首页 > 成功案例

时间:2021-02-26
       25日下班前后,一位客户在朋友的推荐之下匆忙而来。鸿萌工程师询问得知,这位客户用友 T3 财务系统里面所有的可执行程序都被关联到了 winrar 这个解压缩程序,导致所有的程序都无法运行,注册表也无法打开。机器里面是客户重要的应用和数据,客户非常着急。

      客户是这样描述的:我匆匆点击打开一个.exe文件,很可能是一个病毒,但杀毒软件并没有没有检测到任何病毒。现在每个 .exe 文件都试图用 winrar 打开,整个计算机就无法使用了。
     
      这种情况,鸿萌的工程师们以前没有遇到过,在网络上搜索,类似案例也是非常的少,偶尔看到一个也没有成功的解决方案。喜欢挑战困难的工程师于是决定自己去分析解决这个问题。客户的操作系统是 Windows 7 X64 位操作系统,现在所有的工具都无法在这个机器运行。工程师就考虑从注册表入手,他们从良好的 Windows 7 X64 位操作系统里面分析了 .exe 的关联情况,分析如下:
[-HKEY_CLASSES_ROOT.exe]

[HKEY_CLASSES_ROOT.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT.exePersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOTexefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,
  00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,
  32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,
  00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00

[HKEY_CLASSES_ROOTexefileDefaultIcon]
@="%1"

[HKEY_CLASSES_ROOTexefileshell]

[HKEY_CLASSES_ROOTexefileshellopen]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]
@=""%1" %*"
"IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunas]
"HasLUAShield"=""

[HKEY_CLASSES_ROOTexefileshellrunascommand]
@=""%1" %*"
"IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunasuser]
@="@shell32.dll,-50944"
"Extended"=""
"SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"

[HKEY_CLASSES_ROOTexefileshellrunasusercommand]
"DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"

[HKEY_CLASSES_ROOTexefileshellex]

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlers]
@="Compatibility"

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlersCompatibility]
@="{1d27f844-3a1f-4410-85ac-14651078412d}"

[HKEY_CLASSES_ROOTexefileshellexDropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[-HKEY_CLASSES_ROOTSystemFileAssociations.exe]

[HKEY_CLASSES_ROOTSystemFileAssociations.exe]
"FullDetails"="prop:System.PropGroup.Description;System.FileDescription;System.ItemTypeText;System.FileVersion;System.Software.ProductName;System.Software.ProductVersion;System.Copyright;*System.Category;*System.Comment;System.Size;System.DateModified;System.Language;*System.Trademarks;*System.OriginalFileName"
"InfoTip"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"
"TileInfo"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"

[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithList]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithProgids]
"exefile"=hex(0):

[-HKEY_LOCAL_MACHINESOFTWAREClasses.exe]

[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

      工程师针对客户的具体故障,将分析结果生成一个 .reg 文件,然后在客户的计算机上将这个注册表文件合并到客户的注册表中,重启系统后,问题成功解决!
看到操作系统恢复如初,客户才放下心来。