样,只是语句上要注意}
.bat,.exe,.com的内容一样,看下面
REGEDIT4                              —-必须大写,不然 无法更改
[HKEY_CLASSES_ROOT\comfile\shell\open\command]–.COM文件的打开程序
@=”\”%1\” %*”                      —@表示注册表中的默认值,用(””)代替也行,不过两引号之间不能有空格。”\”%1\” %*” 与注册表中的”%1″ %*是一样的。
注:1.如果无法成功,一是REGEDIT4没有大写。二可能这三行不要连在一起,中间隔一两个空行。
    2.reg文件被更改,当然无法用这招。呵呵,能导入吗??
HKEY_CLASSES_ROOT根键--文件夹右键菜单关联
HKEY_CLASSES_ROOT\Directory\  和  HKEY_CLASSES_ROOT\Folder ,HKEY_CLASSES_ROOT\*三个地方都具有以下两项,
shell—
shellex\ContextMenuHandlers
1。举例:在右键添加快速重启菜单:必须在任一个SHELL项下新建。
        新建主键“快速重启”,在子键COMMAND的默认值为
        C:\WINDOWS\RUNDLL.EXE USER.EXE,EXITWINDOWSEXEC
2.shshellex 与 shell不同之处在于两点:1,shell下可以让我们新建。在DIRECTORY\shell下新建的,在驱动器右键
        中不会出现,在FOLDER\shell下新建却可以在任何文件夹右键中出现。
          2.shellex下的值都是象{750fdf0e-2a26-11d1-a3ea-080036587f03}这样的键。
文件关联的修复

1.常见的是EXE文件关联被改,导致任何程序无法运行。
解决方法:1.最简单,平时用记事本编一个修复exe文件关联的.reg文件(方法参
                    考上面),导入注册表就可以了。
                  2.进入\WINDOWS\把REGEDIT.EXE 改名成REGEDIT.COM或REGEDIT.BAT,
                    然后进入REGEDIT把.EXE关联恢复成默认值(”%1″ %*)j即可。  
                  3。把\WINDOWS\SYSTEM32下的CMD.EXE改名为CMD.COM或CMD.BAT,就
                        能进入CMD窗口用”FTYPE EXEFILE=”%1″ %*修复。
                  4.用软件修复,如魔法兔子等。把软件改名。bat.com就可以运行了。

2。.exe,.bat.com关联都被更改,.reg也无法导入。

解决方法:(前提,能进入我的电脑或能进入任何一文件夹)
          就是更改“文件打开类型”。
          进入“我的电脑”,在窗口上方的“工具栏”菜单中选“文件夹选项”–文件类型窗口 中 —已注册的文件类型 中找到.reg,更改他的打开方式,找到\windows下的regedit.exe,这样.reg 文件就有办法导入了,导入修复即可。
          

3.所有文件,文件夹关联都被改,连我的电脑,文件夹都进不去。可以用以下方法----文件关联终极修复        
        1.进入系统桌面。随便右键点击一文件,在右键菜单中选择“打开方式  “从列 表中选择程序”–确定–在“打开方式”窗口中选浏览,找到\WINDOWS\SYStem32    下选择CMD.exe.(直接不能运行CMD.exe)
          2。这样能打开cmd窗口,可以用ftype  exefile=”%1″ %*命令恢复了。
          3 。进入注册表,自己恢复.bat.com.reg的关联。或直接用软件修复,如魔法
                兔 子,里面有个修复所有文件及文件夹特棒。

注:当然打开方式也可以不选cmd,直接选\windows下的regedit.exe,打开注册表就可以随便修改。

大家一起想想:EXE的默认打开程序是EXEFILE,如果这个被更改了,也会导致.EXE程序不能运行..bat.com.reg文件也不能使用,又该如何修复了?

文件关联修复特例---一进入系统就自动重启或注销。

很多人遇到过这个问题,中了冲击波病毒就有这种结果。但不都是中了这个病毒,以下讲讲如何简单实现这个效果,以及修复的方法。

分析:1。系统一启动就必 须启动exeplorer.exe(负责分配用户界
                  面,如:桌面,任务栏,开始菜单)。如无法启动它,
                  会空白一片,看不到这些。
          2.主要是在exeplorer.exe上下功夫。
              a.把.exe文件关联到shutdown关机命令,系统启动时候
                一调用exeplorer.exe,就自动启动shutdown.exe命令。

            b.更改注册表。在HKEY_LOCAL_MACHINE\SOFTWARE\Micros
                oft\Windows NT\CurrentVersion\Winlogon 下的SHELL值可以
                正常应该 是 Explorer.exe,现在把值改为 exeplorer.exe  
                shutdown.exe .或者干脆把值改为SHUTDOWN.EXE

以上两种方法都能造成重启时,过了用户密码窗口,进入桌面的一刹那,甚至看不到桌面就自动重启或注销。

解决方法:根据上面1。2种实现方法有两种解决方法。
            1。进入DOS,(XP没DOS,用DOS启动盘,或系统安装盘大多
                  都能进入DOS)
          2。进入\WINDOWS,把EXEPLORER。EXE改名(随便都行,改成
                EXEPLORER。COM比较好),把CMD。EXE  改成CMD。COM
              (DOS下命令格式:REN CMD。EXE  CMD。COM)
          3,重启,进入系统时,因为找不到EXEPLORER。EXE,系统启
                动时会挂住,出现 任务管理器(如果没出现,自己按CTRL
                +ATL+DEL),添一新任务。要选择CMD.com
          4,出现CMD窗口,输入以下命令(FTYPE EXEFILE=“%1” %*),
                注意(“%1” %*)中间要空一格。  回车。

            5,重启。搞定。

You May Also Like

About the Author: admin

发表评论

您的电子邮箱地址不会被公开。