Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Regkey lässt sich nicht löschen

Mitglied: fritzo

fritzo (Level 2) - Jetzt verbinden

13.03.2005, aktualisiert 17.10.2012, 15592 Aufrufe, 13 Kommentare

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System

Hi,

ich habe einen Regkey gefunden, auf den ich keinerlei Zugriff habe und der sich nicht löschen lässt. Es handelt sich nicht um einen der Standardkeys, sondern um einen, der scheinbar bei der Installation von O&O Defrag gesetzt wurde; jedenfalls spuckt das Google aus.

Der Key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System

Ich würde ihn gern löschen, aber es funktioniert weder mit einer Deinstallation von O&O noch mit regedit noch mit einem Script (reg.exe und vbscript habe ich schon ausprobiert).

<a href="http://www.abxzone.com/forums/showthread.php?p=879088&postcount=6&q ..." des Keys</a>

Der Grund dafür, daß er sich nicht lesen oder löschen lässt, ist ein unsichtbarer 0-Byte-Eintrag unterhalb des Zweigs. Beschreibung von 0-Byte-Keys ist <a href="http://www.sysinternals.com/ntw2k/info/tips.shtml#registryhidden;t ..." zu finden.

Weiß jemand einen Weg, wie man solche Regkeys löscht? Marc Russinovich von Sysinternals scheint einen Weg zu wissen (er hat ein Beispielprogramm zur Verfügung gestellt, mit dem sich ein solcher Key setzen und wieder löschen lässt), aber bevor ich ihn anschreibe, würde ich gerne nochmal hier nachhören, ob jemand einen Weg kennt. Danke im voraus.

Grüße,
fritzo
Mitglied: franzkat
13.03.2005, aktualisiert 17.10.2012
So ein Problem habe ich auch schon mal gehabt mit Acronis Trrue Image. Du kannst es lösen, indem du offline auf die Festplattenregistry zugreifst und dann löschst. Wie das mit PE-Builder im Detail funktioniert, habe ich im Tutorial beschrieben :

https://www.administrator.de/wissen/wie-kann-ich-die-registry-in-w2k-und ...
Bitte warten ..
Mitglied: fritzo
13.03.2005 um 15:28 Uhr
Hi Franz,

leider ist es nicht so einfach.. Dieser Eintrag lässt sich nicht mit herkömmlichen Tools bearbeiten, weil sie ihn gar nicht lesen können - es funktioniert daher auch offline nicht. Das Problem dabei ist der 0-Byte-Eintrag. Es ginge evtl. mit einem Hexeditor, aber da bin ich etwas vorsichtig; mit einem Editor in der Registry herumspielen möchte ich mir eigentlich nicht geben..

Hat sonst jemand noch eine Idee? Dankeschön im voraus.

Grüße,
fritzo
Bitte warten ..
Mitglied: franzkat
13.03.2005 um 20:17 Uhr
Hallo fritzo !

Interessantes Phänomen. Muss ich mich gleich mal intensiver mit beschäftigen und das Sysinternals-Tool testen. Du hast aber den Weg schon gewiesen : Was spricht gegen den Einsatz des Hex-Editors ? Aber auch das werde ich mal ausprobieren.

Nachtrag : Wenn du vorher die Registry-Datei 'software' auf ein anderes System kopierst, kannst du auch die Operation mit dem Hex--Editor gefahrlos durchführen. Dann tauschst du die beiden software-Dateien unter PE-Builder mal aus und testest das Ergebnis.
Bitte warten ..
Mitglied: franzkat
13.03.2005 um 23:35 Uhr
Muss leider zugeben, dass alle meine Versuche, das Problem auf die Schnelle über einen Hex-Editor zu lösen, gescheitert sind, da die Datenstruktur der Registry im Hex-Editor mit den vielen Steuerzeichen für die Datenbank unübersichtlich ist. Das Ergebnis ist dann allzuschnell eine nicht mehr funktionsfähige Registry-Datei.Da steht dann das Risiko nicht im vernünftigen Verhältnis zum Nutzen.
Bitte warten ..
Mitglied: franzkat
15.03.2005 um 00:04 Uhr
Man kann natürlich den Eintrag doch per Hex-Editor entfernen, wenn man Besonderheiten der Registry-Dateien beachtet. Ich habe das für das Sysinternals-Beispiel nun doch mit befriedigendem Ergebnis geschafft :

- man lädt die Datei software aus %windir%\system32\config (kann man nicht direkt machen; ich habe mit einer ERUNT-Kopie gearbeitet; das geht am bequemsten)
in einen Hexeditor

- man sucht den Textstring Internals und markiert dann den Ausschnitt wie im Screenshot :

http://mitglied.lycos.de/franzkat/touch1.jpg

- anschließend auf Entf drücken.
- man fügt exakt an dieser Stelle wieder statt der gelöschten 272 Byte die gleiche Anzahl 0 Byte ein.

http://mitglied.lycos.de/franzkat/touch2.jpg

Anschließend im Hex-Editor speichern und wieder zurück in den config-Ordner.

Der Native-API-Spuk ist verschwunden.
Bitte warten ..
Mitglied: fritzo
15.03.2005 um 00:50 Uhr
Hi Franz,

Man kann natürlich den Eintrag doch per
Hex-Editor entfernen

sehr genial

- man lädt die Datei software aus
%windir%\system32\config (kann man nicht
direkt machen; ich habe mit einer
ERUNT-Kopie gearbeitet; das geht am
bequemsten)
in einen Hexeditor

ich zieh mir das denn mal mit BartsPE.

- man sucht den Textstring Internals und

mit "System" wird es wahrscheinlich ein bißchen Sucherei *grins* ich denke ich suche mir einen sprechenden Eintrag in der Nähe und schau ob ich ihn dann irgendwo finde. Oder ich suche nach Nullbyte-Folgen "\0"

markiert dann den Ausschnitt wie im
Screenshot :

http://mitglied.lycos.de/franzkat/touch1.jpg

Ok, kannst Du das Format in etwas beschreiben? Haben die Entries irgendwelche Header zur Orientierung? Hab sowas mit der Registry noch nie gemacht.

- man fügt exakt an dieser Stelle
wieder statt der gelöschten 272 Byte
die gleiche Anzahl 0 Byte ein.

NOPs *grins* das erinnert mich an etwas, das lange her ist

Anschließend im Hex-Editor speichern
und wieder zurück in den config-Ordner.

auch offline, selbstredend.

Ich find es echt klasse, daß Du soviel Energie da reinsteckst! Dickes Dankeschön schon mal dafür!

Ich wart noch ein bißchen ab, ob Du die zwei Fragen da oben beantworten kannst. Wenn nicht, versuche ich es so, wird schon klappen. Was wäre eigentlich der worst case? *grins

Grüße,
fritzo
Bitte warten ..
Mitglied: franzkat
15.03.2005 um 05:57 Uhr
Hlo dir zunächstmal das Tool ERUNT. Damit legst du eine Sicherung der Registry mit deinem Windows-System an. Dann kopierst du dir die Datei 'software' aus x:\windows\erdnt\<Datum> in einen x-beliebigen Ordner.
Das ist jetzt deine Registry-Arbeitsdatei, an der du alles testen kannst. Deine eigentliche Registry bleibt so völlig unberührt, solange, bis die Veränderungen alle funktionieren.
DSie software-Datei lädst du dann in einen REg-Editor. Wie das bei dir mit dem Twextstriung aussieht, kann ich schwer sagen. Suche nach \0-Strings werden keinen Erfolg haben. Das ist zu unspezifisch.Ich werde mal selbst die Defrag-Geschichte testen.
Bitte warten ..
Mitglied: franzkat
15.03.2005 um 16:42 Uhr
Hallo fritzo !

Ich denke, ich habe eine praktikable Lösung für dich :

Der O&O-Defrag-Eintrag ist in der Hex-Ansicht noch wesentlich komplizierter als der Sysinternals-Simulationseintrag. Da hat man per Hex-Editor praktisch kaum noch eine Chance, ohne die Registry zu beschädigen, wenn man die Offsets nicht genau kennt. Es gibt aber einen anderen Weg, den Eintrag korrekt zu löschen :

Das altbekannte Petter-Nordahl-Tool Offline NT Password & Registry Editor ist eben nicht nur zum Passwortsetzen gut, sondern auch zum Registry-Editieren.Das ist zwar auf der Kommandozeile etwas gewöhnungsbedürftig, aber man hat vollen Zugriff auf den besagten O&O-Null-Key; und da eben unter Linux nicht die Windows API benutzt wird, kann man dann auch den O&O Defrag-Eintrag- wie ich selbst erfolgreich getestet habe - korrekt löschen.
Bitte warten ..
Mitglied: fritzo
15.03.2005 um 23:05 Uhr
Hey,

das habe ich sogar hier rumfliegen. Ich probier das am WE mal ganz in Ruhe aus und berichte dann von den Ergebnissen (vorher werde ich wohl ein Image ziehen, falls was in die Hose gehen sollte.

Nochmal dickes Dankeschön!!

Viele Grüße,
fritzo
Bitte warten ..
Mitglied: fritzo
25.03.2005 um 03:50 Uhr
Hi Franz,

Zitat:
"Ich habe jetzt noch mal bei dem O&O-Eintrag folgendes getestet :Wenn man die beiden Bytes hinter 'System' in einem Hex-Editor mit X und 0 überschreibt, dann wird der Name des Eintrags in SystemX umbenannt und der Namensstring entsprechend der Win API-Konvention korrekt terminiert. Der Eintrag erscheint dann unter regedit ganz normal. Der Wert kann eingesehen und der ganze Eintrag problemlos gelöscht werden."

Du hast also die Registry offline wegkopiert, mit einem Hexeditor geöffnet, die Bytes geändert und sie dann wieder verschoben, richtig?

Grüße,
fritzo
Bitte warten ..
Mitglied: fritzo
25.03.2005, aktualisiert 23.10.2012
Hi Franz

ich habe eine Möglichkeit gefunden, es online durchzuführen, es wird lediglich ein Reboot benötigt, um die geänderte Registry auszutauschen.

https://www.administrator.de/wissen/howto-delete-0-byte-registry-keys-83 ...

File closed Dankeschön nochmal!

Grüße,
Arne
Bitte warten ..
Mitglied: nimdaresu
14.10.2005 um 16:54 Uhr
Also wenn man sich gern mit Hex-Editoren abquälen will, gern, ich versteh davon nix.
Nur vielleicht ist es mir möglich geworden einen einfacheren Weg zu finden.

Denn in der regedit
bei sogenannten Eintrag der sich nicht löschen lasst bin ich draufgekommen, das es nur an der Berechtigung liegt, das dieser sich nicht entfernen lässt.

Somit nach dem alle F3 o&o defrag entfernt wurden
braucht ihr nur bei dem wos nicht geht

\bearbeiten
\Berechtigungen...
\Vollzugriff

mit einem Häckchen aktivieren,
(Administrator voraussetzung klarerweise)
und löschen

Falls ich das thema verfehlt habe sagt mir bescheid, aber sonst wär das glaubich das einfachste diese loszuwerden.

LG

Nimdaresu
Bitte warten ..
Mitglied: fritzo
14.10.2005, aktualisiert 23.10.2012
Falls ich das thema verfehlt habe sagt mir
bescheid, aber sonst wär das glaubich
das einfachste diese loszuwerden.

Bescheid ;) Danke aber dafür, daß Du helfen wolltest!

Das Problem bei diesen Keys ist, daß es sich nicht nur um fehlende Berechtigungen handelt, sondern daß man auf diese Keys überhaupt nicht mit normalen Tools zugreifen kann. Ich hatte es nach einer Weile selbst gelöst, die Doku dazu findest Du https://www.administrator.de/wissen/howto-delete-0-byte-registry-keys-83 ...

Liebe Grüße zurück,
fritzo
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Win7 Drahtlosnetzwerkverbindung lässt sich nicht löschen

Frage von Phineas-PhreakWindows Netzwerk4 Kommentare

Hi! Ich habe das kuriose Problem, dass bei der Drahtlosnetzwerkverbindung in der Taskleiste eine Verbindung namens "SETUP" angezeigt wird, ...

Windows Server

Verzeichnis lässt sich nicht löschen

Frage von BPeterWindows Server7 Kommentare

Hallo, ein Mitarbeiter hat auf einem Windows 2003 Fileserver ein Ordner von einem USB-Stick kopiert, den ich jetzt nicht ...

Windows Systemdateien

Eintrag läßt sich nicht aus der Regedit löschen

gelöst Frage von lord-iconWindows Systemdateien8 Kommentare

Hi, ich hatte das Programm Acronis auf den Rechner. Da dies Proleme machte, deinstallierte ich es über den normen ...

Datenbanken

Eine Datenbank LogDatei lässt sich nicht Löschen

gelöst Frage von MultiStormDatenbanken10 Kommentare

Hallo, ich habe aktuell ein paar kleine Probleme, mit einem MS SQL Server 2012 die eigentliche Datenbank hat eine ...

Neue Wissensbeiträge
iOS
Updates für Iphone und Co
Information von sabines vor 2 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...