今天帮同事杀毒,是Syswin32病毒,因为他的机子没有杀毒软件所以中招了,杀毒到没有什么复杂的,用移动卡巴就搞定了。但这个病毒,改了注册表,使得所有的exe文件都无法运行。运行任何exe文件,都出现一个选择打开文件的对话框。把exe后缀改为com或者scr都可以正常运行。检查注册表,也没有发现被映像劫持,检查启动项,也没有发现可疑启动项。最后基本怀疑是注册表中的扩展名的关联。
但没有现成的解决办法,所以在里面瞎试,走了很多弯路就不用废话了。最后的解决,是把HK_Class_Root下的exefile项目删掉,用正常机子的相同项目替代。问题也在这里,exe的默认打开方式被修改了。