This page has been robot translated, sorry for typos if any. Original content here.

Win32.Sector (WIN32.Sality)



Win32.Sector (WIN32.Sality) - virus de fichier, infecte les services du système exe-niki, le téléchargement automatique et les programmes, que l'utilisateur utilise souvent)


Les symptômes de Win32.Sector (WIN32.Sality)
1. le gestionnaire de tâches " taskmgr.exe " et l'éditeur de registre regedit sont bloqués
( lorsque vous essayez de courir - la fenêtre est supprimée par le sysadmin )
2. Le virus génère un trafic frénétique ( il y a un échange constant de paquets avec le réseau )
3. ( ! ) Lorsque vous essayez de déconnecter la connexion réseau par programme - le système redémarre / bluescreen
4. ( ! ) En essayant de démarrer en "mode sans échec" - bluescreen
5. Tous les logiciels sauf antivirus fonctionnent correctement,
6. ( ! ) Lorsque vous essayez d'exécuter un antivirus - ils ont immédiatement fermé
7. l'accès aux sites des sociétés antivirus est bloqué
8. Si c'est le 28682e secteur, tous les pilotes de périphériques sont décollés au démarrage du système ( dans le Device Dispatch en face du matériel - points d'exclamation jaunes: "le pilote est pokotsan et ne peut pas être chargé dans la RAM ..."). réseau, pas yusb, résolution 800x600, 8 bits )


outils pour le traitement de Win32.Sector (WIN32.Sality)

- WinPE sur CD / USB ( vous devez vérifier tous les fichiers sous un autre système )
- Dr.Web CureIt est requis avec les bases de données actuelles (read: fresh )
- Trojan Remover (d' abord nous traitons ekzeshniki Web infecté, puis nous obtenons le solvant )
- Fichiers AVZ ou reg ( nécessaires pour supprimer les stratégies de blocage )
- un disque d'installation avec une distribution de système d'exploitation ( nécessaire pour vérifier l'intégrité des fichiers du système )


instruction de traitement Win32.Sector (WIN32.Sality)
1. il est nécessaire de retirer le câble réseau de l'ordinateur dès que possible
( parce que lorsque vous essayez de déconnecter le réseau par programmation via "Connexions réseau" le virus va redémarrer le système d'exploitation ")

2. installez Unlocker et Process Explorer, exécutez Process Explorer et fake 5-7 morceaux de cmd

3. nous donnons accès à l'utilisateur actuel aux dossiers SystemVolumeInformation, déverrouillez-les avec Unlocker et wiggle

4. Nous nettoyons le tempo de l'utilisateur ( Démarrer -> Exécuter ->% temp% [Entrée] )

5. Nettoyez le dossier des fichiers temporaires IE ( C: \ Documents and Settings \ nom du compte \ Local Settings \ Temporary Internet Files )

6. redémarrez, démarrez depuis LivePE et démarrez CureIT
(vous avez besoin d'une analyse complète de tous les fichiers.) La plupart d'entre eux sont des fichiers d'exécution, le programme sera guéri par l'antivirus)

7. Après le traitement - nous chargeons en mode normal (le dosyx sécurisé est bloqué par les touches "gauche" dans le registre ) et sont vérifiés par Trojan Remover`s

8. faire une analyse des fichiers Windows pour l'intégrité ( Démarrer -> Exécuter -> sfc / scannow )
* Il est inoubliable de nourrir le CD avec le CD

9. Après cela, redémarrez le système, nettoyez le dépôt ( CCleaner / RegOrganizer / head + regedit )

10. Nous utilisons des réglages du registre pour éliminer les effets «secondaires» du virus:

restore_taskmgr.reg
Éditeur du Registre Windows Version 5.00

[HKEY_CURRENT_USER \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableTaskMgr" = dword: 0


restore_regedit.reg
Éditeur du Registre Windows Version 5.00

[HKEY_CURRENT_USER \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableRegistryTools" = dword: 0


restore_hidden.reg
Éditeur du Registre Windows Version 5.00

[HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden]
"Texte" = "@ shell32.dll, -30499"
"Type" = "groupe"
"Bitmap" = hex (2): 25,00,53,00,79,00,73,00,74,00,65,00,6d, 00,52,00,6f, 00,6f, 00,74 , \
00.25.00.5c, 00.73.00.79.00.73,00.74.00.65.00.6d, 00.33.00,32.00.5c, 00.53.00, \
48.00.45.00.4c, 00.4c, 00.33.00, 32.00.2e, 00.64.00.6c, 00.6c, 00.2c, 00.34.00,00, \
00
"HelpID" = "shell.hlp # 51131"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorateur \ Advanced \ Folder \ Hidden \ NOHIDDEN]
"RegPath" = "Logiciel \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ Avancé"
"Texte" = "@ shell32.dll, -30501"
"Type" = "radio"
"CheckedValue" = dword: 00000002
"ValueName" = "Caché"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HelpID" = "shell.hlp # 51104"

[HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL]
"RegPath" = "Logiciel \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ Avancé"
"Texte" = "@ shell32.dll, -30500"
"Type" = "radio"
"CheckedValue" = dword: 00000001
"ValueName" = "Caché"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HelpID" = "shell.hlp # 51105"


restore_safe_mod.reg
  Éditeur du Registre Windows Version 5.00 

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot]
"AlternateShell" = "cmd.exe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Base]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Extendeur de bus de démarrage]
@ = "Groupe de pilotes"

[Système de fichiers HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmboot.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmio.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmload.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Système de fichiers]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Filtre]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Configuration PCI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Filtre PNP]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Disque principal]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Classe SCSI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ sermouse.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ sr.sys]
@ = "Récupération du système FSFilter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ SRService]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ Extendeur de bus système]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ vga.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ vgasave.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {36FC9E60-C465-11CF-8056-444553540000}}
@ = "Contrôleurs Universal Serial Bus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de CD-ROM"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Contrôleur de disquette standard"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Clavier"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Souris"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "Adaptateurs PCMCIA"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "Système"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de disquette"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volume"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Minimal \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Périphériques d'interface humaine"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ AFD]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Base]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Extension de bus de démarrage]
@ = "Groupe de pilotes"

[Système de fichiers HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Boot]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Navigateur]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Dhcp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmboot.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ dmio.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmload.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ DnsCache]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Système de fichiers]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Filtre]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ ip6fw.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ ipnat.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ LanmanServer]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ LanmanWorkstation]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ LmHosts]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Messenger]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ NDIS]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NDIS Wrapper]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Ndisuio]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetBIOS]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetBIOSGroup]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetBT]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetDDEGroup]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetMan]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ Réseau]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NetworkProvider]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ nm]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ nm.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ NtLmSsp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Configuration PCI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Filtre PNP]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ PNP_TDI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Disque principal]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdpcdd.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdpdd.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdpwd.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ rdsessmgr]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Classe SCSI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ sermouse.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ SharedAccess]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ sr.sys]
@ = "Récupération du système FSFilter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ SRService]
@ = "Service"

[Pilotes HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \ Streams]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Extension de bus système]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ Tcpip]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ TDI]
@ = "Groupe de pilotes"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ tdpipe.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ tdtcp.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ service term]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ vga.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Réseau \ vgasave.sys]
@ = "Pilote"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ WZCSVC]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {36FC9E60-C465-11CF-8056-444553540000}}
@ = "Contrôleurs Universal Serial Bus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de CD-ROM"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Contrôleur de disquette standard"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Clavier"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Souris"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E972-E325-11CE-BFC1-08002BE10318}]
@ = "Net"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E973-E325-11CE-BFC1-08002BE10318}]
@ = "NetClient"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E974-E325-11CE-BFC1-08002BE10318}]
@ = "NetService"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E975-E325-11CE-BFC1-08002BE10318}]
@ = "NetTrans"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "Adaptateurs PCMCIA"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "Système"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Lecteur de disquette"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volume"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Contrôle \ SafeBoot \ Réseau \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Périphériques d'interface humaine"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]
"Paquets d'authentification" = hex (7): 6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,00, \
00

11. bloquer la protection normale (antivirus avec les bases de données réelles + pare-feu + antispyware)