Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Registry - Regelung Pfadangaben

Mitglied: Sib1268

Sib1268 (Level 1) - Jetzt verbinden

01.09.2011 um 13:41 Uhr, 6048 Aufrufe, 12 Kommentare

Hallo,

ich bin neu hier und habe gleich eine grundlegende Frage zum
Windows Registrierungseditor.

Durch einen Zwischenfall mit einem Trojaner sind mir in der Registry
einige Pfadangaben verloren gegangen.
Jetzt wollte ich insbesondere die (Image-)Paths fixen und stehe vor einem Problem:

Durch einige Recherchen wusste ich, dass man für reg.-Dateien in der
Regel Pfade mit Doppelbackslash und einem @-Zeichen angibt.

Wie verhält es ich nun aber wenn ich die Registry mit einem geladenen
Profil bearbeiten möchte?
(Anmerkung: Das System ist offline, die Bearbeitung erfolgt über eine Boot CD,
die zu bearbeitenden Schlüssel wären HKLM\SYSTEM und HKLM\SOFTWARE)

Ich würde mich über jede Hilfe freuen.


Zusatz:

Das betreffende Betriebssystem ist ein Vista (32bit) Home Premium.
Mitglied: 99045
01.09.2011 um 14:30 Uhr
Hallo, und willkommen im Forum.

Was du da gelesen hast, stimmt nur teilweise. Richtig ist, dass in .reg-Dateien (und nur da) Backslashes für Pfadangaben verdoppelt werden müssen. Das @-Zeichen wird für den (Standard)-Bezeichner (also den default-Eintrag) verwendet und hat mit den Pfaden nichts zu tun.


Du kannst aber mit der Vista-Installations-CD arbeiten und dort über die Computerreparaturoption in die > Eingabeaufforderung starten. Von dort lässt sich der Registry-Editor aufrufen, der normalerweise in
C:\Windows\System32\regedit.exe zu finden ist.

Du musst dann über die Auswahl von HKEY_LOCAL_MACHINE jeweils (nacheinander) über Datei > Struktur laden aus dem Windows-Verzeichnis C:\Windows\System32\config die Datei SYSTEM laden, Namen für den Zweig vergeben, dann kannst du in dem Zweig ganz normal suchen und ihn bearbeiten. Anschließend den Keypfad über Struktur entladen wieder zurückschreiben und die gleiche Prozedur für die Datei SOFTWARE wiederholen. Damit kannst du dann die Einträge ganz normal ohne doppelte Backslashes bearbeiten.

Allerdings halte ich eine "Reparatur" nach einem Trojanerbefall nicht für sinnvoll, da das System nicht mehr vertrauenswürdig ist. In solchen Fällen würde ich eine Neuinstallation bzw. die Rücksicherung eines zuvor hoffentlich erstellen Backups bevorzugen und vor allen Dingen alle Pass- und Kennwörter ändern.

Gruß
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 15:19 Uhr
Hi,

danke erstmal für die Info.
Wenn es demzufolge nur in reg.-Dateien diese Zeichensetzung geben darf,
dann wäre diese Angabe (im Registrierungseditor) falsch:

Pfad: HKLM\SOFTWARE\Microsoft\Jet\4.0Engines\xBase (als Beispiel)
"X:\\Windows\\system32\\namederdll.dll" [-> Reg_Sz - Schlüssel]

(Habe die Anführungszeichen nur für die Eingrenzung der Angabe hinzugefügt,
ferner ist "X:" nur als Platzhalter gedacht für entprechenden Laufwerksbuchstaben)

Dieselbe Regel würde auch für eine erweiterbare Zeichenfolge (Reg_Expand) gelten oder?

Bsp. für weitere falsche Pfadangabe:

Pfad: HKLM\SOFTWARE\Microsoft\Internet Account Manager
"%SystemRoot%\\system32\\namederdll.dll" [-> Reg_Expand - Schlüsel]
Bitte warten ..
Mitglied: 99045
01.09.2011 um 18:09 Uhr
Es ist richtig, dass es falsch ist.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 19:37 Uhr
Ok

Dann würde ich gerne etwas zu einer Auffälligkeit im MMC-Zweig fragen.

Dort steht z.B. folgendes:

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{lange GUID}
"@%SystemRoot%\\system32\\namederdll.dll,-Zahl"

woanders, selber Zweig

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{lange GUID}
"@namederdll.dll,-Zahl" (Anführungszeichen wieder nur zur Eingrenzung)

Ist das normal, dass einige Zweige keinen kompletten Pfad (und sei es nur
Einer mit einer Variable) brauchen?
Bitte warten ..
Mitglied: 99045
01.09.2011 um 19:45 Uhr
Damit kann ich nichts anfangen, das sind weder vollständige Angaben direkt aus der Registry noch Zeilen aus einer .reg-Datei.
Aber dass Daten keinen kompletten Pfad enthalten, kann durchaus normal sein.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 20:44 Uhr
Ok, dann nehme ich zwei Beispiele:

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{2f893820-7089-46cc-a6e8-c4aae45f151b}
Name: NameStringIndirect
Wert: "@%SystemRoot%\\system32\\comres.dll,-2950"


Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D}
Name: NameStringIndirect
Wert: "@dmdskres.dll,-65534"

(beide sind REG_SZ)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 20:56 Uhr
(beide sind REG_SZ)

Nein, der 1. ist REG_EXPAND_SZ und hat keine doppelten Backslashes. Der 2. ist korrekt so.

So weit, so gut. Hilfe zu Korrekturen nach Trojanerbefall darfst du allerdings von mir nicht weiter erwarten. Ich habe dazu eine ganz spezielle Meinung und Einstellung

Gruß
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 21:07 Uhr
Hm, den Fehler der Zeichenfolge habe zu spät bemerkt ;)


So weit, so gut. Hilfe zu Korrekturen nach Trojanerbefall darfst du allerdings von mir nicht weiter erwarten. Ich habe dazu eine
ganz spezielle Meinung und Einstellung [...]

Das ist mir auch klar, ist auch nicht mein Anliegen. Es geht mir darum die Registry zu (einem gewissen Teil) zu verstehen.
Wenn du gestattest hätte ich noch zwei Fragen;)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 21:14 Uhr
Wenn du die Registry verstehen möchtest, hätte ich einen guten Link (mit Fortsetzung):
http://support.microsoft.com/kb/822890/de

Fragen darfst du aber trotzdem.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 22:11 Uhr
Der erwähnte Link ist mir nicht neu

Bei einer Parameterangabe -- die bereits Erwähnten waren Ordnungszahlangaben(?) --
benötigen erweiterte Zeichenfolgen, im Gegensatz zu "normalen" Zeichenfolgen, keine
Anführungszeichen in der Pfadangabe, oder?

Bsp. Reg_Expand SZ:

Pfad: HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc
Name: ImagePath
Wert: "%Systemroot%\System32\svchost.exe -k NetworkService"

Pfad: HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp
Name: ImagePath
Wert: "%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

Pfad: HKLM\SOFTWARE\Classes\txtfile\shell\print\command
Name: (Standard)
Wert: "%SystemRoot%\system32\NOTEPAD.EXE /p %1"


Bsp. Reg_SZ:

Pfad: HKLM\SOFTWARE\Classes\*\shell\sdfiles\command
Name: (Standard)
Wert: ""C:\Program Files\Spybot - Search & Destroy\SDFiles.exe" "%1" /ask"

Pfad: HKLM\SOFTWARE\Classes\DVD\shell\play\command
Name: (Standard)
Wert: ""C:\Program Files\InterVideo\DVD8\WinDVD.exe" %1"

Pfad: HKLM\SOFTWARE\Classes\.3gp\Shell\Open\Command
Name: (Standard)
Wert: ""C:\Program Files\Media Player Classes\mplayerc.exe" "%1""

Daran würde sich die nächste Frage anschließen:

Müssen alle Zeichenfolgen (Reg_SZ) zwangsläufig in Anführungszeichen stehen,
wenn die Anwendungen mit Parametern gestartet werden?

Bsp.
Pfad: HKLM\SOFTWARE\Microsoft\MigWiz
Name:AutoPlayCmdLine
Wert: "C:\\Windows\\System32\\migwiz\\migwiz.exe /magicusb" (-> Fehler bei den Backslashes
ist nun ausgemacht, jedoch steht diese Pfadangabe, ohne Anführungszeichen, im Gegensatz zu
den Reg_SZ-Beispielen in der ersten Frage.)

(Anmerkung: Die z.T. äußeren Anführungszeichen sind von mir wieder nur zur Eingrenzung gesetzt.)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 22:31 Uhr
Pfadangeben müssen immer dann in Anführungszeichen gesetzt werden, wenn sich im Pfad ein Leerzeichen befindet. Parameter wie z. B. "%1" müssen ebenfalls in Anführungszeichen gesetzt werden.
Dabei ist es egal, ob es sich um REG_SZ oder REG_EXPAND_SZ handelt. REG_EXPAND_SZ unterscheidet sich nur dadurch, dass in letzterem Environmentvariablen verwendet werden.

Unter XP habe ich in keinem Service-Eintrag Pfade in Klammern, unter Vista wird es deshalb so sein, weil sich ja bereits in "Program Files" ein Leerzeichen befindet.
Ansonsten dürte die Angabe in der Registry auch davon abhängen, ob der Wert für das Programm oder die Funktion, die damit arbeitet, als ein Übergabeparameter betrachtet wird. Dann muss der gesamte Wert in Anführungszeichen stehen, wenn er aus mehreren Teilen besteht.

Vielleicht kannst du das im Technet verifizieren und findest dort genauere Informationen. Meine Erläuterungen sind so, wie ich mir lögisch vorstelle.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 23:01 Uhr
Okay, dann wären meine Fragen soweit geklärt.

Ein großen Dank für deine Ausführlichkeit und Geduld

>Vielleicht kannst du das im Technet verifizieren und findest dort genauere Informationen. Meine Erläuterungen sind so, wie >ich mir lögisch vorstelle.

Ab und zu gibt es dort etwas Brauchbares aber leider keine Übersicht oder gute Erklärung.


Ach so, eine Antwort bin ich dir noch schuldig geblieben.
Dieses System wird vielleicht nicht mehr ins Internet kommen, mal sehen wie viele
Viren und Rootkit-Scanner ich nochmal darüber jagen lassen werde ;)

Mfg

Sib1268
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Umlaute in Pfadangaben
gelöst Frage von goodbytesBatch & Shell8 Kommentare

Hallo, ich stehe leider immer noch vor dem leidigen Thema Umlaute in Batches :- Bei Dateinamen und in den ...

Netzwerkmanagement

Regelung des Internetzugangs, Datenvolumenbegrenzung

Frage von johannes-meyerNetzwerkmanagement1 Kommentar

Guten Tag, eine befreundete gemeinnützige Organisation betreibt ein Internat in Afrika mit ca. 200 Schülern und Mitarbeitern. Die Internetverbindung ...

Off Topic

Regelung AT Home Arbeit

gelöst Frage von neooenOff Topic13 Kommentare

Hallo Zusammen, ich habe seit 2 Monaten eine neue Stelle angenommen und bin nun IT-Admin in einem Wohnungsunternehmen. Mein ...

Batch & Shell

Robocopy mit Strichen (minus) in den Pfadangaben

gelöst Frage von 45455Batch & Shell6 Kommentare

Hallo, ich muss einige 1000 Dateien aus einer verschachtelten Struktur verschieben, bei der ich allerdings Unterordner ausschließen muss. Soweit ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 2 StundenSonstige Systeme1 Kommentar

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 5 StundenDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 10 StundenWindows 102 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 22 StundenHumor (lol)1 Kommentar

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
Java
Testautomatisierung
gelöst Frage von WPFORGEJava16 Kommentare

Hallo, nehmen wir an, es gibt eine Webseite mit einer Karte und einem Suchfeld. Nun wird in das Suchfeld ...

Netzwerkgrundlagen
Werksreset HP 1920S-24G
gelöst Frage von HenereNetzwerkgrundlagen14 Kommentare

Servus zusammen, ich habe mir 2 neue Switche zugelegt, doch ich komme damit nicht ganz klar. Waren Vorführgeräte zum ...

Viren und Trojaner
Office365 Trojaner Analyse
Frage von ZeppelinViren und Trojaner13 Kommentare

Liebe Community, ich wende mich an euch, um mehr über den Office365 Trojaner zu erfahren, welcher grade seine Runden ...

Firewall
Sophos UTM 9.5 Firewall Log-File durchsuchen
gelöst Frage von Leo-leFirewall12 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...