WINLOGON.EXE 木馬病毒

最近朋友電腦中毒了，查殺了一天，不行。從網上搜尋找到答案。不過答案有不對的地方。

我的電腦是98，使用方法一：發現不行，總是exe無法執行。[HKEY_CLASSES_ROOT\exefile\shell\open\command] 沒有錯誤，最後發現他們寫錯了，註冊表應該是
[HKEY_CLASSES_ROOT\winfile\shell\open\command]

故障分析：最有可能是某個軟體甚至可能是病毒把副檔名為EXE的檔案關聯刪除或修改了，可做如下修改：

方法一：
修改EXE檔案關聯
可以通過修改註冊表來恢複EXE檔案。因為EXE檔案都無法開啟，所以只有先將Windows目錄下的登錄編輯程式“Regedit.exe”改為“Regedit.com”，然後運行它，依次找到HKEY_CLASSES_ROOT\exefile\shell\open\command，預設的索引值為 "%1" %*，雙擊“預設”字串，將其數值改為“"%1" %*”就可以了。另外也可以在DOS下運行“ftype exefile=%1 %*”或“assoc .exe=exefile”（assoc與.exe之間有一空格），命令也可以恢複EXE檔案的關聯。

方法二：
將下面的內容存為exefile.reg，雙擊匯入註冊表；或在純dos下運行regedit exefile.reg，匯入註冊表即可。（注意：REGEDIT4後面留一空行）
REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
或者將cmd.exe改名為cmd.com或cmd.scr，運行cmd.com，然後再運行下面兩個命令：
ftype exefile="%1" %*
assoc .exe=exefile
將cmd.com改回cmd.exe，不過該方法只適用於Win2000/XP

方法三：

先在命令列輸入：assoc .exe來顯示EXE檔案關聯，系統顯示“沒有為副檔名.exe找到檔案關聯”，難怪EXE檔案都不能執行。接著輸入：ftype | more 來分屏顯示系統中所有的檔案類型，其中有一行顯示為“exefile="%1" %*”，難道只要將EXE檔案與“exefile”關聯，故障就會解決？於是在命令列輸入：assoc .exe=exefile（assoc與.exe之間有一空格），螢幕顯示“.exe=exefile”。現在關閉命令提示字元視窗，按[Ctrl+Alt+Del]按鍵組合調出“Windows安全”視窗，按[關機]按鈕後選擇“重新啟動”選項，按正常模式啟動Windows 2000後，所有的EXE檔案都能正常運行了。
幾點體會
事後，筆者重新在控制台中執行檔案夾選項命令，選擇“檔案類型”標籤，發現在“登入的檔案類型”列表中沒有EXE，也沒有BAT和COM等檔案類型，說明用檔案夾選項命令無法建立這些類型的檔案關聯，我們只能在命令提示字元視窗中用ASSOC和FTYPE兩個命令來設定。

方法四：

利用金山毒霸6解決EXE檔案打不開的問題

目前的惡意網頁和木馬們都盯上了註冊表，為了達到永久控制你的電腦的目的，它們採用了各種招數，修改EXE檔案關聯就是其中之一。這樣我們就無法運行系統中的任何EXE檔案，所以也就不能運行登錄編輯程式reg edit.exe來恢複註冊表中的索引值。此時該怎麼辦呢？很簡單，只要你的系統中有金山毒霸6就可以輕易的解決這個問題。在“資源管理員”中開啟金山毒霸6的安裝目錄，找到金山毒霸6的主程式kav32.exe，右擊選擇“重新命名”把它改名為kav32.scr，點擊kav32.scr，你會發現金山毒霸6啟動了！然後再單擊“開始”菜單中的“運行”，輸入regedit，斷行符號後就會開啟登錄編輯程式！為什麼現在就可以開啟登錄編輯程式了呢？這是因為金山毒霸6在運行後會自動檢查EXE檔案關聯，發現註冊表HKEY_CLASSES_ROOT\exefile\shell\open\command下的預設索引值不是"%1" %*，就把它恢複過來，也就是說金山毒霸6會自動回復EXE檔案關聯，EXE檔案關聯恢複後我們就可以運行登錄編輯程式regedit了。那麼為什麼要把kav32.exe改名為kav32.scr呢？這是因為kav32.scr也是exe檔案啊，只有改名為.scr檔案它才能在EXE檔案關聯被更改後還能啟動運行！

　　除了可以用來恢複EXE檔案關聯以外，這個技巧還有什麼用呢？大家在清除木馬時會刪除木馬檔案，如果是檔案關聯木馬，把木馬服務端和EXE檔案關聯在一起，則直接刪除木馬檔案後會導致任何EXE檔案都無法運行，此時這個技巧就派上用場了。另外，當登錄編輯程式被禁用無法開啟時也可以試試這個技巧。好了，以後如果發現自己的EXE檔案關聯被更改了，就運行金山毒霸6來解決這個問題吧。