1.破坏文件关联的两种方式:
(1)修改特定扩展名文件的对应名称。以.exe文件为例:
正常注册表中,.exe文件对应名称为:
HKEY_CLASSES_ROOT\.exe
(默认) exefile
病毒为了让.exe文件用notepad打开,从而阻止其运行,于是将上述exefile改为txtfile。
而正常注册表中,txtfile的值如下:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) %SystemRoot%\system32\NOTEPAD.EXE %1
所以,病毒就达到了用记事本打开.exe文件的目的。
(2)直接修改文件打开方式。以.exe文件为例:
正常注册表中:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) "%1" %*
病毒为了用notepad启动.exe文件,将注册表值修改为:%SystemRoot%\system32\NOTEPAD.EXE %1
2.修复文件关联
由于.exe文件关联被破坏后,regedit.exe也无法打开,就无法通过改回注册表来修复文件打开方式。幸好病毒未破坏.scr的文件关联。可以将regedit.exe重命名为regedit.scr。启动后可改回注册表值。
3.修复了文件关联之后,有些图标显示可能还是不正确,需要修复。例如有些.exe的文件显示的却是notepad的图标。
造成这种问题的原因是windows图标缓存机制。解决方法同样有二:
(1)
删除C:\Documents and Settings\Administrator(你的用户名)\Application Data\ IconCache.db 。然后重启系统。
(2)
在桌面上右击,选择“属性”>“外观”>“高级”>“图标”。修改图标大小,点确定。
