1.破坏文件关联的两种方式:

(1)修改特定扩展名文件的对应名称。以.exe文件为例:

正常注册表中,.exe文件对应名称为:

HKEY_CLASSES_ROOT\.exe    

(默认)             exefile

病毒为了让.exe文件用notepad打开,从而阻止其运行,于是将上述exefile改为txtfile。

而正常注册表中,txtfile的值如下:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(默认)             %SystemRoot%\system32\NOTEPAD.EXE %1

所以,病毒就达到了用记事本打开.exe文件的目的。

 

(2)直接修改文件打开方式。以.exe文件为例:

正常注册表中:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(默认)              "%1" %*

病毒为了用notepad启动.exe文件,将注册表值修改为:%SystemRoot%\system32\NOTEPAD.EXE %1

 

 

2.修复文件关联

由于.exe文件关联被破坏后,regedit.exe也无法打开,就无法通过改回注册表来修复文件打开方式。幸好病毒未破坏.scr的文件关联。可以将regedit.exe重命名为regedit.scr。启动后可改回注册表值。

 

 

3.修复了文件关联之后,有些图标显示可能还是不正确,需要修复。例如有些.exe的文件显示的却是notepad的图标。

造成这种问题的原因是windows图标缓存机制。解决方法同样有二:

 

(1)

删除C:\Documents and Settings\Administrator(你的用户名)\Application Data\ IconCache.db 。然后重启系统。

 

(2)

在桌面上右击,选择“属性”>“外观”>“高级”>“图标”。修改图标大小,点确定。