Winsnare
Fermé
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
-
Modifié par W_i_l_l_i_a_m13 le 25/02/2017 à 13:20
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 27 févr. 2017 à 18:55
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 27 févr. 2017 à 18:55
23 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
25 févr. 2017 à 13:38
25 févr. 2017 à 13:38
Bonjour,
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
32 ou 64 bits - Comment savoir ?
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Analyser.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
32 ou 64 bits - Comment savoir ?
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Analyser.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 13:53
25 févr. 2017 à 13:53
Merci pour la réponse rapide.
Les 2 fichiers:
https://pjjoint.malekal.com/files.php?id=FRST_20170225_c14v9z13e10h9
https://pjjoint.malekal.com/files.php?id=20170225_w5w5p14q1314
Les 2 fichiers:
https://pjjoint.malekal.com/files.php?id=FRST_20170225_c14v9z13e10h9
https://pjjoint.malekal.com/files.php?id=20170225_w5w5p14q1314
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
Modifié par Destrio5 le 25/02/2017 à 15:49
Modifié par Destrio5 le 25/02/2017 à 15:49
Sur Firefox, je vois des extensions que je ne connais pas. Fais le tri si besoin (menu avec les trois petites barres horizontales en haut à droite > Modules > Extensions à gauche).
--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
ProxyServer: [S-1-5-21-4081654461-1685140569-4066838987-1000] => localhost:8080
Tcpip\..\Interfaces\{B3BAACCC-F652-4044-9154-68E02BC99EF4}: [DhcpNameServer] 192.168.100.1 192.168.100.1
Tcpip\..\Interfaces\{CBB8ECFA-ACA4-4393-9300-09FA705BFC0C}: [DhcpNameServer] 192.168.100.1 192.168.100.1
Tcpip\..\Interfaces\{D0CF4B44-0F94-48E3-A62D-7B86FBADD8F0}: [DhcpNameServer] 192.168.100.1 192.168.100.1
SearchScopes: HKU\S-1-5-21-4081654461-1685140569-4066838987-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
C:\Windows\SysWOW64\{DDEA91B5-1094-40AD-A935-100195032653}
C:\Users\will\AppData\Roaming\WinSnare
C:\Users\will\AppData\Roaming\WinSAPSvc
C:\Users\Public\Documents\temp.dat
C:\Windows\SysWOW64\{F2768F26-8044-45FD-A774-376F25536B0C}
C:\Windows\SysWOW64\{B2320469-0BFA-4EFF-82B8-14300FAAC4F9}
C:\Windows\SysWOW64\{C93CD0BD-EF9F-459F-BE75-72AEE22C8698}
C:\Program Files (x86)\Explorer
C:\Users\will\AppData\Local\Birdjob
C:\Program Files (x86)\Birdjob
C:\Windows\SysWOW64\{A2740F23-FE0F-41E4-A411-E7520BD3D5E1}
C:\Windows\SysWOW64\{90208752-E026-453E-8BC1-45BBCB74DBF2}
C:\Windows\SysWOW64\{44D23C40-A86D-45C3-9B10-D834A7AA43A1}
C:\Windows\SysWOW64\{E3B044D6-9A38-4535-AF21-C1250C5DFD1B}
C:\Program Files (x86)\metadata
C:\Windows\SysWOW64\{B3022830-FAAE-4CE0-9228-592C001EE69C}
C:\Windows\SysWOW64\{BEDA6A33-53B9-4BDB-AB0A-E94BDAE5340E}
C:\Windows\SysWOW64\{DBECB54A-880F-4DC9-BB71-513B3BE4AD67}
C:\Windows\SysWOW64\{CE36F927-6A57-496B-9338-6CFD07978636}
C:\Windows\SysWOW64\{3B9AD7F4-1237-44D5-B335-62741E9EC0D6}
C:\Windows\SysWOW64\{885448C2-79A6-4FDF-A3EF-9D2793AB772B}
C:\Windows\SysWOW64\{0637649E-0FEB-43AA-A784-7F90FCDFE0A1}
C:\Windows\SysWOW64\{758C2ADC-A16D-4EDB-A32F-C0AA24C847CB}
C:\ProgramData\mntemp
C:\Windows\SysWOW64\{69B74FB2-19E8-496F-825C-D1C370CD600D}
C:\Windows\SysWOW64\{0FD0D2F4-12B6-4B42-95B8-C361490AE5BF}
C:\Windows\SysWOW64\{9D25F4DE-8168-44E6-958B-24DB75FFB504}
C:\Windows\SysWOW64\{637B81AE-499C-4342-9B5A-DFA6B00C957E}
C:\Windows\SysWOW64\{34EFAF5F-A21A-4839-81AB-7590401DE309}
C:\Windows\SysWOW64\{EF57AADA-68B3-4C1B-9C0A-2C377D09392E}
C:\Windows\SysWOW64\{0DCD7F9D-22F0-4892-95CF-625E1E81B7E4}
C:\Program Files (x86)\8gfhpci5
C:\Program Files (x86)\Ljahernacult
C:\ProgramData\Avira
C:\ProgramData\Avg
Shortcut: C:\Users\will\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.)
c:\programdata\apple\apple application support
FirewallRules: [{F5A9C0A2-F9D4-459F-B0F6-7431047A70EA}] => C:\Program Files (x86)\Birdjob\Application\chrome.exe
C:\Program Files (x86)\AdBlock Master\AdBlockMasterMSIAfterburner.dll
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
Hosts:
RemoveProxy:
EmptyTemp:
end
--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Corriger. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
ProxyServer: [S-1-5-21-4081654461-1685140569-4066838987-1000] => localhost:8080
Tcpip\..\Interfaces\{B3BAACCC-F652-4044-9154-68E02BC99EF4}: [DhcpNameServer] 192.168.100.1 192.168.100.1
Tcpip\..\Interfaces\{CBB8ECFA-ACA4-4393-9300-09FA705BFC0C}: [DhcpNameServer] 192.168.100.1 192.168.100.1
Tcpip\..\Interfaces\{D0CF4B44-0F94-48E3-A62D-7B86FBADD8F0}: [DhcpNameServer] 192.168.100.1 192.168.100.1
SearchScopes: HKU\S-1-5-21-4081654461-1685140569-4066838987-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
C:\Windows\SysWOW64\{DDEA91B5-1094-40AD-A935-100195032653}
C:\Users\will\AppData\Roaming\WinSnare
C:\Users\will\AppData\Roaming\WinSAPSvc
C:\Users\Public\Documents\temp.dat
C:\Windows\SysWOW64\{F2768F26-8044-45FD-A774-376F25536B0C}
C:\Windows\SysWOW64\{B2320469-0BFA-4EFF-82B8-14300FAAC4F9}
C:\Windows\SysWOW64\{C93CD0BD-EF9F-459F-BE75-72AEE22C8698}
C:\Program Files (x86)\Explorer
C:\Users\will\AppData\Local\Birdjob
C:\Program Files (x86)\Birdjob
C:\Windows\SysWOW64\{A2740F23-FE0F-41E4-A411-E7520BD3D5E1}
C:\Windows\SysWOW64\{90208752-E026-453E-8BC1-45BBCB74DBF2}
C:\Windows\SysWOW64\{44D23C40-A86D-45C3-9B10-D834A7AA43A1}
C:\Windows\SysWOW64\{E3B044D6-9A38-4535-AF21-C1250C5DFD1B}
C:\Program Files (x86)\metadata
C:\Windows\SysWOW64\{B3022830-FAAE-4CE0-9228-592C001EE69C}
C:\Windows\SysWOW64\{BEDA6A33-53B9-4BDB-AB0A-E94BDAE5340E}
C:\Windows\SysWOW64\{DBECB54A-880F-4DC9-BB71-513B3BE4AD67}
C:\Windows\SysWOW64\{CE36F927-6A57-496B-9338-6CFD07978636}
C:\Windows\SysWOW64\{3B9AD7F4-1237-44D5-B335-62741E9EC0D6}
C:\Windows\SysWOW64\{885448C2-79A6-4FDF-A3EF-9D2793AB772B}
C:\Windows\SysWOW64\{0637649E-0FEB-43AA-A784-7F90FCDFE0A1}
C:\Windows\SysWOW64\{758C2ADC-A16D-4EDB-A32F-C0AA24C847CB}
C:\ProgramData\mntemp
C:\Windows\SysWOW64\{69B74FB2-19E8-496F-825C-D1C370CD600D}
C:\Windows\SysWOW64\{0FD0D2F4-12B6-4B42-95B8-C361490AE5BF}
C:\Windows\SysWOW64\{9D25F4DE-8168-44E6-958B-24DB75FFB504}
C:\Windows\SysWOW64\{637B81AE-499C-4342-9B5A-DFA6B00C957E}
C:\Windows\SysWOW64\{34EFAF5F-A21A-4839-81AB-7590401DE309}
C:\Windows\SysWOW64\{EF57AADA-68B3-4C1B-9C0A-2C377D09392E}
C:\Windows\SysWOW64\{0DCD7F9D-22F0-4892-95CF-625E1E81B7E4}
C:\Program Files (x86)\8gfhpci5
C:\Program Files (x86)\Ljahernacult
C:\ProgramData\Avira
C:\ProgramData\Avg
Shortcut: C:\Users\will\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.)
c:\programdata\apple\apple application support
FirewallRules: [{F5A9C0A2-F9D4-459F-B0F6-7431047A70EA}] => C:\Program Files (x86)\Birdjob\Application\chrome.exe
C:\Program Files (x86)\AdBlock Master\AdBlockMasterMSIAfterburner.dll
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
Hosts:
RemoveProxy:
EmptyTemp:
end
--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Corriger. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, accepte pour qu'il termine son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt remplacera le fichier fixlist.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 18:11
25 févr. 2017 à 18:11
Voilà le rapport:
https://pjjoint.malekal.com/files.php?id=20170225_o11g12t12g7p10
https://pjjoint.malekal.com/files.php?id=20170225_o11g12t12g7p10
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
25 févr. 2017 à 18:48
25 févr. 2017 à 18:48
As-tu encore des soucis ?
AdBlock Master est-il un logiciel voulu ?
AdBlock Master est-il un logiciel voulu ?
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
Modifié par W_i_l_l_i_a_m13 le 25/02/2017 à 19:10
Modifié par W_i_l_l_i_a_m13 le 25/02/2017 à 19:10
oui Adblock est voulu, je hais la Pub! :) Pourquoi? pas conseillé?
A priori ça fonctionne correctement, mis à part un redémarrage anormalement long. Mais je suis prudent, je mettrais résolu dans quelques jours parce qu'à chaque fois je nettoie en profondeur mais ça reviens ou bout d'un certain temps. Ceci dit, tout ça a du bon, au moins je purge un peu Windows.
On a beau savoir de ce méfier de certains téléchargements, parfois on ne fait pas gaffe, on fait les choses tellement rapidement et machinalement, qu'on arrive encore à ce faire avoir!!!
Quoi qu'il en soit un grand merci à toi, j'avais vraiment pas envie de faire un format' pour plus d'1To de données.
A priori ça fonctionne correctement, mis à part un redémarrage anormalement long. Mais je suis prudent, je mettrais résolu dans quelques jours parce qu'à chaque fois je nettoie en profondeur mais ça reviens ou bout d'un certain temps. Ceci dit, tout ça a du bon, au moins je purge un peu Windows.
On a beau savoir de ce méfier de certains téléchargements, parfois on ne fait pas gaffe, on fait les choses tellement rapidement et machinalement, qu'on arrive encore à ce faire avoir!!!
Quoi qu'il en soit un grand merci à toi, j'avais vraiment pas envie de faire un format' pour plus d'1To de données.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
25 févr. 2017 à 19:18
25 févr. 2017 à 19:18
Il existe plusieurs "AdBlock", je ne connaissais pas le tien.
J'ai oublié de te demander un nouveau rapport d'analyse FRST (et Addition).
J'ai oublié de te demander un nouveau rapport d'analyse FRST (et Addition).
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 19:21
25 févr. 2017 à 19:21
il est pas mal du tout, beaucoup plus performant que l'ancienne version.
Je refais une analyse de suite.
Je refais une analyse de suite.
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 19:26
25 févr. 2017 à 19:26
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
Modifié par Destrio5 le 25/02/2017 à 19:50
Modifié par Destrio5 le 25/02/2017 à 19:50
Il y a des éléments dans mon fixlist qui ne sont pas dans ton fixlog, pourquoi ? Tu as retiré des lignes ?
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 19:51
25 févr. 2017 à 19:51
non, rien fait du tout, j'ai suivi à la lettre tes instructions
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
25 févr. 2017 à 19:54
25 févr. 2017 à 19:54
Bizarre ^^
Je voudrais vérifier des valeurs sur une clé de registre :
--> Appuie sur les touches Windows et R en même temps pour afficher la fenêtre Exécuter, tape regedit et valide. L'éditeur du registre va s'ouvrir.
--> A gauche, navigue jusqu'à la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
--> Clique droit dessus, choisis Exporter et enregistre le fichier à un endroit que tu connais (le Bureau par exemple).
--> Ferme l'éditeur du registre.
--> Clique droit sur le fichier que tu as enregistré et choisis Modifier.
--> Le Bloc-notes s'ouvre avec le contenu de la clé.
--> Copie-le dans ta réponse.
Je voudrais vérifier des valeurs sur une clé de registre :
--> Appuie sur les touches Windows et R en même temps pour afficher la fenêtre Exécuter, tape regedit et valide. L'éditeur du registre va s'ouvrir.
--> A gauche, navigue jusqu'à la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
--> Clique droit dessus, choisis Exporter et enregistre le fichier à un endroit que tu connais (le Bureau par exemple).
--> Ferme l'éditeur du registre.
--> Clique droit sur le fichier que tu as enregistré et choisis Modifier.
--> Le Bloc-notes s'ouvre avec le contenu de la clé.
--> Copie-le dans ta réponse.
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 19:55
25 févr. 2017 à 19:55
par contre le copier/coller n'est pas possible en une seule fois sur ce site, j'ai du m'y reprendre à trois fois, j'ai fait attention de tout bien copier, mais peut-être que j'ai sauté une ligne, mais je ne crois pas.
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 20:03
25 févr. 2017 à 20:03
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"RPCSS"=hex(7):52,00,70,00,63,00,45,00,70,00,74,00,4d,00,61,00,70,00,70,00,65,\
00,72,00,00,00,52,00,70,00,63,00,53,00,73,00,00,00,00,00
"defragsvc"=hex(7):64,00,65,00,66,00,72,00,61,00,67,00,73,00,76,00,63,00,00,00,\
00,00
"LocalSystemNetworkRestricted"=hex(7):55,00,78,00,53,00,6d,00,73,00,00,00,57,\
00,64,00,69,00,53,00,79,00,73,00,74,00,65,00,6d,00,48,00,6f,00,73,00,74,00,\
00,00,4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,74,00,72,00,6b,00,77,00,6b,\
00,73,00,00,00,41,00,75,00,64,00,69,00,6f,00,45,00,6e,00,64,00,70,00,6f,00,\
69,00,6e,00,74,00,42,00,75,00,69,00,6c,00,64,00,65,00,72,00,00,00,57,00,55,\
00,44,00,46,00,53,00,76,00,63,00,00,00,49,00,50,00,42,00,75,00,73,00,45,00,\
6e,00,75,00,6d,00,00,00,68,00,69,00,64,00,73,00,65,00,72,00,76,00,00,00,64,\
00,6f,00,74,00,33,00,73,00,76,00,63,00,00,00,69,00,72,00,6d,00,6f,00,6e,00,\
00,00,73,00,79,00,73,00,6d,00,61,00,69,00,6e,00,00,00,50,00,63,00,61,00,53,\
00,76,00,63,00,00,00,68,00,6f,00,6d,00,65,00,67,00,72,00,6f,00,75,00,70,00,\
6c,00,69,00,73,00,74,00,65,00,6e,00,65,00,72,00,00,00,57,00,50,00,44,00,42,\
00,75,00,73,00,45,00,6e,00,75,00,6d,00,00,00,77,00,6c,00,61,00,6e,00,73,00,\
76,00,63,00,00,00,54,00,61,00,62,00,6c,00,65,00,74,00,49,00,6e,00,70,00,75,\
00,74,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,43,00,73,00,63,00,\
53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,55,00,6d,00,52,00,64,00,70,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,00,00
"LocalService"=hex(7):6e,00,73,00,69,00,00,00,57,00,64,00,69,00,53,00,65,00,72,\
00,76,00,69,00,63,00,65,00,48,00,6f,00,73,00,74,00,00,00,77,00,33,00,32,00,\
74,00,69,00,6d,00,65,00,00,00,45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,\
00,74,00,65,00,6d,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,\
67,00,69,00,73,00,74,00,72,00,79,00,00,00,57,00,69,00,6e,00,48,00,74,00,74,\
00,70,00,41,00,75,00,74,00,6f,00,50,00,72,00,6f,00,78,00,79,00,53,00,76,00,\
63,00,00,00,73,00,70,00,70,00,75,00,69,00,6e,00,6f,00,74,00,69,00,66,00,79,\
00,00,00,54,00,48,00,52,00,45,00,41,00,44,00,4f,00,52,00,44,00,45,00,52,00,\
00,00,6e,00,65,00,74,00,70,00,72,00,6f,00,66,00,6d,00,00,00,6c,00,6c,00,74,\
00,64,00,73,00,76,00,63,00,00,00,66,00,64,00,70,00,68,00,6f,00,73,00,74,00,\
00,00,53,00,73,00,74,00,70,00,53,00,76,00,63,00,00,00,57,00,65,00,62,00,43,\
00,6c,00,69,00,65,00,6e,00,74,00,00,00,00,00
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,53,00,65,00,73,00,73,00,69,00,\
6f,00,6e,00,45,00,6e,00,76,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,\
00,00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,73,00,63,00,68,00,\
65,00,64,00,75,00,6c,00,65,00,00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,\
00,77,00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,\
74,00,00,00,50,00,72,00,6f,00,66,00,53,00,76,00,63,00,00,00,54,00,68,00,65,\
00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"WerSvcGroup"=hex(7):77,00,65,00,72,00,73,00,76,00,63,00,00,00,00,00
"LocalServiceNoNetwork"=hex(7):44,00,50,00,53,00,00,00,50,00,4c,00,41,00,00,00,\
42,00,46,00,45,00,00,00,6d,00,70,00,73,00,73,00,76,00,63,00,00,00,57,00,77,\
00,61,00,6e,00,53,00,76,00,63,00,00,00,00,00
"termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\
65,00,00,00,00,00
"swprv"=hex(7):73,00,77,00,70,00,72,00,76,00,00,00,00,00
"LocalServiceNetworkRestricted"=hex(7):44,00,48,00,43,00,50,00,00,00,65,00,76,\
00,65,00,6e,00,74,00,6c,00,6f,00,67,00,00,00,41,00,75,00,64,00,69,00,6f,00,\
53,00,72,00,76,00,00,00,42,00,74,00,68,00,48,00,46,00,53,00,72,00,76,00,00,\
00,4c,00,6d,00,48,00,6f,00,73,00,74,00,73,00,00,00,77,00,73,00,63,00,73,00,\
76,00,63,00,00,00,68,00,6f,00,6d,00,65,00,67,00,72,00,6f,00,75,00,70,00,70,\
00,72,00,6f,00,76,00,69,00,64,00,65,00,72,00,00,00,57,00,50,00,43,00,53,00,\
76,00,63,00,00,00,00,00
"LocalServicePeerNet"=hex(7):50,00,4e,00,52,00,50,00,53,00,76,00,63,00,00,00,\
70,00,32,00,70,00,69,00,6d,00,73,00,76,00,63,00,00,00,70,00,32,00,70,00,73,\
00,76,00,63,00,00,00,50,00,6e,00,72,00,70,00,41,00,75,00,74,00,6f,00,52,00,\
65,00,67,00,00,00,00,00
"NetworkServiceAndNoImpersonation"=hex(7):4b,00,74,00,6d,00,52,00,6d,00,00,00,\
00,00
"regsvc"=hex(7):52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,00,69,00,73,\
00,74,00,72,00,79,00,00,00,00,00
"LocalServiceAndNoImpersonation"=hex(7):53,00,53,00,44,00,50,00,53,00,52,00,56,\
00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,73,00,74,00,00,00,53,00,43,00,\
61,00,72,00,64,00,53,00,76,00,72,00,00,00,54,00,42,00,53,00,00,00,66,00,64,\
00,72,00,65,00,73,00,70,00,75,00,62,00,00,00,46,00,6f,00,6e,00,74,00,43,00,\
61,00,63,00,68,00,65,00,00,00,41,00,70,00,70,00,49,00,44,00,53,00,76,00,63,\
00,00,00,51,00,57,00,41,00,56,00,45,00,00,00,77,00,63,00,6e,00,63,00,73,00,\
76,00,63,00,00,00,53,00,65,00,6e,00,73,00,72,00,53,00,76,00,63,00,00,00,4d,\
00,63,00,78,00,32,00,53,00,76,00,63,00,00,00,00,00
"DcomLaunch"=hex(7):50,00,6f,00,77,00,65,00,72,00,00,00,50,00,6c,00,75,00,67,\
00,50,00,6c,00,61,00,79,00,00,00,44,00,63,00,6f,00,6d,00,4c,00,61,00,75,00,\
6e,00,63,00,68,00,00,00,00,00
"NetworkServiceNetworkRestricted"=hex(7):50,00,6f,00,6c,00,69,00,63,00,79,00,\
41,00,67,00,65,00,6e,00,74,00,00,00,00,00
"NetworkService"=hex(7):43,00,72,00,79,00,70,00,74,00,53,00,76,00,63,00,00,00,\
44,00,48,00,43,00,50,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,\
00,69,00,63,00,65,00,00,00,44,00,4e,00,53,00,43,00,61,00,63,00,68,00,65,00,\
00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,77,00,6f,00,72,00,6b,00,73,00,74,\
00,61,00,74,00,69,00,6f,00,6e,00,00,00,4e,00,61,00,70,00,41,00,67,00,65,00,\
6e,00,74,00,00,00,6e,00,6c,00,61,00,73,00,76,00,63,00,00,00,57,00,69,00,6e,\
00,52,00,4d,00,00,00,57,00,45,00,43,00,53,00,56,00,43,00,00,00,54,00,61,00,\
70,00,69,00,73,00,72,00,76,00,00,00,00,00
"sdrsvc"=hex(7):73,00,64,00,72,00,73,00,76,00,63,00,00,00,00,00
"WbioSvcGroup"=hex(7):57,00,62,00,69,00,6f,00,53,00,72,00,76,00,63,00,00,00,00,\
00
"imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00
"wcssvc"=hex(7):57,00,63,00,73,00,50,00,6c,00,75,00,67,00,49,00,6e,00,53,00,65,\
00,72,00,76,00,69,00,63,00,65,00,00,00,00,00
"AxInstSVGroup"=hex(7):41,00,78,00,49,00,6e,00,73,00,74,00,53,00,56,00,00,00,\
00,00
"secsvcs"=hex(7):57,00,69,00,6e,00,44,00,65,00,66,00,65,00,6e,00,64,00,00,00,\
00,00
"bthsvcs"=hex(7):62,00,74,00,68,00,73,00,65,00,72,00,76,00,00,00,00,00
"PeerDist"=hex(7):50,00,65,00,65,00,72,00,44,00,69,00,73,00,74,00,53,00,76,00,\
63,00,00,00,00,00
"bthaudiosvc"=hex(7):48,00,46,00,47,00,53,00,65,00,72,00,76,00,69,00,63,00,65,\
00,00,00,00,00
"WinSnare"=hex(7):57,00,69,00,6e,00,53,00,6e,00,61,00,72,00,65,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\AxInstSVGroup]
"ImpersonationLevel"=dword:00000003
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\defragsvc]
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalService]
"AuthenticationCapabilities"=dword:00002000
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalServiceAndNoImpersonation]
"AuthenticationCapabilities"=dword:00002000
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalServiceNetworkRestricted]
"DefaultRpcStackSize"=dword:00000040
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalServiceNoNetwork]
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalSystemNetworkRestricted]
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs]
"AuthenticationCapabilities"=dword:00003020
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\NetworkService]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:0000001c
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\NetworkServiceRemoteDesktopHyperVAgent]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00002000
"AuthenticationLevel"=dword:00000006
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\NetworkServiceRemoteDesktopPublishing]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00002000
"AuthenticationLevel"=dword:00000006
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\SDRSVC]
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\swprv]
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\termsvcs]
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\wcssvc]
"CoInitializeSecurityParam"=dword:00000001
"CoInitializeSecurityAppID"="{CD11FAB6-1C0E-45e1-BA31-5C6008EF2607}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\wercplsupport]
"AuthenticationCapabilities"=dword:00003020
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"RPCSS"=hex(7):52,00,70,00,63,00,45,00,70,00,74,00,4d,00,61,00,70,00,70,00,65,\
00,72,00,00,00,52,00,70,00,63,00,53,00,73,00,00,00,00,00
"defragsvc"=hex(7):64,00,65,00,66,00,72,00,61,00,67,00,73,00,76,00,63,00,00,00,\
00,00
"LocalSystemNetworkRestricted"=hex(7):55,00,78,00,53,00,6d,00,73,00,00,00,57,\
00,64,00,69,00,53,00,79,00,73,00,74,00,65,00,6d,00,48,00,6f,00,73,00,74,00,\
00,00,4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,74,00,72,00,6b,00,77,00,6b,\
00,73,00,00,00,41,00,75,00,64,00,69,00,6f,00,45,00,6e,00,64,00,70,00,6f,00,\
69,00,6e,00,74,00,42,00,75,00,69,00,6c,00,64,00,65,00,72,00,00,00,57,00,55,\
00,44,00,46,00,53,00,76,00,63,00,00,00,49,00,50,00,42,00,75,00,73,00,45,00,\
6e,00,75,00,6d,00,00,00,68,00,69,00,64,00,73,00,65,00,72,00,76,00,00,00,64,\
00,6f,00,74,00,33,00,73,00,76,00,63,00,00,00,69,00,72,00,6d,00,6f,00,6e,00,\
00,00,73,00,79,00,73,00,6d,00,61,00,69,00,6e,00,00,00,50,00,63,00,61,00,53,\
00,76,00,63,00,00,00,68,00,6f,00,6d,00,65,00,67,00,72,00,6f,00,75,00,70,00,\
6c,00,69,00,73,00,74,00,65,00,6e,00,65,00,72,00,00,00,57,00,50,00,44,00,42,\
00,75,00,73,00,45,00,6e,00,75,00,6d,00,00,00,77,00,6c,00,61,00,6e,00,73,00,\
76,00,63,00,00,00,54,00,61,00,62,00,6c,00,65,00,74,00,49,00,6e,00,70,00,75,\
00,74,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,43,00,73,00,63,00,\
53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,55,00,6d,00,52,00,64,00,70,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,00,00
"LocalService"=hex(7):6e,00,73,00,69,00,00,00,57,00,64,00,69,00,53,00,65,00,72,\
00,76,00,69,00,63,00,65,00,48,00,6f,00,73,00,74,00,00,00,77,00,33,00,32,00,\
74,00,69,00,6d,00,65,00,00,00,45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,\
00,74,00,65,00,6d,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,\
67,00,69,00,73,00,74,00,72,00,79,00,00,00,57,00,69,00,6e,00,48,00,74,00,74,\
00,70,00,41,00,75,00,74,00,6f,00,50,00,72,00,6f,00,78,00,79,00,53,00,76,00,\
63,00,00,00,73,00,70,00,70,00,75,00,69,00,6e,00,6f,00,74,00,69,00,66,00,79,\
00,00,00,54,00,48,00,52,00,45,00,41,00,44,00,4f,00,52,00,44,00,45,00,52,00,\
00,00,6e,00,65,00,74,00,70,00,72,00,6f,00,66,00,6d,00,00,00,6c,00,6c,00,74,\
00,64,00,73,00,76,00,63,00,00,00,66,00,64,00,70,00,68,00,6f,00,73,00,74,00,\
00,00,53,00,73,00,74,00,70,00,53,00,76,00,63,00,00,00,57,00,65,00,62,00,43,\
00,6c,00,69,00,65,00,6e,00,74,00,00,00,00,00
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,53,00,65,00,73,00,73,00,69,00,\
6f,00,6e,00,45,00,6e,00,76,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,\
00,00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,73,00,63,00,68,00,\
65,00,64,00,75,00,6c,00,65,00,00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,\
00,77,00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,\
74,00,00,00,50,00,72,00,6f,00,66,00,53,00,76,00,63,00,00,00,54,00,68,00,65,\
00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"WerSvcGroup"=hex(7):77,00,65,00,72,00,73,00,76,00,63,00,00,00,00,00
"LocalServiceNoNetwork"=hex(7):44,00,50,00,53,00,00,00,50,00,4c,00,41,00,00,00,\
42,00,46,00,45,00,00,00,6d,00,70,00,73,00,73,00,76,00,63,00,00,00,57,00,77,\
00,61,00,6e,00,53,00,76,00,63,00,00,00,00,00
"termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\
65,00,00,00,00,00
"swprv"=hex(7):73,00,77,00,70,00,72,00,76,00,00,00,00,00
"LocalServiceNetworkRestricted"=hex(7):44,00,48,00,43,00,50,00,00,00,65,00,76,\
00,65,00,6e,00,74,00,6c,00,6f,00,67,00,00,00,41,00,75,00,64,00,69,00,6f,00,\
53,00,72,00,76,00,00,00,42,00,74,00,68,00,48,00,46,00,53,00,72,00,76,00,00,\
00,4c,00,6d,00,48,00,6f,00,73,00,74,00,73,00,00,00,77,00,73,00,63,00,73,00,\
76,00,63,00,00,00,68,00,6f,00,6d,00,65,00,67,00,72,00,6f,00,75,00,70,00,70,\
00,72,00,6f,00,76,00,69,00,64,00,65,00,72,00,00,00,57,00,50,00,43,00,53,00,\
76,00,63,00,00,00,00,00
"LocalServicePeerNet"=hex(7):50,00,4e,00,52,00,50,00,53,00,76,00,63,00,00,00,\
70,00,32,00,70,00,69,00,6d,00,73,00,76,00,63,00,00,00,70,00,32,00,70,00,73,\
00,76,00,63,00,00,00,50,00,6e,00,72,00,70,00,41,00,75,00,74,00,6f,00,52,00,\
65,00,67,00,00,00,00,00
"NetworkServiceAndNoImpersonation"=hex(7):4b,00,74,00,6d,00,52,00,6d,00,00,00,\
00,00
"regsvc"=hex(7):52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,00,69,00,73,\
00,74,00,72,00,79,00,00,00,00,00
"LocalServiceAndNoImpersonation"=hex(7):53,00,53,00,44,00,50,00,53,00,52,00,56,\
00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,73,00,74,00,00,00,53,00,43,00,\
61,00,72,00,64,00,53,00,76,00,72,00,00,00,54,00,42,00,53,00,00,00,66,00,64,\
00,72,00,65,00,73,00,70,00,75,00,62,00,00,00,46,00,6f,00,6e,00,74,00,43,00,\
61,00,63,00,68,00,65,00,00,00,41,00,70,00,70,00,49,00,44,00,53,00,76,00,63,\
00,00,00,51,00,57,00,41,00,56,00,45,00,00,00,77,00,63,00,6e,00,63,00,73,00,\
76,00,63,00,00,00,53,00,65,00,6e,00,73,00,72,00,53,00,76,00,63,00,00,00,4d,\
00,63,00,78,00,32,00,53,00,76,00,63,00,00,00,00,00
"DcomLaunch"=hex(7):50,00,6f,00,77,00,65,00,72,00,00,00,50,00,6c,00,75,00,67,\
00,50,00,6c,00,61,00,79,00,00,00,44,00,63,00,6f,00,6d,00,4c,00,61,00,75,00,\
6e,00,63,00,68,00,00,00,00,00
"NetworkServiceNetworkRestricted"=hex(7):50,00,6f,00,6c,00,69,00,63,00,79,00,\
41,00,67,00,65,00,6e,00,74,00,00,00,00,00
"NetworkService"=hex(7):43,00,72,00,79,00,70,00,74,00,53,00,76,00,63,00,00,00,\
44,00,48,00,43,00,50,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,\
00,69,00,63,00,65,00,00,00,44,00,4e,00,53,00,43,00,61,00,63,00,68,00,65,00,\
00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,77,00,6f,00,72,00,6b,00,73,00,74,\
00,61,00,74,00,69,00,6f,00,6e,00,00,00,4e,00,61,00,70,00,41,00,67,00,65,00,\
6e,00,74,00,00,00,6e,00,6c,00,61,00,73,00,76,00,63,00,00,00,57,00,69,00,6e,\
00,52,00,4d,00,00,00,57,00,45,00,43,00,53,00,56,00,43,00,00,00,54,00,61,00,\
70,00,69,00,73,00,72,00,76,00,00,00,00,00
"sdrsvc"=hex(7):73,00,64,00,72,00,73,00,76,00,63,00,00,00,00,00
"WbioSvcGroup"=hex(7):57,00,62,00,69,00,6f,00,53,00,72,00,76,00,63,00,00,00,00,\
00
"imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00
"wcssvc"=hex(7):57,00,63,00,73,00,50,00,6c,00,75,00,67,00,49,00,6e,00,53,00,65,\
00,72,00,76,00,69,00,63,00,65,00,00,00,00,00
"AxInstSVGroup"=hex(7):41,00,78,00,49,00,6e,00,73,00,74,00,53,00,56,00,00,00,\
00,00
"secsvcs"=hex(7):57,00,69,00,6e,00,44,00,65,00,66,00,65,00,6e,00,64,00,00,00,\
00,00
"bthsvcs"=hex(7):62,00,74,00,68,00,73,00,65,00,72,00,76,00,00,00,00,00
"PeerDist"=hex(7):50,00,65,00,65,00,72,00,44,00,69,00,73,00,74,00,53,00,76,00,\
63,00,00,00,00,00
"bthaudiosvc"=hex(7):48,00,46,00,47,00,53,00,65,00,72,00,76,00,69,00,63,00,65,\
00,00,00,00,00
"WinSnare"=hex(7):57,00,69,00,6e,00,53,00,6e,00,61,00,72,00,65,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\AxInstSVGroup]
"ImpersonationLevel"=dword:00000003
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\defragsvc]
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalService]
"AuthenticationCapabilities"=dword:00002000
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalServiceAndNoImpersonation]
"AuthenticationCapabilities"=dword:00002000
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalServiceNetworkRestricted]
"DefaultRpcStackSize"=dword:00000040
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalServiceNoNetwork]
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\LocalSystemNetworkRestricted]
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs]
"AuthenticationCapabilities"=dword:00003020
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\NetworkService]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:0000001c
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\NetworkServiceRemoteDesktopHyperVAgent]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00002000
"AuthenticationLevel"=dword:00000006
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\NetworkServiceRemoteDesktopPublishing]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00002000
"AuthenticationLevel"=dword:00000006
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\SDRSVC]
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\swprv]
"CoInitializeSecurityParam"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\termsvcs]
"CoInitializeSecurityParam"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\wcssvc]
"CoInitializeSecurityParam"=dword:00000001
"CoInitializeSecurityAppID"="{CD11FAB6-1C0E-45e1-BA31-5C6008EF2607}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\wercplsupport]
"AuthenticationCapabilities"=dword:00003020
"CoInitializeSecurityParam"=dword:00000001
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
25 févr. 2017 à 20:16
25 févr. 2017 à 20:16
Oui désolé, c'est trop long pour être copié-collé sur le forum directement. Du coup, il est incomplet, j'aurais dû te dire de l'héberger comme les autres rapports. Une trace de "WinSnare" est présente, rien de grave, AdwCleaner s'en occupe normalement.
"C:\Program Files (x86)\Explorer"
--> Dans ce dossier, tu devrais trouver un programme nommé iedvutils.exe, peux-tu le faire analyser sur VirusTotal puis me donner le lien menant au rapport ?
https://www.virustotal.com/gui/
"C:\Program Files (x86)\Explorer"
--> Dans ce dossier, tu devrais trouver un programme nommé iedvutils.exe, peux-tu le faire analyser sur VirusTotal puis me donner le lien menant au rapport ?
https://www.virustotal.com/gui/
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 20:27
25 févr. 2017 à 20:27
je n'ai pas, j'ai iedvtool.dll
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 20:30
25 févr. 2017 à 20:30
non, pas d'exe de ce nom
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 20:42
25 févr. 2017 à 20:42
dis moi ce que tu cherche, je peux peut être aider?
PS: je connais windows pas besoin de me dire ou se trouve la base registre, ect
PS: je connais windows pas besoin de me dire ou se trouve la base registre, ect
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 295
Modifié par Destrio5 le 25/02/2017 à 20:55
Modifié par Destrio5 le 25/02/2017 à 20:55
Analyse la .dll dans ce cas.
W_i_l_l_i_a_m13
Messages postés
23
Date d'inscription
samedi 25 février 2017
Statut
Membre
Dernière intervention
27 février 2017
1
25 févr. 2017 à 20:58
25 févr. 2017 à 20:58