This page has been robot translated, sorry for typos if any. Original content here.

Wie man Viren behandelt, die universelle Anweisung

Auf der Seite:




Wie man Viren behandelt, die universelle Anweisung

1. Trennen Sie den Computer vom Netzwerk ( manchmal die Software löscht das Netzwerk nicht - ziehen Sie die Ethernet-Kabel heraus )

2. Mit Autoruns & Process Explorer entfernen Sie unnötige Prozesse aus dem Speicher + jeder Müll von autorun
(Entfernen Sie einfach die Dohlen von irgendetwas anderem als userinit, exploer, ctfmon )
Http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Nicht neu starten! Schalten Sie das Wiederherstellungssystem (wenn es deaktiviert wurde) nur auf der Systempartition . Manuell erstellen Sie einen Rollback-Punkt - es ist wichtig für uns, die Registrierung zu halten

4. Führen Sie AVZ -> Datei -> Systemwiederherstellung -> wählen Sie die Elemente 1-4, 6, 8-13, 16-17 aus. Wir führen. Nicht neu starten.

5. Download, brennen zu einem leeren WinPEmini, boot aus dem kompakten
(Wenn die SATA-Schraube - entweder AHCI deaktivieren oder Alkid liveCD verwenden)

6. Auf allen Festplatten reinigen Sie alle Rollback-Punkte ( System Volume Information ) außer 2-3 letzten

7. Manuelles Reinigen des Tempos (Ordner für temporäre Dateien)
% Temp%
C: \ Dokumente und Einstellung \ account_name \ Lokale Einstellungen \ Temp und Temporäre Internetdateien

8. Von unter WinPEmini führen Sie einen vollständigen Scan von CureIt's http://www.freedrweb.com/cureit/?lng=en
(!) Cunning = ekzeshnik launch.exe musst du in einen separaten Ordner entpacken und _start.exe ausführen

9. es ist wichtig !!! Am Ende des Scans, nicht eilen, um neu zu starten!
Sie müssen auf die Liste der entfernt ekzeshnikov und dlok aus dem Ordner Windows & Windows \ system32 schreiben
(Falls sie beschädigt waren / infizierte Systemdateien und Cureit abgerissen - Windows wird nicht booten)

10. Vergleichen Sie die Liste der gelöschten mit dllcache. Wenn nötig - nur aus der liveSD aus dem Cache im System32

11. Nach dem Strippen versuchen wir, in "Safe Mode"

    - wenn gebootet, laufe TrojanRemover ttp: //www.simplysup.com/tremover/download.html
    Um die Restwirkung von Trojanern zu neutralisieren
    (!) Wenn es auf userinit schwört - ausschließen (fügen Sie der Ausnahme hinzu)

    - Wenn Sie nicht booten, denken Sie daran so etwas wie ERDCommander (Anhebung von Windows ist bereits ein separates Thema, wenn ich die Zeit finde - ich werde es unterschreiben)

12. Wir sind in den normalen Modus geladen und wir zerstören die durchbohrte Verteidigung, wir schauen den Euventologen, wir setzen Flecken
(Siehe unten den 2. Beitrag in diesem Thread)



Reinige die Registrierung


Wenn nach der Behandlung die Achse geladen ist, aber die Taskleiste nicht geladen ist und nur der Hintergrund des Desktops sichtbar ist ...

Ctrl + Alt + Del (Strg + Umschalt + Esc) -> Neue Aufgabe (Ausführen) -> regedit ->
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Bilddatei Ausführungsoptionen \

In diesem Abschnitt suchen wir nach dem explorer.exe hive, wähle es aus, im rechten Teil des Fensters gibt es eine Option
Debugger (C: \ Programme \ Microsoft \ Common \ wuauclt.exe)
Entfernen Sie diesen Parameter, schließen Sie regedit, starten Sie den Task-Manager neu und starten Sie Explorer

Darüber hinaus nach dem Strippen oder in den Prozess (wenn der Scan aus dem Live-SD aus den gleichen Gründen nicht möglich ist)
Ich rate Ihnen, die folgenden Registry Nesselsucht zu beachten:

Von unter alkid leben cd überprüfen die Registry Nesselsucht, die verantwortlich für Shell und Startup sind

HKEY_LOCAL_MASHINE \ Software \ Microsoft \ Windows NT \ Aktuelle Version \ Image File Execution Optionen
- suche nach "daddy" mit dem Namen explorer.exe , wähle es aus, im rechten Teil des Fensters gibt es einen Schlüssel "Debugging-Optionen" oder "Debug" -> wähle ihn aus oder drücke Del

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
* Shell sollte nur Explorer.exe ohne Präfixe und Add-Ins wie csrsc, etc. sein.

Darüber hinaus wurde in dem Prozess des Aufwärmens der nächsten Firma eine mutierte Version des Autors gefunden, die anstelle eines Unsinns in einem anderen Registrierungsschlüssel vorschrieb
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogo2
Wenn eine solche Partition (ich meine "Win2") existiert - finden Sie dort den Shell- Parameter und stellen Sie sicher, dass es gleich ist explorer.exe

Auch in den Büschen prüfen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Pokolduy mit dem Register:

1. Kopiere das aktuelle Registry in einen separaten Ordner
( C: \ Windows \ system32 \ config
Dateien ohne Verlängerung
Default
Sam
Sicherheit
Software
System )

2. ersetzen Sie die aktuelle Registry so, dass es sich im Ordner befindet
C: \ Windows \ Repair
- boot nackt Windows (!), Dies ist die Registrierung zum Zeitpunkt der Installation
Tu es Sfc / scannow
Um Systemdateien wiederherzustellen, dann von unter Live-CD
Wieder die Arbeitsregistrierung zurück und versuche zu laden


Nach der Reinigung wird empfohlen



- Start -> Run -> sfc / scannow
- CCleaner http://www.ccleaner.com/download/builds/downloading-slim
- Datensicherung
- Opera / FireFox anstatt IE
- Abschaltung des Autors (aktuell für Blitze)
- gesunder Menschenverstand, d.h. Verwenden Sie die neueste Version des Antivirus und aktualisieren Sie es


(!) Rechtzeitig nicht auf Standorte aus der Risikogruppe klettern



Teil zwei :) Das letzte


1. eins nach dem anderen, um das Auto aus dem Netz zu trennen ( physisch zieht die ezernetovsky Spitze )
2 Autoruns & Prozess-Explorer - entferne unnötig aus dem RAM und autoload ( so dass später nicht schwören )
3 AVZ -> Datei -> Systemwiederherstellung -> Auswahl von Elementen 1-4, 6, 8-13, 16-17
4. Unter der LiveCD geladen ( Mini XP / WinPE mini ) Und wedelte das Tempo + Kickbacks, nach einem vollständigen Scan CureIt `Ohm
(!) Es gibt eine kleine Funktion - um Cureit zu laufen, die du brauchst deine ekzeshnik ( launch.exe )
Entpacken Sie zu einem separaten Ordner und starten Sie von diesem Ordner _start.exe
5. Dann in SafeMode laufen KidoKiller , Nachher TrojanRemover
6. wird in die normale, casper demolish nafig, setzen Patches von Kido ( Links siehe unten )
7. falls nötig - zusätzlich das Profilieren des Systems Hijack Dies
8. Überprüfen Sie, ob die Windows-Dienste ordnungsgemäß funktionieren ( Services.msc) Und ob es Fehler im Euventologen gibt ( Eventvwr.msc )
9. Setzen Sie ein normales Antivirus. Wenn das Internet nicht durch den Server / Gateway geht - auch die Firewall
( EAV v 4.0.417 + Outpost 2009 oder ESS )
10. (!) Erst nach der Ausführung der führenden Artikel kann der Rechner in das Netzwerk / Inet gebracht werden
11. Wenn es Probleme mit dem TCP / IP-Stack gibt - WinsockXPFix
12. (!) Die Hände von denen, die IE verwenden, zurückzuweisen und den Autorun von Flash- und Netzlaufwerken zu deaktivieren
13 Töte den admin, der die wütenden virai erlaubt hat

REG-Dateien nur für den Fall


"Drücken Sie einmal, um den Spoiler zu zeigen - klicken Sie erneut, um sich zu verstecken ..."
Autostart deaktivieren
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policy \ Explorer]
"NoDriveTypeAutoRun" = dword: 000000ff

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Cdrom]
"AutoRun" = dword: 00000000


Restore_safe_mod.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot]
"AlternateShell" = "cmd.exe"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Base]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot Bus Extender]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Boot Dateisystem]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmboot.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmio.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmload.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Dateisystem]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Filter]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PCI-Konfiguration]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ PNP Filter]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ Primärer Datenträger]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ SCSI-Klasse]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ sermouse.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ sr.sys]
@ = "FSFilter System Recovery"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ SRService]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ System Bus Extender]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ vga.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ vgasave.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {36FC9E60-C465-11CF-8056-444553540000}]
@ = "Universal Serial Bus Controller"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "CD-ROM-Laufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Standard-Diskettenlaufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Tastatur"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Maus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "PCMCIA Adapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "System"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Diskettenlaufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volumen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Menschliche Schnittstellen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk]

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ AFD]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ AppMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Basis]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Boot Bus Extender]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Boot-Dateisystem]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Browser]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ CryptSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ DcomLaunch]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Dhcp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ dmadmin]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ dmboot.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ dmio.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ dmload.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ dmserver]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ DnsCache]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ EventLog]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Dateisystem]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Filter]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ HelpSvc]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ ip6fw.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ ipnat.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ LanmanServer]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ LanmanWorkstation]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ LmHosts]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Messenger]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NDIS]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NDIS Wrapper]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Ndisuio]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetBIOS]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetBIOSGroup]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetBT]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetDDEGruppe]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Netlogon]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetMan]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Netzwerk]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NetworkProvider]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ nm]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ nm.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ NtLmSsp]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PCI-Konfiguration]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PlugPlay]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PNP Filter]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ PNP_TDI]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Primärer Datenträger]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ rdpcdd.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ rdpdd.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ rdpwd.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ rdsessmgr]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ RpcSs]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ SCSI-Klasse]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ sermouse.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ SharedAccess]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ sr.sys]
@ = "FSFilter System Recovery"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ SRService]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Streams-Treiber]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ System Bus Extender]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ Tcpip]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ TDI]
@ = "Driver Group"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ tdpipe.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ tdtcp.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ termervice]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ vga.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ vgasave.sys]
@ = "Fahrer"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ WinMgmt]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ WZCSVC]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {36FC9E60-C465-11CF-8056-444553540000}]
@ = "Universal Serial Bus Controller"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E965-E325-11CE-BFC1-08002BE10318}]
@ = "CD-ROM-Laufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E967-E325-11CE-BFC1-08002BE10318}]
@ = "DiskDrive"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E969-E325-11CE-BFC1-08002BE10318}]
@ = "Standard-Diskettenlaufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E96A-E325-11CE-BFC1-08002BE10318}]
@ = "Hdc"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E96B-E325-11CE-BFC1-08002BE10318}]
@ = "Tastatur"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E96F-E325-11CE-BFC1-08002BE10318}]
@ = "Maus"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E972-E325-11CE-BFC1-08002BE10318}]
@ = "Net"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E973-E325-11CE-BFC1-08002BE10318}]
@ = "NetClient"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E974-E325-11CE-BFC1-08002BE10318}]
@ = "NetService"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E975-E325-11CE-BFC1-08002BE10318}]
@ = "NetTrans"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E977-E325-11CE-BFC1-08002BE10318}]
@ = "PCMCIA Adapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E97B-E325-11CE-BFC1-08002BE10318}]
@ = "SCSIAdapter"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E97D-E325-11CE-BFC1-08002BE10318}]
@ = "System"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {4D36E980-E325-11CE-BFC1-08002BE10318}]
@ = "Diskettenlaufwerk"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@ = "Volumen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Netzwerk \ {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@ = "Menschliche Schnittstellen"

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]
"Authentifizierungspakete" = hex (7): 6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,00, \
00


Restore_hidden.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \ Ordner \ Hidden]
"Text" = "@ shell32.dll, -30499"
"Typ" = "Gruppe"
"Bitmap" = Hex (2): 25.00.53,00.79,00.73,00.74,00.65,00.6d, 00.52.00.6f, 00.6f, 00.74 , \
00.25.00.5c, 00.73.00.79.00.73,00.74,00.65.00.6d, 00.33,00.32,00.5c, 00.53.00, \
48.00.45.00.4c, 00.4c, 00.33.00, 32.00.2e, 00.64.00.6c, 00.6c, 00.2c, 00.34.00,00, \
00
"HelpID" = "shell.hlp # 51131"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \ Ordner \ Hidden \ NOHIDDEN]
"RegPath" = "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ Erweitert"
"Text" = "@ shell32.dll, -30501"
"Typ" = "Radio"
"CheckedValue" = dword: 00000002
"ValueName" = "Hidden"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HelpID" = "shell.hlp # 51104"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Erweitert \ Ordner \ Hidden \ SHOWALL]
"RegPath" = "Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Explorer \\ Erweitert"
"Text" = "@ shell32.dll, -30500"
"Typ" = "Radio"
"CheckedValue" = dword: 00000001
"ValueName" = "Hidden"
"DefaultValue" = dword: 00000002
"HKeyRoot" = dword: 80000001
"HelpID" = "shell.hlp # 51105"


Restore_regedit.reg
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableRegistryTools" = dword: 0


Restore_taskmgr.reg
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
"DisableTaskMgr" = dword: 0