Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Registry - Regelung Pfadangaben

Frage Microsoft

Mitglied: Sib1268

Sib1268 (Level 1) - Jetzt verbinden

01.09.2011 um 13:41 Uhr, 5704 Aufrufe, 12 Kommentare

Hallo,

ich bin neu hier und habe gleich eine grundlegende Frage zum
Windows Registrierungseditor.

Durch einen Zwischenfall mit einem Trojaner sind mir in der Registry
einige Pfadangaben verloren gegangen.
Jetzt wollte ich insbesondere die (Image-)Paths fixen und stehe vor einem Problem:

Durch einige Recherchen wusste ich, dass man für reg.-Dateien in der
Regel Pfade mit Doppelbackslash und einem @-Zeichen angibt.

Wie verhält es ich nun aber wenn ich die Registry mit einem geladenen
Profil bearbeiten möchte?
(Anmerkung: Das System ist offline, die Bearbeitung erfolgt über eine Boot CD,
die zu bearbeitenden Schlüssel wären HKLM\SYSTEM und HKLM\SOFTWARE)

Ich würde mich über jede Hilfe freuen.


Zusatz:

Das betreffende Betriebssystem ist ein Vista (32bit) Home Premium.
Mitglied: 99045
01.09.2011 um 14:30 Uhr
Hallo, und willkommen im Forum.

Was du da gelesen hast, stimmt nur teilweise. Richtig ist, dass in .reg-Dateien (und nur da) Backslashes für Pfadangaben verdoppelt werden müssen. Das @-Zeichen wird für den (Standard)-Bezeichner (also den default-Eintrag) verwendet und hat mit den Pfaden nichts zu tun.


Du kannst aber mit der Vista-Installations-CD arbeiten und dort über die Computerreparaturoption in die > Eingabeaufforderung starten. Von dort lässt sich der Registry-Editor aufrufen, der normalerweise in
C:\Windows\System32\regedit.exe zu finden ist.

Du musst dann über die Auswahl von HKEY_LOCAL_MACHINE jeweils (nacheinander) über Datei > Struktur laden aus dem Windows-Verzeichnis C:\Windows\System32\config die Datei SYSTEM laden, Namen für den Zweig vergeben, dann kannst du in dem Zweig ganz normal suchen und ihn bearbeiten. Anschließend den Keypfad über Struktur entladen wieder zurückschreiben und die gleiche Prozedur für die Datei SOFTWARE wiederholen. Damit kannst du dann die Einträge ganz normal ohne doppelte Backslashes bearbeiten.

Allerdings halte ich eine "Reparatur" nach einem Trojanerbefall nicht für sinnvoll, da das System nicht mehr vertrauenswürdig ist. In solchen Fällen würde ich eine Neuinstallation bzw. die Rücksicherung eines zuvor hoffentlich erstellen Backups bevorzugen und vor allen Dingen alle Pass- und Kennwörter ändern.

Gruß
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 15:19 Uhr
Hi,

danke erstmal für die Info.
Wenn es demzufolge nur in reg.-Dateien diese Zeichensetzung geben darf,
dann wäre diese Angabe (im Registrierungseditor) falsch:

Pfad: HKLM\SOFTWARE\Microsoft\Jet\4.0Engines\xBase (als Beispiel)
"X:\\Windows\\system32\\namederdll.dll" [-> Reg_Sz - Schlüssel]

(Habe die Anführungszeichen nur für die Eingrenzung der Angabe hinzugefügt,
ferner ist "X:" nur als Platzhalter gedacht für entprechenden Laufwerksbuchstaben)

Dieselbe Regel würde auch für eine erweiterbare Zeichenfolge (Reg_Expand) gelten oder?

Bsp. für weitere falsche Pfadangabe:

Pfad: HKLM\SOFTWARE\Microsoft\Internet Account Manager
"%SystemRoot%\\system32\\namederdll.dll" [-> Reg_Expand - Schlüsel]
Bitte warten ..
Mitglied: 99045
01.09.2011 um 18:09 Uhr
Es ist richtig, dass es falsch ist.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 19:37 Uhr
Ok

Dann würde ich gerne etwas zu einer Auffälligkeit im MMC-Zweig fragen.

Dort steht z.B. folgendes:

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{lange GUID}
"@%SystemRoot%\\system32\\namederdll.dll,-Zahl"

woanders, selber Zweig

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{lange GUID}
"@namederdll.dll,-Zahl" (Anführungszeichen wieder nur zur Eingrenzung)

Ist das normal, dass einige Zweige keinen kompletten Pfad (und sei es nur
Einer mit einer Variable) brauchen?
Bitte warten ..
Mitglied: 99045
01.09.2011 um 19:45 Uhr
Damit kann ich nichts anfangen, das sind weder vollständige Angaben direkt aus der Registry noch Zeilen aus einer .reg-Datei.
Aber dass Daten keinen kompletten Pfad enthalten, kann durchaus normal sein.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 20:44 Uhr
Ok, dann nehme ich zwei Beispiele:

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{2f893820-7089-46cc-a6e8-c4aae45f151b}
Name: NameStringIndirect
Wert: "@%SystemRoot%\\system32\\comres.dll,-2950"


Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D}
Name: NameStringIndirect
Wert: "@dmdskres.dll,-65534"

(beide sind REG_SZ)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 20:56 Uhr
(beide sind REG_SZ)

Nein, der 1. ist REG_EXPAND_SZ und hat keine doppelten Backslashes. Der 2. ist korrekt so.

So weit, so gut. Hilfe zu Korrekturen nach Trojanerbefall darfst du allerdings von mir nicht weiter erwarten. Ich habe dazu eine ganz spezielle Meinung und Einstellung

Gruß
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 21:07 Uhr
Hm, den Fehler der Zeichenfolge habe zu spät bemerkt ;)


So weit, so gut. Hilfe zu Korrekturen nach Trojanerbefall darfst du allerdings von mir nicht weiter erwarten. Ich habe dazu eine
ganz spezielle Meinung und Einstellung [...]

Das ist mir auch klar, ist auch nicht mein Anliegen. Es geht mir darum die Registry zu (einem gewissen Teil) zu verstehen.
Wenn du gestattest hätte ich noch zwei Fragen;)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 21:14 Uhr
Wenn du die Registry verstehen möchtest, hätte ich einen guten Link (mit Fortsetzung):
http://support.microsoft.com/kb/822890/de

Fragen darfst du aber trotzdem.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 22:11 Uhr
Der erwähnte Link ist mir nicht neu

Bei einer Parameterangabe -- die bereits Erwähnten waren Ordnungszahlangaben(?) --
benötigen erweiterte Zeichenfolgen, im Gegensatz zu "normalen" Zeichenfolgen, keine
Anführungszeichen in der Pfadangabe, oder?

Bsp. Reg_Expand SZ:

Pfad: HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc
Name: ImagePath
Wert: "%Systemroot%\System32\svchost.exe -k NetworkService"

Pfad: HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp
Name: ImagePath
Wert: "%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

Pfad: HKLM\SOFTWARE\Classes\txtfile\shell\print\command
Name: (Standard)
Wert: "%SystemRoot%\system32\NOTEPAD.EXE /p %1"


Bsp. Reg_SZ:

Pfad: HKLM\SOFTWARE\Classes\*\shell\sdfiles\command
Name: (Standard)
Wert: ""C:\Program Files\Spybot - Search & Destroy\SDFiles.exe" "%1" /ask"

Pfad: HKLM\SOFTWARE\Classes\DVD\shell\play\command
Name: (Standard)
Wert: ""C:\Program Files\InterVideo\DVD8\WinDVD.exe" %1"

Pfad: HKLM\SOFTWARE\Classes\.3gp\Shell\Open\Command
Name: (Standard)
Wert: ""C:\Program Files\Media Player Classes\mplayerc.exe" "%1""

Daran würde sich die nächste Frage anschließen:

Müssen alle Zeichenfolgen (Reg_SZ) zwangsläufig in Anführungszeichen stehen,
wenn die Anwendungen mit Parametern gestartet werden?

Bsp.
Pfad: HKLM\SOFTWARE\Microsoft\MigWiz
Name:AutoPlayCmdLine
Wert: "C:\\Windows\\System32\\migwiz\\migwiz.exe /magicusb" (-> Fehler bei den Backslashes
ist nun ausgemacht, jedoch steht diese Pfadangabe, ohne Anführungszeichen, im Gegensatz zu
den Reg_SZ-Beispielen in der ersten Frage.)

(Anmerkung: Die z.T. äußeren Anführungszeichen sind von mir wieder nur zur Eingrenzung gesetzt.)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 22:31 Uhr
Pfadangeben müssen immer dann in Anführungszeichen gesetzt werden, wenn sich im Pfad ein Leerzeichen befindet. Parameter wie z. B. "%1" müssen ebenfalls in Anführungszeichen gesetzt werden.
Dabei ist es egal, ob es sich um REG_SZ oder REG_EXPAND_SZ handelt. REG_EXPAND_SZ unterscheidet sich nur dadurch, dass in letzterem Environmentvariablen verwendet werden.

Unter XP habe ich in keinem Service-Eintrag Pfade in Klammern, unter Vista wird es deshalb so sein, weil sich ja bereits in "Program Files" ein Leerzeichen befindet.
Ansonsten dürte die Angabe in der Registry auch davon abhängen, ob der Wert für das Programm oder die Funktion, die damit arbeitet, als ein Übergabeparameter betrachtet wird. Dann muss der gesamte Wert in Anführungszeichen stehen, wenn er aus mehreren Teilen besteht.

Vielleicht kannst du das im Technet verifizieren und findest dort genauere Informationen. Meine Erläuterungen sind so, wie ich mir lögisch vorstelle.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 23:01 Uhr
Okay, dann wären meine Fragen soweit geklärt.

Ein großen Dank für deine Ausführlichkeit und Geduld

>Vielleicht kannst du das im Technet verifizieren und findest dort genauere Informationen. Meine Erläuterungen sind so, wie >ich mir lögisch vorstelle.

Ab und zu gibt es dort etwas Brauchbares aber leider keine Übersicht oder gute Erklärung.


Ach so, eine Antwort bin ich dir noch schuldig geblieben.
Dieses System wird vielleicht nicht mehr ins Internet kommen, mal sehen wie viele
Viren und Rootkit-Scanner ich nochmal darüber jagen lassen werde ;)

Mfg

Sib1268
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Umlaute in Pfadangaben
gelöst Frage von goodbytesBatch & Shell8 Kommentare

Hallo, ich stehe leider immer noch vor dem leidigen Thema Umlaute in Batches :- Bei Dateinamen und in den ...

Netzwerkmanagement
Regelung des Internetzugangs, Datenvolumenbegrenzung
Frage von johannes-meyerNetzwerkmanagement1 Kommentar

Guten Tag, eine befreundete gemeinnützige Organisation betreibt ein Internat in Afrika mit ca. 200 Schülern und Mitarbeitern. Die Internetverbindung ...

Off Topic
Regelung AT Home Arbeit
gelöst Frage von neooenOff Topic13 Kommentare

Hallo Zusammen, ich habe seit 2 Monaten eine neue Stelle angenommen und bin nun IT-Admin in einem Wohnungsunternehmen. Mein ...

Batch & Shell
Robocopy mit Strichen (minus) in den Pfadangaben
gelöst Frage von blue0711Batch & Shell6 Kommentare

Hallo, ich muss einige 1000 Dateien aus einer verschachtelten Struktur verschieben, bei der ich allerdings Unterordner ausschließen muss. Soweit ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 6 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 7 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 21 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...