陈丽阳:EXEROUTE.EXE是什么文件
tianhao的回答:
在dos内,输入assoc .exe=exefile,然后回车(注意assoc与.exe之间有个空格,assoc是个命令),这样.exe就与.exe的执行文件关联了,再运行.exe文件就可以了,解决 或通过修改注册表来恢复EXE文件。因为EXE文件都无法打开,所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT\exefile\shell\open\command,双击“默认”字符串,将其数值改为“"%1" %*”就可以了。另外也可以在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联
tianhao的回答:
在dos内,输入assoc .exe=exefile,然后回车(注意assoc与.exe之间有个空格,assoc是个命令),这样.exe就与.exe的执行文件关联了,再运行.exe文件就可以了,解决 或通过修改注册表来恢复EXE文件。因为EXE文件都无法打开,所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT\exefile\shell\open\command,双击“默认”字符串,将其数值改为“"%1" %*”就可以了。另外也可以在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联
tianhao的回答:
在dos内,输入assoc .exe=exefile,然后回车(注意assoc与.exe之间有个空格,assoc是个命令),这样.exe就与.exe的执行文件关联了,再运行.exe文件就可以了,解决 或通过修改注册表来恢复EXE文件。因为EXE文件都无法打开,所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT\exefile\shell\open\command,双击“默认”字符串,将其数值改为“"%1" %*”就可以了。另外也可以在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联
霁╮枳薏╁的回答:
关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马 现在的杀毒软件都可以杀掉 给你一个专杀试试 已感染此类病毒的用户可以登陆http://it.rising.com.cn/Channels/Service/index.shtml,下载免费专杀工具, 这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、 winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。 产生文件: %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\WINLOGON.EXE %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Common Files\iexplore.pif %ProgramFiles%\Internet Explorer\iexplore.com D:\autorun.inf D:\pagefile.pif 新建一个winfiles文件类型,修改.EXE关联指向它: [HKEY_CLASSES_ROOT\winfiles] 创建的启动信息有: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\WINLOGON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "Torjan Program"="%Windows%\WINLOGON.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 原始值: "Shell"="Explorer.exe" 除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、 iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。 这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。 处理时一般可以这样操作: 可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。 以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息: 已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息: command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com 查找:command.pif,把找到的“command.pif”改为“rundll32.exe” 查找:explorer.com,把找到的“explorer.com”改为“explorer.exe” 查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\ Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe 查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe” 查找:finder.com,把找到的“finder.com”改为“rundll32.exe” 查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe” 这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如: HKEY_CLASSES_ROOT\Unknown\shell\openas\command (默认)的“类型”应该是REG_EXPAND_SZ 最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。 附:D盘的“自动播放” D:\autorun.inf D:\pagefile.pif D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。 右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。
凸-伦敦奥运的回答:
EXE文件关联,删除之后就无法打开EXE,如下解决 在dos内,输入assoc .exe=exefile,然后回车(注意assoc与.exe之间有个空格,assoc是个命令),这样.exe就与.exe的执行文件关联了,再运行.exe文件就可以了,解决 或通过修改注册表来恢复EXE文件。因为EXE文件都无法打开,所以只有先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT\exefile\shell\open\command,双击“默认”字符串,将其数值改为“"%1" %*”就可以了。另外也可以在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联。