This page has been robot translated, sorry for typos if any. Original content here.

Comment traiter les virus, instructions universelles

Sur la page:




Comment traiter les virus, instructions universelles

1. déconnectez l'ordinateur du réseau ( parfois le logiciel n'éteint pas le réseau - débranchez les câbles Ethernet )

2. Utilisation Autoruns & Process Explorer pour supprimer les processus inutiles de la mémoire + les déchets de l'exécution automatique
(il suffit de retirer les choucas de tout autre chose que userinit, exploer, ctfmon )
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Ne redémarrez pas! Activez le système de récupération (s'il a été désactivé) uniquement sur la partition système . créer manuellement un point de restauration - il est important pour nous de conserver le registre

4. Exécutez AVZ -> Fichier -> Restauration du système -> sélectionnez les éléments 1-4, 6, 8-13, 16-17. nous effectuons Ne pas redémarrer

5. Télécharger, graver sur le WinPEmini vide, démarrer à partir du compact
(si la vis SATA - soit désactiver AHCI ou utiliser LiveCD Alkid)

6. sur tous les disques, nettoyez tous les points de restauration ( Informations sur le volume du système ) sauf les 2-3 derniers

7. nettoyez manuellement le tempo (dossier de fichiers temporaires)
% temp%
C: \ Documents and Setting \ account_name \ Paramètres locaux \ Temp et fichiers Internet temporaires

8. sous WinPEmini exécuter une analyse complète de CureIt`om http://www.freedrweb.com/cureit/?lng=fr
(!) cunning = ekzeshnik launch.exe vous devez décompresser dans un dossier séparé et lancer _start.exe

9. c'est important !!! À la fin de l'analyse, ne vous précipitez pas pour redémarrer!
vous devez écrire dans la liste des ekzeshniki et dlokok supprimés du dossier Windows & Windows \ system32
(au cas où vous étiez corrompu / infecté par des fichiers système et les corrigiez, ils ne seront pas chargés)

10. comparez la liste des supprimés avec dllcache. si nécessaire - immédiatement à partir du liveSD à partir du cache dans system32

11. Après dépouillement, nous essayons de charger en "mode sans échec"

    - Si démarré, exécutez TrojanRemover ttp: //www.simplysup.com/tremover/download.html
    Pour neutraliser l'effet résiduel des chevaux de Troie
    (!) s'il jure sur userinit - exclude (ajouter à l'exception)

    - Si vous ne démarrez pas, souvenez-vous d'une chose comme ERDCommander (soulever Windows est déjà un sujet distinct, si je trouve l'heure - je la signerai)

12. Nous sommes chargés dans le mode habituel et nous démolissons la défense percée, nous regardons l'euventologue, nous mettons des patchs
(voir ci-dessous le 2ème post dans ce fil)



Nettoyer le registre


Si après le traitement l'axe est chargé, mais la barre des tâches n'est pas chargée et seul l'arrière-plan du bureau est visible ...

Ctrl + Alt + Suppr (Ctrl + Maj + Echap) -> nouvelle tâche (Exécuter) -> regedit ->
Options d'exécution du fichier HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image

dans cette section nous cherchons la ruche explorer.exe , sélectionnez-la, dans la partie droite de la fenêtre il y aura une option
Débogueur (C: \ Program Files \ Microsoft \ Common \ wuauclt.exe)
supprimez ce paramètre, fermez regedit, redémarrez le gestionnaire de tâches et démarrez l'explorateur

en outre, après décapage ou dans le processus (si l'analyse du liveSD pour ces raisons n'est pas possible)
Je vous conseille de prêter attention aux ruches de registre suivantes:

de sous cd live alcide vérifier les ruches de registre qui sont responsables de shell et de démarrage

Options d'exécution du fichier HKEY_LOCAL_MASHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image
- recherche de "papa" avec le nom explorer.exe , sélectionnez-le, dans la partie droite de la fenêtre il y aura une clé "Options de débogage" ou "Déboguer" -> sélectionnez-le ou appuyez sur Del

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
* shell devrait être juste Explorer.exe sans préfixes et compléments comme csrsc, etc.

En outre, dans le processus de nettoyage de la prochaine entreprise, une version mutante de l'auteur a été trouvée, qui prescrit au lieu d'un non-sens dans une autre clé de registre
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogo2
si une telle partition (je veux dire "Win2") existe - trouvez-y le paramètre shell et assurez-vous qu'il est égal à explorer.exe

Vérifiez également les entrées dans les buissons
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Exécuter
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Exécuter

pokolduy avec le registre:

1. copier le registre actuel
( C: \ Windows \ system32 \ config
fichiers sans extension
défaut
sam
sécurité
logiciel
système )

2. remplacez le registre actuel afin qu'il soit dans le dossier
C: \ Windows \ Repair
- boot naked Windows (!), c'est le registre au moment de l'installation
fais le sfc / scannow
pour restaurer les fichiers système, puis de sous SD en direct
encore une fois retourner le registre de travail et essayer de charger


Après le nettoyage, il est recommandé



- Démarrer -> Exécuter -> sfc / scannow
- CCleaner http://www.ccleaner.com/download/builds/downloading-slim
- sauvegarde de données
- Opera / FireFox plutôt qu'EI
- déconnexion de l'auteur (réelle pour les flashs)
- le bon sens, c'est-à-dire Utilisez la dernière version de l'antivirus et mettez-le à jour


(!) en temps opportun, ne pas grimper les sites du groupe à risque



Deuxième partie :) La finale


1. un par un pour déconnecter les brouettes du réseau ( extraire physiquement la dentelle de l'ezernet )
2. Autoruns & Process Explorer - supprimer inutile de la RAM et autoload (de sorte que plus tard n'a pas juré )
3. AVZ -> Fichier -> Restauration du système -> sélectionnez les éléments 1-4, 6, 8-13, 16-17
4. Chargé de sous le LiveCD ( Mini XP / WinPE mini ) et en remuant le rythme + rebonds, après un balayage complet CureIt `ohm
(!) Il y a une petite fonctionnalité - pour exécuter Cureit vous avez besoin de son ekzeshnik ( launch.exe )
décompressez dans un dossier séparé et démarrez à partir de ce dossier _start.exe
5. Ensuite, dans SafeMode, exécutez KidoKiller , après TrojanRemover
6. va démarrer dans la normale, Casper démolir nafig, mettre des correctifs de Kido ( voir les liens ci-dessous )
7. si nécessaire - profilage supplémentaire du système Hijack cette
8. vérifiez si les services Windows fonctionnent correctement ( services.msc) et s'il y a des erreurs chez l'euventologue ( eventvwr.msc )
9. mettre un antivirus normal. si l'Internet ne passe pas par le serveur / passerelle - également mettre le pare-feu
( EAV v 4.0.417 + Outpost 2009 ou ESS )
10. (!) Seulement après l'exécution des éléments principaux l' ordinateur peut être mis dans le réseau / inet
11. S'il y a des problèmes avec la pile TCP / IP - WinsockXPFix
12. (!) Repulse les mains de ceux qui utilisent IE et désactiver l'exécution automatique à partir des lecteurs flash et réseau
13 . tuer l'administrateur qui a permis le virai rampant

Fichiers REG juste au cas où


"Appuyez une fois pour montrer le spoiler - cliquez à nouveau pour cacher ..."
désactiver l'exécution automatique
Éditeur du Registre Windows Version 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorateur]
"NoDriveTypeAutoRun" = dword: 000000ff

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Cdrom]
"AutoRun" = dword: 00000000


restore_safe_mod.reg
Éditeur du Registre Windows Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot]
"AlternateShell" = "cmd.exe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Base]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Extendeur de bus de démarrage]
@ = "Groupe de pilotes"

[Système de fichiers HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmboot.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmio.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmload.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Système de fichiers]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Filtre]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Configuration PCI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Filtre PNP]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Disque principal]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Classe SCSI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ sermouse.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ sr.sys]
@ = "Récupération du système FSFilter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ SRService]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Extendeur de bus système]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ vga.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ vgasave.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {36FC9E60-C465-11CF-8056-444553540000}}
@ = "Contrôleurs Universal Serial Bus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de CD-ROM"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Contrôleur de disquette standard"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Clavier"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Souris"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "Adaptateurs PCMCIA"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "Système"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de disquette"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volume"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Périphériques d'interface humaine"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ AFD]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Base]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Extension de bus de démarrage]
@ = "Groupe de pilotes"

[Système de fichiers HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Boot]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Navigateur]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Dhcp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmboot.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ dmio.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmload.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ DnsCache]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Système de fichiers]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Filtre]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ ip6fw.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ ipnat.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ LanmanServer]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ LanmanWorkstation]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ LmHosts]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Messenger]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ NDIS]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NDIS Wrapper]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Ndisuio]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetBIOS]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetBIOSGroup]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetBT]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetDDEGroup]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetMan]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Réseau]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetworkProvider]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ nm]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ nm.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NtLmSsp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Configuration PCI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Filtre PNP]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ PNP_TDI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Disque principal]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdpcdd.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdpdd.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdpwd.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdsessmgr]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Classe SCSI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ sermouse.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ SharedAccess]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ sr.sys]
@ = "Récupération du système FSFilter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ SRService]
@ = "Service"

[Pilotes HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Streams]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Extension de bus système]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Tcpip]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ TDI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ tdpipe.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ tdtcp.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ service term]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ vga.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ vgasave.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ WZCSVC]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {36FC9E60-C465-11CF-8056-444553540000}}
@ = "Contrôleurs Universal Serial Bus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de CD-ROM"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Contrôleur de disquette standard"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Clavier"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Souris"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E972-E325-11CE-BFC1-08002BE10318}]
@ = "Net"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E973-E325-11CE-BFC1-08002BE10318}]
@ = "NetClient"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E974-E325-11CE-BFC1-08002BE10318}]
@ = "NetService"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E975-E325-11CE-BFC1-08002BE10318}]
@ = "NetTrans"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "Adaptateurs PCMCIA"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "Système"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de disquette"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volume"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Périphériques d'interface humaine"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]
"Paquets d'authentification" = hex (7): 6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,00, \
00


restore_hidden.reg
Éditeur du Registre Windows Version 5.00

[HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden]
"Texte" = "@ shell32.dll, -30499"
"Type" = "groupe"
"Bitmap" = hex (2): 25,00,53,00,79,00,73,00,74,00,65,00,6d, 00,52,00,6f, 00,6f, 00,74 , \
00.25.00.5c, 00.73.00.79.00.73,00.74.00.65.00.6d, 00.33.00,32.00.5c, 00.53.00, \
48.00.45.00.4c, 00.4c, 00.33.00, 32.00.2e, 00.64.00.6c, 00.6c, 00.2c, 00.34.00,00, \
00
"HelpID" = "shell.hlp # 51131"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorateur \ Advanced \ Folder \ Hidden \ NOHIDDEN]
"RegPath" = "Logiciel \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ Avancé"
"Texte" = "@ shell32.dll, -30501"
"Type" = "radio"
"CheckedValue" = dword: 00000002
"ValueName" = "Caché"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HelpID" = "shell.hlp # 51104"

[HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL]
"RegPath" = "Logiciel \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ Avancé"
"Texte" = "@ shell32.dll, -30500"
"Type" = "radio"
"CheckedValue" = dword: 00000001
"ValueName" = "Caché"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HelpID" = "shell.hlp # 51105"


restore_regedit.reg
Éditeur du Registre Windows Version 5.00

[HKEY_CURRENT_USER \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableRegistryTools" = dword: 0


restore_taskmgr.reg
Éditeur du Registre Windows Version 5.00

[HKEY_CURRENT_USER \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableTaskMgr" = dword: 0