This page has been robot translated, sorry for typos if any. Original content here.

Wie man Viren behandelt, allgemeine Anweisungen

Auf der Seite:




Wie man Viren behandelt, allgemeine Anweisungen

1. Trennen Sie den Computer vom Netzwerk ( manchmal löscht die Software das Netzwerk nicht - ziehen Sie die Ethernet-Kabel heraus )

2. Verwenden Sie Autoruns & Process Explorer , um unnötige Prozesse aus dem Speicher zu entfernen + jeglichen Müll von Autorun
(entferne einfach die Dohlen von etwas anderem als userinit, explorer, ctfmon )
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Nicht neu starten! Schalten Sie das Wiederherstellungssystem (wenn es deaktiviert wurde) nur auf der Systempartition ein . Erstellen Sie manuell einen Rollback-Punkt - es ist wichtig für uns, die Registrierung zu behalten

4. Starten Sie AVZ -> Datei -> Systemwiederherstellung -> wählen Sie die Einträge 1-4, 6, 8-13, 16-17. wir führen durch. Starten Sie nicht neu.

5. Laden Sie herunter, brennen Sie auf das leere WinPEmini, booten Sie aus dem kompakten
(Wenn die SATA-Schraube - entweder AHCI deaktivieren oder Alkid LiveCD verwenden)

6. Auf allen Festplatten bereinigen Sie alle Rollback-Punkte ( System Volume Information ) mit Ausnahme von 2-3 letzten

7. Reinigen Sie das Tempo manuell (Ordner für temporäre Dateien)
% temp%
C: \ Dokumente und Einstellung \ account_name \ Lokale Einstellungen \ Temporäre und temporäre Internetdateien

8. Führen Sie unter WinPEmini einen vollständigen Scan von CureIt`om http://www.freedrweb.com/cureit/?lng=de aus
(!) cunning = ekzeshnik launch.exe müssen Sie in einen separaten Ordner entpacken und _start.exe ausführen

9. Es ist wichtig !!! Am Ende des Scans, eilen Sie nicht zum Neustart!
Sie müssen in die Liste der gelöschten ekzeshniki und dlokok aus dem Ordner Windows & Windows \ system32 schreiben
(für den Fall, dass sie beschädigt / infizierte Systemdateien sind und cureit sie zerstört haben - Windows wird nicht booten)

10. Vergleichen Sie die Liste der gelöschten mit Dllcache. bei Bedarf - sofort von der LiveSD aus dem Cache in System32

11. Nach dem Strippen versuchen wir im "abgesicherten Modus" zu laden

    - Wenn gestartet, starte TrojanRemover ttp: //www.simplysup.com/tremover/download.html
    Um die Restwirkung von Trojanern zu neutralisieren
    (!) wenn es auf userinit schwört - ausschließen (zur Ausnahme hinzufügen)

    - Wenn Sie nicht booten, erinnern Sie sich an etwas wie ERDCommander (Windows zu heben ist bereits ein separates Thema, wenn ich die Zeit finde - ich werde es unterschreiben)

12. Wir sind im üblichen Modus geladen und wir reißen die durchbohrte Verteidigung ab, wir schauen den euventologist an, wir setzen Flecken
(siehe unten den 2. Beitrag in diesem Thread)



Säubern Sie die Registrierung


Wenn nach der Behandlung die Achse geladen ist, aber die Taskleiste nicht geladen ist und nur der Hintergrund des Desktops sichtbar ist ...

Strg + Alt + Entf (Strg + Umschalt + Esc) -> neue Aufgabe (Ausführen) -> Regedit ->
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Ausführungsoptionen der Abbilddatei \

In diesem Abschnitt suchen wir nach der explorer.exe- Struktur, wählen sie aus, im rechten Teil des Fensters gibt es eine Option
Debugger (C: \ Programme \ Microsoft \ Common \ wuauclt.exe)
entferne diesen Parameter, schließe regedit, starte den Taskmanager neu und starte den Explorer

zusätzlich nach dem strippen oder im Prozess (wenn der Scan aus dem liveSD aus diesen Gründen nicht möglich ist)
Ich rate Ihnen, auf die folgenden Registrierungsstrukturen zu achten:

Unter Alkid Live-CD überprüfen Sie die Registrierungsstrukturen, die für Shell und Start verantwortlich sind

HKEY_LOCAL_MASHINE \ Software \ Microsoft \ Windows NT \ Aktuelle Version \ Image-Datei Ausführungsoptionen
- suche nach "daddy" mit dem Namen explorer.exe , wähle es aus, im rechten Teil des Fensters gibt es einen Schlüssel "Debugging Optionen" oder "Debug" -> wähle es aus oder drücke Entf

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
* Shell sollte nur Explorer.exe ohne Präfixe und Add-Ins wie csrsc usw. sein

Außerdem wurde im Zuge des Aufwachsens der nächsten Firma eine Mutantenversion des Autors gefunden, die anstelle eines Unsinns in einem anderen Registrierungsschlüssel verordnete
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogo2
Wenn eine solche Partition existiert (ich meine "Win2") - finde dort den Shell- Parameter und stelle sicher, dass er explorer.exe entspricht

Überprüfen Sie auch Einträge in den Büschen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Ausführen
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Ausführen

pokolduy mit der Registrierung:

1. Kopieren Sie die aktuelle Registrierung
( C: \ Windows \ system32 \ config
Dateien ohne Erweiterung
Standard
Sam
Sicherheit
Software
System )

2. Ersetzen Sie die aktuelle Registrierung, sodass sie sich im Ordner befindet
C: \ Windows \ Reparieren
- Boot nackt Windows (!), das ist die Registrierung zum Zeitpunkt der Installation
mach es sfc / scannow
Systemdateien wiederherstellen, dann von unter Live-SD
Geben Sie die Arbeitsregistrierung erneut zurück, und versuchen Sie zu laden


Nach der Reinigung wird empfohlen



- Start -> Ausführen -> sfc / scannow
- CCleaner http://www.ccleaner.com/download/builds/downloading-slim
- Datensicherung
- Opera / FireFox statt IE
- Trennung des Autors (aktuell für Blitze)
- gesunder Menschenverstand, d.h. Verwenden Sie die neueste Version des Virenschutzprogramms und aktualisieren Sie es


(!) nicht rechtzeitig aus der Risikogruppe klettern



Teil zwei :) Das Finale


1. nacheinander die Schubkarren vom Netzwerk trennen (die Spitze des EZetzers herausziehen )
2. Autoruns & Prozess-Explorer - Entfernen Sie unnötige aus dem RAM und Autoload ( so dass später nicht geschworen )
3. AVZ -> Datei -> Systemwiederherstellung -> wählen Sie die Punkte 1-4, 6, 8-13, 16-17
4. Geladen von unter der LiveCD ( Mini XP / WinPE Mini ) und wackeln das Tempo + Kickbacks, nach einem vollständigen Scan Heilung `ohm
(!) Es gibt ein kleines Feature - zum Ausführen von Cureit brauchst du sein ekzeshnik ( launch.exe )
Entpacken Sie in einen separaten Ordner und starten Sie von diesem Ordner _start.exe
5. Dann im SafeMode ausführen KidoKiller , danach TrojanRemover
6. wird in der normalen booten, Casper demolieren nafig, Patches von Kido setzen ( siehe Links unten )
7. wenn nötig - zusätzlich Profilierung des Systems Hijack dies
8. Überprüfen Sie, ob die Windows-Dienste ordnungsgemäß funktionieren ( services.msc) und ob es Fehler im euventologist gibt ( eventvwr.msc )
9. Legen Sie ein normales Antivirenprogramm an. Wenn das Internet nicht über den Server / das Gateway läuft - setzen Sie auch die Firewall
( EAV v 4.0.417 + Außenposten 2009 oder ESS )
10. (!) Erst nach der Ausführung der führenden Elemente kann der Computer in das Netzwerk / inet gesetzt werden
11. Wenn es Probleme mit dem TCP / IP-Stack gibt - WinsockXPFix
12. (!) Repulse die Hände derjenigen, die IE benutzen und deaktiviere Autorun von Flash- und Netzwerklaufwerken
13 . Töte den Admin, der dem grassierenden Virai erlaubt hat

REG-Dateien nur für den Fall


"Drücken Sie einmal, um den Spoiler anzuzeigen - klicken Sie erneut, um zu verbergen ..."
Deaktivieren Sie Autorun
Windows Registrierungseditor Version 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ Explorer]
"NoDriveTypeAutoRun" = dword: 000000ff

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Cdrom]
"AutoRun" = dword: 00000000


Wiederherstellung_safe_mod.reg
Windows Registrierungseditor Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot]
"AlternateShell" = "cmd.exe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ Base]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot Bus Extender]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot-Dateisystem]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ dmboot.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmio.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmload.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ Dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Dateisystem]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Filter]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PCI-Konfiguration]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PNP-Filter]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Primäre Festplatte]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ SCSI-Klasse]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ sermouse.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ sr.sys]
@ = "FSFilter Systemwiederherstellung"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ SRService]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ System Bus Extender]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ vga.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ vgasave.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {36FC9E60-C465-11CF-8056-444553540000}]
@ = "Universal Serial Bus Controller"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "CD-ROM Laufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Standard-Disketten-Controller"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Tastatur"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Maus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "PCMCIA-Adapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "System"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Diskettenlaufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volumen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Minimal \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Mensch-Maschine-Schnittstellen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ AFD]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Base]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Boot Bus Extender]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Boot-Dateisystem]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Browser]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Dhcp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ dmboot.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ dmio.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ dmload.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ DnsCache]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Dateisystem]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Filter]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ ip6fw.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ ipnat.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ LanmanServer]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ LanmanWorkstation]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ LmHosts]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Messenger]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ NDIS]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ NDIS Wrapper]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Ndisuio]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ NetBIOS]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetBIOSGroup]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ NetBT]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetDDEGroup]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ NetMan]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Netzwerk]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetworkProvider]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ nm]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ nm.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NtLmSsp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PCI-Konfiguration]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PNP-Filter]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ PNP_TDI]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Primary disk]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ rdpcdd.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ rdpdd.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ rdpwd.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ rdsessmgr]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ SCSI-Klasse]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ sermouse.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ SharedAccess]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ sr.sys]
@ = "FSFilter Systemwiederherstellung"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ SRService]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Streams Treiber]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ System Bus Extender]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ Tcpip]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ TDI]
@ = "Fahrergruppe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ tdpipe.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ tdtcp.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ termervice]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ vga.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ vgasave.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ WZCSVC]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {36FC9E60-C465-11CF-8056-444553540000}]
@ = "Universal Serial Bus Controller"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "CD-ROM Laufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Standard-Disketten-Controller"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Tastatur"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Maus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E972-E325-11CE-BFC1-08002BE10318}]
@ = "Netto"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E973-E325-11CE-BFC1-08002BE10318}]
@ = "NetClient"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E974-E325-11CE-BFC1-08002BE10318}]
@ = "NetService"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E975-E325-11CE-BFC1-08002BE10318}]
@ = "NetTrans"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "PCMCIA-Adapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "System"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Diskettenlaufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volumen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Steuerung \ SafeBoot \ Network \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Mensch-Maschine-Schnittstellen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]
"Authentifizierungspakete" = hex (7): 6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,00, \
00


restore_hidden.reg
Windows Registrierungseditor Version 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \ Ordner \ Versteckt]
"Text" = "@ shell32.dll, -30499"
"Typ" = "Gruppe"
"Bitmap" = hex (2): 25,00,53,00,79,00,73,00,74,00,65,00,6d, 00,52,00,6f, 00,6f, 00,74 \
00.25.00.5c, 00.73.00.79.00.73.00.74.00.65.00.6d, 00.33.00.32.00.5c, 00.53.00, \
48.00.45.00.4c, 00.4c, 00.33.00, 32.00.2e, 00.64.00.6c, 00.6c, 00.2c, 00.34.00,00, \
00
"HilfeID" = "shell.hlp # 51131"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ AktuelleVersion \ Explorer \ Advanced \ Folder \ Hidden \ NOHIDDEN]
"RegPath" = "Software \\ Microsoft \ Windows \ CurrentVersion \\ Explorer \\ Advanced"
"Text" = "@ shell32.dll, -30501"
"Typ" = "Radio"
"CheckedValue" = dword: 00000002
"ValueName" = "Versteckt"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HilfeID" = "shell.hlp # 51104"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \ Ordner \ Versteckt \ SHOWALL]
"RegPath" = "Software \\ Microsoft \ Windows \ CurrentVersion \\ Explorer \\ Advanced"
"Text" = "@ shell32.dll, -30500"
"Typ" = "Radio"
"CheckedValue" = dword: 00000001
"ValueName" = "Versteckt"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HilfeID" = "shell.hlp # 51105"


Wiederherstellung_reded.reg
Windows Registrierungseditor Version 5.00

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ System]
"DisableRegistryTools" = dword: 0


Wiederherstellung_taskmgr.reg
Windows Registrierungseditor Version 5.00

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Richtlinien \ System]
"DisableTaskMgr" = dword: 0