Pliki exe i lnk włączają się przez jeden konkretny program

[student]

Ja tego nie rozumiem w ogóle. Potrafią to zrobić jak i na XP jak i 7. Niby gdzieś źle kilikają i się potem wszytkie pliki exe otwierają w GIMP, File Factory. Skróty do aplikacji prowadzą do progamu notatnik. Nie mam ich raportów bo nikt nie chciał ich zrobić nawet jak prosiłem.
Porblemy te znam z portalu pytanie - odpowiedź. Jakoś sam coś takiego probowałem zrobić ale nic z tego nie wyszło bo ani skróty nie włączały się w Notatniku (i nie miały ich ikony) a pliki exe były wykonalne normalnie a nie że się zawsze Gimp włączał nawet jak się klikło w przywracanie systemu w panelu sterowania (to pewnie przez to że przyracanie włącza się przez plik rstrui.exe).

Problem zazwyczaj występował tylko na jednym koncie. Nie wiem czy może nie dostałem nigdy od takiej osoby raportu bo plik pliki zamienne exe się również nie włączały.

Jedyne coś prostego na taki mi nie znany problem to było proadzenie włączenie RKill.com, jednak nie wiem czy to dało efekt

 

przykładowy cytat: [LINK]

Edytowane 31 Marca 2013 przez student

[diox]

Chodzi ci o to:

 

 

... że chcesz np. włączyć Worda, a włącza się GIMP?
To są zepsute skojarzenia plików.
Nie wiem, czy to będzie dobry trop, ale na Win XP : Windows + R > regedit i wchodzisz w klucze: HKEY_LOCAL_MACHINE > SOFTWARE > Classes > szukasz skojarzenia .exe > prawym i Eksportuj > Zapisz jako typ wybierz Pliki tekstowe , zapisz i dodaj tutaj jako załącznik.

[student]

to jak regedit z Win + R się włączy i znów coś takiego przeczytam to spróbuję i w ten sposób eksport u mnie nie jest wymagany bo działa poprawnie
 

Nazwa klucza:      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
Nazwa klasy:       <BRAK KLASY>
Czas ost. zapisu:  2012-11-06 - 00:48
Wartość 0
  Nazwa:           <BEZ NAZWY>
  Typ:             REG_SZ
  Dane:            exefile

Wartość 1
  Nazwa:           Content Type
  Typ:             REG_SZ
  Dane:            application/x-msdownload


Nazwa klucza:      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler
Nazwa klasy:       <BRAK KLASY>
Czas ost. zapisu:  2012-11-06 - 00:47
Wartość 0
  Nazwa:           <BEZ NAZWY>
  Typ:             REG_SZ
  Dane:            {098f2470-bae0-11cd-b579-08002b30bfeb}

 

[Anonim8]

wystarczy zmienić skojarzenie typu plików lnk i wybrać notatnik lub jakikolwiek inny program.

[diox]

To twój eksport? Zapomniałem dopisać, że tego nie miałeś robić na swoim kompie, tylko na zepsutym, u mnie są takie same wartości.

[picasso]

student, czyli teoretyzujesz i na zapas sobie dane zbierasz? Sytuacje takie mogą pochodzić z różnych modyfikacji w różnych kluczach i nie można uogólnić metody, zwłaszcza że mówisz o XP i Windows 7 = mają różnice. Skupiając się na tym:

 

 

Cytat

Problem zazwyczaj występował tylko na jednym koncie. Nie wiem czy może nie dostałem nigdy od takiej osoby raportu bo plik pliki zamienne exe się również nie włączały.

 

W tym przypadku chodzi o zupełnie inną gałąź niż podawana wyżej, czyli HKEY_CURRENT_USER, i może to być jedno z tych:

 

1. Na wszystkich wyliczonych systemach. Typowa ingerencja przez infekcję, czyli stworzenie nowej klasy w HKCU łączącej EXE z punktem ładowania malware, tzn. para:

 

HKEY_CURRENT_USER\Software\Classes\.exe

(wartość domyślna ustawiona na poniższy klucz)

 

+

 

HKEY_CURRENT_USER\Software\Classes\[klasa powiązana]

(Klasa exefile lub inna dodana przez szkodnika)

 

Te modyfikacje widać w raportach OTL. Przykład 1 (gdzie HKU\S-1-5-21-1275210071-630328440-725345543-1003 = klucz użytkownika, linkiem symbolicznym jest HKCU):

 

O35 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..exefile [open] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*

O37 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*

 

Przykład 2:

 

O37 - HKCU\...exe [@ = 529C5] -- "C:\WINDOWS\Temp\hq8eieiu.exe" -s "%1" %*

 

Rozwiązuje się to przez całkowite usunięcie obu klas z rejestru, pomocą służą tu też różne programy do usuwania infekcji. Tu przykłady usunięcia powyższych za pomocą OTL:

 

========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-1275210071-630328440-725345543-1003_Classes\.exe\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-1275210071-630328440-725345543-1003_Classes\exefile\ deleted successfully.

========== OTL ==========
Registry key HKEY_CURRENT_USER\Software\Classes\.exe\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Classes\529C5\ deleted successfully.

 

 

2. Tylko na systemach Vista / Windows 7 (na XP nie istnieje ten klucz), skojarzenie w kluczu:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\UserChoice

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice

 

Przykład:

 

Windows Registry Editor Version 5.00 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk] 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList]
"a"="NOTEPAD.EXE"
"MRUList"="a" 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithProgids]
"lnkfile"=hex(0): 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\UserChoice]
"Progid"="Applications\\notepad.exe"

 

Stworzone przez nieuwagę użytkownika, tzn. użył dialog Otwórz za pomocą, wybrał w nim jakiś dziwny program (np. Notatnik) i na dodatek zaznaczył "Zawsze otwieraj tym programem" (Menu start > Programy domyślne > Skojarz typ pliku).

Ta modyfikacja nie jest skanowana w żadnym z typowych narzędzi logów (nie uwzględniają jej OTL/DDS/OTS/RSIT), ani nie jest uwzględniana w programach antymalware dedykowanych zjawiskom z punktu 1. Ten przypadek rozwiązuje się poprzez usunięcie klucza UserChoice lub program Unassoc (Remove file association (User)):

 

 

3. Wariacja powyższego dla wszystkich systemów opisana w KB950505, problem mogą tworzyć także klucze:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithList

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids

 

Przykład z forum:

 

[Anonim8]

Mam prośbę do autora, aby zmienił tytuł tematu. Wykształcenie....panie "student" nie ma nic do rzeczy.

[student]

no to zmieniam na taki

Jak zapytaciele robią że pliki exe i lnk włączają im się przez jeden konkretny program.

 

wystarczy zmienić skojarzenie typu plików lnk i wybrać notatnik lub jakikolwiek inny program.

jak to zrobić na 7 w prosty sposób na Notatnik

 

Zapytaciel - to użytkownik zadający pytanie na tym portalu miejcie pretensje do Onet.pl SA oni taką nazwę wymyślili w słowniku jej nie ma

 

to chyba najprościej jak spytam się o system i dam linka do aplikacji albo instrukcji pliku reg

choć czasem ktoś zapyta i już raczej w ogóle nie zagląda

Edytowane 19 Marca 2013 przez student

[Anonim8]

jak to zrobić na 7 w prosty sposób na Notatnik

 

Panel sterowania > Programy domyślne > skojarz typ pliku z protokołem i programem

 

odnajdujesz rozszerzenie lnk i ustawiasz Notatnik > i juz masz skróty w postaci notatnika.

 

A tytuł proszę zmienić na - W jaki sposób pliki exe i lnk włączają się przez jeden konkretny program

[student]

mam przykładowy  cytat  z portalu:

próbowałem uruchomic pobraana gre i wyskoczyło mi uruchom za pomocą windows media center i nagle wszystko np.skype mi się włancza za ppmocą tego . Jak to odkrecić

powinnem takie pytanie pominąć bo sam nie wiem co się tak ustawiło z tego zdania

dziś mam kolejny cytat:

No bo przez przypadek zamieniłam wszystkie pliki tak że są notatnikkami i jak mogę to odkręcić?

 

ze względu na obszerność tematu proszę o jego zamknięcie

Edytowane 11 Kwietnia 2013 przez student