Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Registry - Regelung Pfadangaben

Frage Microsoft

Mitglied: Sib1268

Sib1268 (Level 1) - Jetzt verbinden

01.09.2011 um 13:41 Uhr, 5436 Aufrufe, 12 Kommentare

Hallo,

ich bin neu hier und habe gleich eine grundlegende Frage zum
Windows Registrierungseditor.

Durch einen Zwischenfall mit einem Trojaner sind mir in der Registry
einige Pfadangaben verloren gegangen.
Jetzt wollte ich insbesondere die (Image-)Paths fixen und stehe vor einem Problem:

Durch einige Recherchen wusste ich, dass man für reg.-Dateien in der
Regel Pfade mit Doppelbackslash und einem @-Zeichen angibt.

Wie verhält es ich nun aber wenn ich die Registry mit einem geladenen
Profil bearbeiten möchte?
(Anmerkung: Das System ist offline, die Bearbeitung erfolgt über eine Boot CD,
die zu bearbeitenden Schlüssel wären HKLM\SYSTEM und HKLM\SOFTWARE)

Ich würde mich über jede Hilfe freuen.


Zusatz:

Das betreffende Betriebssystem ist ein Vista (32bit) Home Premium.
Mitglied: 99045
01.09.2011 um 14:30 Uhr
Hallo, und willkommen im Forum.

Was du da gelesen hast, stimmt nur teilweise. Richtig ist, dass in .reg-Dateien (und nur da) Backslashes für Pfadangaben verdoppelt werden müssen. Das @-Zeichen wird für den (Standard)-Bezeichner (also den default-Eintrag) verwendet und hat mit den Pfaden nichts zu tun.


Du kannst aber mit der Vista-Installations-CD arbeiten und dort über die Computerreparaturoption in die > Eingabeaufforderung starten. Von dort lässt sich der Registry-Editor aufrufen, der normalerweise in
C:\Windows\System32\regedit.exe zu finden ist.

Du musst dann über die Auswahl von HKEY_LOCAL_MACHINE jeweils (nacheinander) über Datei > Struktur laden aus dem Windows-Verzeichnis C:\Windows\System32\config die Datei SYSTEM laden, Namen für den Zweig vergeben, dann kannst du in dem Zweig ganz normal suchen und ihn bearbeiten. Anschließend den Keypfad über Struktur entladen wieder zurückschreiben und die gleiche Prozedur für die Datei SOFTWARE wiederholen. Damit kannst du dann die Einträge ganz normal ohne doppelte Backslashes bearbeiten.

Allerdings halte ich eine "Reparatur" nach einem Trojanerbefall nicht für sinnvoll, da das System nicht mehr vertrauenswürdig ist. In solchen Fällen würde ich eine Neuinstallation bzw. die Rücksicherung eines zuvor hoffentlich erstellen Backups bevorzugen und vor allen Dingen alle Pass- und Kennwörter ändern.

Gruß
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 15:19 Uhr
Hi,

danke erstmal für die Info.
Wenn es demzufolge nur in reg.-Dateien diese Zeichensetzung geben darf,
dann wäre diese Angabe (im Registrierungseditor) falsch:

Pfad: HKLM\SOFTWARE\Microsoft\Jet\4.0Engines\xBase (als Beispiel)
"X:\\Windows\\system32\\namederdll.dll" [-> Reg_Sz - Schlüssel]

(Habe die Anführungszeichen nur für die Eingrenzung der Angabe hinzugefügt,
ferner ist "X:" nur als Platzhalter gedacht für entprechenden Laufwerksbuchstaben)

Dieselbe Regel würde auch für eine erweiterbare Zeichenfolge (Reg_Expand) gelten oder?

Bsp. für weitere falsche Pfadangabe:

Pfad: HKLM\SOFTWARE\Microsoft\Internet Account Manager
"%SystemRoot%\\system32\\namederdll.dll" [-> Reg_Expand - Schlüsel]
Bitte warten ..
Mitglied: 99045
01.09.2011 um 18:09 Uhr
Es ist richtig, dass es falsch ist.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 19:37 Uhr
Ok

Dann würde ich gerne etwas zu einer Auffälligkeit im MMC-Zweig fragen.

Dort steht z.B. folgendes:

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{lange GUID}
"@%SystemRoot%\\system32\\namederdll.dll,-Zahl"

woanders, selber Zweig

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{lange GUID}
"@namederdll.dll,-Zahl" (Anführungszeichen wieder nur zur Eingrenzung)

Ist das normal, dass einige Zweige keinen kompletten Pfad (und sei es nur
Einer mit einer Variable) brauchen?
Bitte warten ..
Mitglied: 99045
01.09.2011 um 19:45 Uhr
Damit kann ich nichts anfangen, das sind weder vollständige Angaben direkt aus der Registry noch Zeilen aus einer .reg-Datei.
Aber dass Daten keinen kompletten Pfad enthalten, kann durchaus normal sein.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 20:44 Uhr
Ok, dann nehme ich zwei Beispiele:

Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{2f893820-7089-46cc-a6e8-c4aae45f151b}
Name: NameStringIndirect
Wert: "@%SystemRoot%\\system32\\comres.dll,-2950"


Pfad: HKLM\SOFTWARE\Microsoft\MMC\SnapIns\{8EAD3A12-B2C1-11d0-83AA-00A0C92C9D5D}
Name: NameStringIndirect
Wert: "@dmdskres.dll,-65534"

(beide sind REG_SZ)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 20:56 Uhr
(beide sind REG_SZ)

Nein, der 1. ist REG_EXPAND_SZ und hat keine doppelten Backslashes. Der 2. ist korrekt so.

So weit, so gut. Hilfe zu Korrekturen nach Trojanerbefall darfst du allerdings von mir nicht weiter erwarten. Ich habe dazu eine ganz spezielle Meinung und Einstellung

Gruß
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 21:07 Uhr
Hm, den Fehler der Zeichenfolge habe zu spät bemerkt ;)


So weit, so gut. Hilfe zu Korrekturen nach Trojanerbefall darfst du allerdings von mir nicht weiter erwarten. Ich habe dazu eine
ganz spezielle Meinung und Einstellung [...]

Das ist mir auch klar, ist auch nicht mein Anliegen. Es geht mir darum die Registry zu (einem gewissen Teil) zu verstehen.
Wenn du gestattest hätte ich noch zwei Fragen;)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 21:14 Uhr
Wenn du die Registry verstehen möchtest, hätte ich einen guten Link (mit Fortsetzung):
http://support.microsoft.com/kb/822890/de

Fragen darfst du aber trotzdem.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 22:11 Uhr
Der erwähnte Link ist mir nicht neu

Bei einer Parameterangabe -- die bereits Erwähnten waren Ordnungszahlangaben(?) --
benötigen erweiterte Zeichenfolgen, im Gegensatz zu "normalen" Zeichenfolgen, keine
Anführungszeichen in der Pfadangabe, oder?

Bsp. Reg_Expand SZ:

Pfad: HKLM\SYSTEM\CurrentControlSet\Services\CryptSvc
Name: ImagePath
Wert: "%Systemroot%\System32\svchost.exe -k NetworkService"

Pfad: HKLM\SYSTEM\CurrentControlSet\Services\COMSysApp
Name: ImagePath
Wert: "%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

Pfad: HKLM\SOFTWARE\Classes\txtfile\shell\print\command
Name: (Standard)
Wert: "%SystemRoot%\system32\NOTEPAD.EXE /p %1"


Bsp. Reg_SZ:

Pfad: HKLM\SOFTWARE\Classes\*\shell\sdfiles\command
Name: (Standard)
Wert: ""C:\Program Files\Spybot - Search & Destroy\SDFiles.exe" "%1" /ask"

Pfad: HKLM\SOFTWARE\Classes\DVD\shell\play\command
Name: (Standard)
Wert: ""C:\Program Files\InterVideo\DVD8\WinDVD.exe" %1"

Pfad: HKLM\SOFTWARE\Classes\.3gp\Shell\Open\Command
Name: (Standard)
Wert: ""C:\Program Files\Media Player Classes\mplayerc.exe" "%1""

Daran würde sich die nächste Frage anschließen:

Müssen alle Zeichenfolgen (Reg_SZ) zwangsläufig in Anführungszeichen stehen,
wenn die Anwendungen mit Parametern gestartet werden?

Bsp.
Pfad: HKLM\SOFTWARE\Microsoft\MigWiz
Name:AutoPlayCmdLine
Wert: "C:\\Windows\\System32\\migwiz\\migwiz.exe /magicusb" (-> Fehler bei den Backslashes
ist nun ausgemacht, jedoch steht diese Pfadangabe, ohne Anführungszeichen, im Gegensatz zu
den Reg_SZ-Beispielen in der ersten Frage.)

(Anmerkung: Die z.T. äußeren Anführungszeichen sind von mir wieder nur zur Eingrenzung gesetzt.)
Bitte warten ..
Mitglied: 99045
01.09.2011 um 22:31 Uhr
Pfadangeben müssen immer dann in Anführungszeichen gesetzt werden, wenn sich im Pfad ein Leerzeichen befindet. Parameter wie z. B. "%1" müssen ebenfalls in Anführungszeichen gesetzt werden.
Dabei ist es egal, ob es sich um REG_SZ oder REG_EXPAND_SZ handelt. REG_EXPAND_SZ unterscheidet sich nur dadurch, dass in letzterem Environmentvariablen verwendet werden.

Unter XP habe ich in keinem Service-Eintrag Pfade in Klammern, unter Vista wird es deshalb so sein, weil sich ja bereits in "Program Files" ein Leerzeichen befindet.
Ansonsten dürte die Angabe in der Registry auch davon abhängen, ob der Wert für das Programm oder die Funktion, die damit arbeitet, als ein Übergabeparameter betrachtet wird. Dann muss der gesamte Wert in Anführungszeichen stehen, wenn er aus mehreren Teilen besteht.

Vielleicht kannst du das im Technet verifizieren und findest dort genauere Informationen. Meine Erläuterungen sind so, wie ich mir lögisch vorstelle.
Bitte warten ..
Mitglied: Sib1268
01.09.2011 um 23:01 Uhr
Okay, dann wären meine Fragen soweit geklärt.

Ein großen Dank für deine Ausführlichkeit und Geduld

>Vielleicht kannst du das im Technet verifizieren und findest dort genauere Informationen. Meine Erläuterungen sind so, wie >ich mir lögisch vorstelle.

Ab und zu gibt es dort etwas Brauchbares aber leider keine Übersicht oder gute Erklärung.


Ach so, eine Antwort bin ich dir noch schuldig geblieben.
Dieses System wird vielleicht nicht mehr ins Internet kommen, mal sehen wie viele
Viren und Rootkit-Scanner ich nochmal darüber jagen lassen werde ;)

Mit freundlichen Grüßen

Sib1268
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst SCCM2012 Abfrage eines Registry Wertes (5)

Frage von busteron zum Thema Windows Server ...

Batch & Shell
gelöst Powershell Registry (1)

Frage von Marabunta zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...