[求助]不小心中了rar.exe应用程序全毁,求恢复!!!-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
雪之苏雪币： 232 活跃值： (105) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 118 粉丝 1 关注私信	雪之苏 2 2 楼吧rar.exe发上来 2011-6-2 09:47 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 3 楼悲剧了试试 @echo off :start cls title 文件关联修复工具 color 0a echo A -修复EXE文件关联 echo B -修复COM文件关联 echo C -修复TXT文件关联 echo D -修复BAT/CMD文件关联 echo E -修复SCR文件关联 echo F -修复REG文件关联 echo G -修复HTML/HTM文件关联 echo H -修复PIF文件关联 echo I -修复LNK文件关联 echo J -修复JS文件关联 echo K -修复VBS文件关联 echo L -修复INI文件关联 echo M -修复INF文件关联 echo N -修复CHM文件关联 echo O -修复HLP文件关联 echo P -修复HTA文件关联 echo Q -修复JPG文件关联 echo R -修复GIF文件关联 echo. echo W -一次性修复以上全部关联 echo 0 -退出 echo. set choice= set /p choice=输入您要修复的文件关联的代号: if /I "%choice%"=="A" goto EXE if /I "%choice%"=="B" goto COM if /I "%choice%"=="C" goto TXT if /I "%choice%"=="D" goto BAT if /I "%choice%"=="E" goto SCR if /I "%choice%"=="F" goto REG if /I "%choice%"=="G" goto HTML if /I "%choice%"=="H" goto PIF if /I "%choice%"=="I" goto LNK if /I "%choice%"=="J" goto JS if /I "%choice%"=="K" goto VBS if /I "%choice%"=="L" goto INI if /I "%choice%"=="M" goto INF if /I "%choice%"=="N" goto CHM if /I "%choice%"=="O" goto HLP if /I "%choice%"=="P" goto HTA if /I "%choice%"=="Q" goto JPG if /I "%choice%"=="R" goto GIF if /I "%choice%"=="W" goto ALLTHEFILE if /I "%choice%"=="0" goto EXIT :EXE assoc .exe=exefile ftype exefile="%1"%* goto start :COM assoc .com=comfile ftype comfile="%1"%* goto start :TXT assoc .txt ftype txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1 :BAT assoc .bat=batfile ftype batfile="%1" %* assoc .cmd=cmdfile ftype cmdfile="%1" %* goto start :SCR assoc .scr=scrfile ftype scrfile="%1" /S goto start :REG assoc .reg=regfile ftype regfile=regedit.exe "%1" goto start :HTML assoc .html=htmlfile ftype htmlfile="%Program Files%\Internet Explorer\iexplore.exe" -nohome goto start :PIF assoc .pif=piffile ftype piffile="%1" %* goto start :LNK assoc .lnk=lnkfile reg delete "HKCR\lnkfile\CLSID" /v "@" /f reg add "HKCR\lnkfile\CLSID" /v "@" /t "REG_SZ" /d "{00021401-0000-0000-C000-000000000046}" /f goto start :JS assoc .js=jsfile ftype jsfile=%SystemRoot%\System32\WScript.exe "%1" %* goto start :VBS assoc .vbs=VBSFile ftype vbsfile=%SystemRoot%\System32\WScript.exe "%1" %* goto start :INI assoc .ini=inifile ftype inifile=%SystemRoot%\System32\NOTEPAD.EXE %1 goto start :INF assoc .inf=inffile ftype inffile=%SystemRoot%\System32\NOTEPAD.EXE %1 goto start :CHM assoc .chm=chm.file ftype chm.file="hh.exe" %1 goto start :HLP assoc .hlp=hlpfile ftype hlpfile=winhlp32.exe %1 goto start :HTA assoc .hta=htafile ftype htafile=mshta.exe "%1" %* goto start :JPG assoc .jpg=jpegfile ftype jpegfile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1 goto start :GIF assoc .gif=giffile ftype giffile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1 goto start :ALLTHEFILE assoc .exe=exefile ftype exefile="%1"%* assoc .com=comfile ftype comfile="%1"%* assoc .txt ftype txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1 assoc .bat=batfile ftype batfile="%1" %* assoc .cmd=cmdfile ftype cmdfile="%1" %* assoc .scr=scrfile ftype scrfile="%1" /S assoc .reg=regfile ftype regfile=regedit.exe "%1" assoc .html=htmlfile ftype htmlfile="%Program Files%\Internet Explorer\iexplore.exe" -nohome assoc .pif=piffile ftype piffile="%1" %* assoc .lnk=lnkfile reg delete "HKCR\lnkfile\CLSID" /v "@" /f reg add "HKCR\lnkfile\CLSID" /v "@" /t "REG_SZ" /d "{00021401-0000-0000-C000-000000000046}" /f assoc .js=jsfile ftype jsfile=%SystemRoot%\System32\WScript.exe "%1" %* assoc .vbs=VBSFile ftype vbsfile=%SystemRoot%\System32\WScript.exe "%1" %* assoc .ini=inifile ftype inifile=%SystemRoot%\System32\NOTEPAD.EXE %1 assoc .inf=inffile ftype inffile=%SystemRoot%\System32\NOTEPAD.EXE %1 assoc .chm=chm.file ftype chm.file="hh.exe" %1 assoc .hlp=hlpfile ftype hlpfile=winhlp32.exe %1 assoc .hta=htafile ftype htafile=mshta.exe "%1" %* assoc .jpg=jpegfile ftype jpegfile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1 assoc .gif=giffile ftype giffile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1 goto start :EXIT echo Do you want to exit the progarm?(y/n) set choice= set /p choice= if /I "%choice%"=="n" goto start exit 2011-6-2 10:04 0
gaofengjx 雪币： 2259 活跃值： (1431) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 2 关注私信	gaofengjx 4 楼楼主够杯具的啊！ 2011-6-2 10:04 0
huanwu 雪币： 203 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 83 粉丝 0 关注私信	huanwu 5 楼只在进程里有,网上查是winrar 的命令.文件还能恢复吗?? 2011-6-2 10:04 0
ones 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 25 粉丝 0 关注私信	ones 6 楼自己不会手工检测病毒的，那就只好相信杀毒软件的能力了，我很相信卡巴斯基的能力，我通常是用一下卡巴斯基后立即卸载，当然我不会频繁的去使用杀毒软件，经验很重要，会几个安全辅助工具也很重要。文件先不要删除，下个卡巴斯基全盘扫描一下，扫描出的病毒，如果有重要数据文件，就取消删除。杀完后，就重装系统，然后把这些带毒的重要数据文件放到虚拟机里打开 2011-6-3 10:16 0
fqhlxw 雪币： 1577 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 61 粉丝 0 关注私信	fqhlxw 7 楼感染型病毒。。最简单的办法：从U盘启动，把系统目录的WINRAR打包，然后删掉原目录，这样病毒就用不了RAR.EXE了。。然后。。要不就靠杀软给你修复，要不就自己写个程序修复。。中的多了自然就会了。。 2011-6-3 10:37 0
肯特awp 雪币： 23 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	肯特awp 8 楼你中的似乎是LPK.dl/UPS10.DLLl病毒,用专杀工具试试 2011-12-30 08:55 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 9 楼這個看起來很像只是破壞檔案關聯，把他恢復就好了。前題是要有辦法恢復。 2012-1-10 08:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

雪之苏

雪币： 232

活跃值： (105)

能力值：

( LV8，RANK：120 )

在线值：

发帖

11

回帖

118

粉丝

1

关注

私信

雪之苏 2: 2 楼

吧rar.exe发上来

2011-6-2 09:47

0

xouou

雪币： 90

活跃值： (91)

能力值：

( LV2，RANK：10 )

在线值：

发帖

16

回帖

1075

粉丝

1

关注

私信

xouou: 3 楼

悲剧了
试试
@echo off
:start
cls
title 文件关联修复工具
color 0a
echo    A -修复EXE文件关联
echo    B -修复COM文件关联
echo    C -修复TXT文件关联
echo    D -修复BAT/CMD文件关联
echo    E -修复SCR文件关联
echo    F -修复REG文件关联
echo    G -修复HTML/HTM文件关联
echo    H -修复PIF文件关联
echo    I -修复LNK文件关联
echo    J -修复JS文件关联
echo    K -修复VBS文件关联
echo    L -修复INI文件关联
echo    M -修复INF文件关联
echo    N -修复CHM文件关联
echo    O -修复HLP文件关联
echo    P -修复HTA文件关联
echo    Q -修复JPG文件关联
echo    R -修复GIF文件关联
echo.
echo    W -一次性修复以上全部关联
echo    0 -退出
echo.
set choice=
set /p choice=输入您要修复的文件关联的代号:
if /I "%choice%"=="A" goto EXE
if /I "%choice%"=="B" goto COM
if /I "%choice%"=="C" goto TXT
if /I "%choice%"=="D" goto BAT
if /I "%choice%"=="E" goto SCR
if /I "%choice%"=="F" goto REG
if /I "%choice%"=="G" goto HTML
if /I "%choice%"=="H" goto PIF
if /I "%choice%"=="I" goto LNK
if /I "%choice%"=="J" goto JS
if /I "%choice%"=="K" goto VBS
if /I "%choice%"=="L" goto INI
if /I "%choice%"=="M" goto INF
if /I "%choice%"=="N" goto CHM
if /I "%choice%"=="O" goto HLP
if /I "%choice%"=="P" goto HTA
if /I "%choice%"=="Q" goto JPG
if /I "%choice%"=="R" goto GIF
if /I "%choice%"=="W" goto ALLTHEFILE
if /I "%choice%"=="0" goto EXIT

:EXE
assoc .exe=exefile
ftype exefile="%1"%*
goto start
:COM
assoc .com=comfile
ftype comfile="%1"%*
goto start
:TXT
assoc .txt
ftype txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
:BAT
assoc .bat=batfile
ftype batfile="%1" %*
assoc .cmd=cmdfile
ftype cmdfile="%1" %*
goto start
:SCR
assoc .scr=scrfile
ftype scrfile="%1" /S
goto start
:REG
assoc .reg=regfile
ftype regfile=regedit.exe "%1"
goto start
:HTML
assoc .html=htmlfile
ftype htmlfile="%Program Files%\Internet Explorer\iexplore.exe" -nohome
goto start
:PIF
assoc .pif=piffile
ftype piffile="%1" %*
goto start
:LNK
assoc .lnk=lnkfile
reg delete "HKCR\lnkfile\CLSID" /v "@" /f
reg add "HKCR\lnkfile\CLSID" /v "@" /t "REG_SZ" /d "{00021401-0000-0000-C000-000000000046}" /f
goto start
:JS
assoc .js=jsfile
ftype jsfile=%SystemRoot%\System32\WScript.exe "%1" %*
goto start
:VBS
assoc .vbs=VBSFile
ftype vbsfile=%SystemRoot%\System32\WScript.exe "%1" %*
goto start
:INI
assoc .ini=inifile
ftype inifile=%SystemRoot%\System32\NOTEPAD.EXE %1
goto start
:INF
assoc .inf=inffile
ftype inffile=%SystemRoot%\System32\NOTEPAD.EXE %1
goto start
:CHM
assoc .chm=chm.file
ftype chm.file="hh.exe" %1
goto start
:HLP
assoc .hlp=hlpfile
ftype hlpfile=winhlp32.exe %1
goto start
:HTA
assoc .hta=htafile
ftype htafile=mshta.exe "%1" %*
goto start
:JPG
assoc .jpg=jpegfile
ftype jpegfile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1
goto start
:GIF
assoc .gif=giffile
ftype giffile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1
goto start

:ALLTHEFILE
assoc .exe=exefile
ftype exefile="%1"%*

assoc .com=comfile
ftype comfile="%1"%*

assoc .txt
ftype txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1

assoc .bat=batfile
ftype batfile="%1" %*

assoc .cmd=cmdfile
ftype cmdfile="%1" %*

assoc .scr=scrfile
ftype scrfile="%1" /S

assoc .reg=regfile
ftype regfile=regedit.exe "%1"

assoc .html=htmlfile
ftype htmlfile="%Program Files%\Internet Explorer\iexplore.exe" -nohome

assoc .pif=piffile
ftype piffile="%1" %*

assoc .lnk=lnkfile
reg delete "HKCR\lnkfile\CLSID" /v "@" /f
reg add "HKCR\lnkfile\CLSID" /v "@" /t "REG_SZ" /d "{00021401-0000-0000-C000-000000000046}" /f

assoc .js=jsfile
ftype jsfile=%SystemRoot%\System32\WScript.exe "%1" %*

assoc .vbs=VBSFile
ftype vbsfile=%SystemRoot%\System32\WScript.exe "%1" %*

assoc .ini=inifile
ftype inifile=%SystemRoot%\System32\NOTEPAD.EXE %1

assoc .inf=inffile
ftype inffile=%SystemRoot%\System32\NOTEPAD.EXE %1

assoc .chm=chm.file
ftype chm.file="hh.exe" %1

assoc .hlp=hlpfile
ftype hlpfile=winhlp32.exe %1

assoc .hta=htafile
ftype htafile=mshta.exe "%1" %*

assoc .jpg=jpegfile
ftype jpegfile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1

assoc .gif=giffile
ftype giffile=rundll32.exe shimgvw.dll,ImageView_Fullscreen %1
goto start

:EXIT
echo Do you want to exit the progarm?(y/n)
set choice=
set /p choice=
if /I "%choice%"=="n" goto start
exit

2011-6-2 10:04

0

gaofengjx

雪币： 2259

活跃值： (1431)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

67

粉丝

2

关注

私信

gaofengjx: 4 楼

楼主够杯具的啊！

2011-6-2 10:04

0

huanwu

雪币： 203

活跃值： (12)

能力值：

( LV2，RANK：10 )

在线值：

发帖

41

回帖

83

粉丝

0

关注

私信

huanwu: 5 楼

只在进程里有,网上查是winrar 的命令.文件还能恢复吗??

2011-6-2 10:04

0

ones

雪币： 36

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

25

粉丝

0

关注

私信

ones: 6 楼

自己不会手工检测病毒的，那就只好相信杀毒软件的能力了，我很相信卡巴斯基的能力，我通常是用一下卡巴斯基后立即卸载，当然我不会频繁的去使用杀毒软件，经验很重要，会几个安全辅助工具也很重要。
文件先不要删除，下个卡巴斯基全盘扫描一下，扫描出的病毒，如果有重要数据文件，就取消删除。杀完后，就重装系统，然后把这些带毒的重要数据文件放到虚拟机里打开

2011-6-3 10:16

0