Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Regkey lässt sich nicht löschen

Frage Microsoft

Mitglied: fritzo

fritzo (Level 2) - Jetzt verbinden

13.03.2005, aktualisiert 17.10.2012, 15081 Aufrufe, 13 Kommentare

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\System

Hi,

ich habe einen Regkey gefunden, auf den ich keinerlei Zugriff habe und der sich nicht löschen lässt. Es handelt sich nicht um einen der Standardkeys, sondern um einen, der scheinbar bei der Installation von O&O Defrag gesetzt wurde; jedenfalls spuckt das Google aus.

Der Key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System

Ich würde ihn gern löschen, aber es funktioniert weder mit einer Deinstallation von O&O noch mit regedit noch mit einem Script (reg.exe und vbscript habe ich schon ausprobiert).

<a href="http://www.abxzone.com/forums/showthread.php?p=879088&postcount=6&q ..." des Keys</a>

Der Grund dafür, daß er sich nicht lesen oder löschen lässt, ist ein unsichtbarer 0-Byte-Eintrag unterhalb des Zweigs. Beschreibung von 0-Byte-Keys ist <a href="http://www.sysinternals.com/ntw2k/info/tips.shtml#registryhidden;t ..." zu finden.

Weiß jemand einen Weg, wie man solche Regkeys löscht? Marc Russinovich von Sysinternals scheint einen Weg zu wissen (er hat ein Beispielprogramm zur Verfügung gestellt, mit dem sich ein solcher Key setzen und wieder löschen lässt), aber bevor ich ihn anschreibe, würde ich gerne nochmal hier nachhören, ob jemand einen Weg kennt. Danke im voraus.

Grüße,
fritzo
Mitglied: franzkat
13.03.2005, aktualisiert 17.10.2012
So ein Problem habe ich auch schon mal gehabt mit Acronis Trrue Image. Du kannst es lösen, indem du offline auf die Festplattenregistry zugreifst und dann löschst. Wie das mit PE-Builder im Detail funktioniert, habe ich im Tutorial beschrieben :

http://www.administrator.de/wissen/wie-kann-ich-die-registry-in-w2k-und ...
Bitte warten ..
Mitglied: fritzo
13.03.2005 um 15:28 Uhr
Hi Franz,

leider ist es nicht so einfach.. Dieser Eintrag lässt sich nicht mit herkömmlichen Tools bearbeiten, weil sie ihn gar nicht lesen können - es funktioniert daher auch offline nicht. Das Problem dabei ist der 0-Byte-Eintrag. Es ginge evtl. mit einem Hexeditor, aber da bin ich etwas vorsichtig; mit einem Editor in der Registry herumspielen möchte ich mir eigentlich nicht geben..

Hat sonst jemand noch eine Idee? Dankeschön im voraus.

Grüße,
fritzo
Bitte warten ..
Mitglied: franzkat
13.03.2005 um 20:17 Uhr
Hallo fritzo !

Interessantes Phänomen. Muss ich mich gleich mal intensiver mit beschäftigen und das Sysinternals-Tool testen. Du hast aber den Weg schon gewiesen : Was spricht gegen den Einsatz des Hex-Editors ? Aber auch das werde ich mal ausprobieren.

Nachtrag : Wenn du vorher die Registry-Datei 'software' auf ein anderes System kopierst, kannst du auch die Operation mit dem Hex--Editor gefahrlos durchführen. Dann tauschst du die beiden software-Dateien unter PE-Builder mal aus und testest das Ergebnis.
Bitte warten ..
Mitglied: franzkat
13.03.2005 um 23:35 Uhr
Muss leider zugeben, dass alle meine Versuche, das Problem auf die Schnelle über einen Hex-Editor zu lösen, gescheitert sind, da die Datenstruktur der Registry im Hex-Editor mit den vielen Steuerzeichen für die Datenbank unübersichtlich ist. Das Ergebnis ist dann allzuschnell eine nicht mehr funktionsfähige Registry-Datei.Da steht dann das Risiko nicht im vernünftigen Verhältnis zum Nutzen.
Bitte warten ..
Mitglied: franzkat
15.03.2005 um 00:04 Uhr
Man kann natürlich den Eintrag doch per Hex-Editor entfernen, wenn man Besonderheiten der Registry-Dateien beachtet. Ich habe das für das Sysinternals-Beispiel nun doch mit befriedigendem Ergebnis geschafft :

- man lädt die Datei software aus %windir%\system32\config (kann man nicht direkt machen; ich habe mit einer ERUNT-Kopie gearbeitet; das geht am bequemsten)
in einen Hexeditor

- man sucht den Textstring Internals und markiert dann den Ausschnitt wie im Screenshot :

http://mitglied.lycos.de/franzkat/touch1.jpg

- anschließend auf Entf drücken.
- man fügt exakt an dieser Stelle wieder statt der gelöschten 272 Byte die gleiche Anzahl 0 Byte ein.

http://mitglied.lycos.de/franzkat/touch2.jpg

Anschließend im Hex-Editor speichern und wieder zurück in den config-Ordner.

Der Native-API-Spuk ist verschwunden.
Bitte warten ..
Mitglied: fritzo
15.03.2005 um 00:50 Uhr
Hi Franz,

Man kann natürlich den Eintrag doch per
Hex-Editor entfernen

sehr genial

- man lädt die Datei software aus
%windir%\system32\config (kann man nicht
direkt machen; ich habe mit einer
ERUNT-Kopie gearbeitet; das geht am
bequemsten)
in einen Hexeditor

ich zieh mir das denn mal mit BartsPE.

- man sucht den Textstring Internals und

mit "System" wird es wahrscheinlich ein bißchen Sucherei *grins* ich denke ich suche mir einen sprechenden Eintrag in der Nähe und schau ob ich ihn dann irgendwo finde. Oder ich suche nach Nullbyte-Folgen "\0"

markiert dann den Ausschnitt wie im
Screenshot :

http://mitglied.lycos.de/franzkat/touch1.jpg

Ok, kannst Du das Format in etwas beschreiben? Haben die Entries irgendwelche Header zur Orientierung? Hab sowas mit der Registry noch nie gemacht.

- man fügt exakt an dieser Stelle
wieder statt der gelöschten 272 Byte
die gleiche Anzahl 0 Byte ein.

NOPs *grins* das erinnert mich an etwas, das lange her ist

Anschließend im Hex-Editor speichern
und wieder zurück in den config-Ordner.

auch offline, selbstredend.

Ich find es echt klasse, daß Du soviel Energie da reinsteckst! Dickes Dankeschön schon mal dafür!

Ich wart noch ein bißchen ab, ob Du die zwei Fragen da oben beantworten kannst. Wenn nicht, versuche ich es so, wird schon klappen. Was wäre eigentlich der worst case? *grins

Grüße,
fritzo
Bitte warten ..
Mitglied: franzkat
15.03.2005 um 05:57 Uhr
Hlo dir zunächstmal das Tool ERUNT. Damit legst du eine Sicherung der Registry mit deinem Windows-System an. Dann kopierst du dir die Datei 'software' aus x:\windows\erdnt\<Datum> in einen x-beliebigen Ordner.
Das ist jetzt deine Registry-Arbeitsdatei, an der du alles testen kannst. Deine eigentliche Registry bleibt so völlig unberührt, solange, bis die Veränderungen alle funktionieren.
DSie software-Datei lädst du dann in einen REg-Editor. Wie das bei dir mit dem Twextstriung aussieht, kann ich schwer sagen. Suche nach \0-Strings werden keinen Erfolg haben. Das ist zu unspezifisch.Ich werde mal selbst die Defrag-Geschichte testen.
Bitte warten ..
Mitglied: franzkat
15.03.2005 um 16:42 Uhr
Hallo fritzo !

Ich denke, ich habe eine praktikable Lösung für dich :

Der O&O-Defrag-Eintrag ist in der Hex-Ansicht noch wesentlich komplizierter als der Sysinternals-Simulationseintrag. Da hat man per Hex-Editor praktisch kaum noch eine Chance, ohne die Registry zu beschädigen, wenn man die Offsets nicht genau kennt. Es gibt aber einen anderen Weg, den Eintrag korrekt zu löschen :

Das altbekannte Petter-Nordahl-Tool Offline NT Password & Registry Editor ist eben nicht nur zum Passwortsetzen gut, sondern auch zum Registry-Editieren.Das ist zwar auf der Kommandozeile etwas gewöhnungsbedürftig, aber man hat vollen Zugriff auf den besagten O&O-Null-Key; und da eben unter Linux nicht die Windows API benutzt wird, kann man dann auch den O&O Defrag-Eintrag- wie ich selbst erfolgreich getestet habe - korrekt löschen.
Bitte warten ..
Mitglied: fritzo
15.03.2005 um 23:05 Uhr
Hey,

das habe ich sogar hier rumfliegen. Ich probier das am WE mal ganz in Ruhe aus und berichte dann von den Ergebnissen (vorher werde ich wohl ein Image ziehen, falls was in die Hose gehen sollte.

Nochmal dickes Dankeschön!!

Viele Grüße,
fritzo
Bitte warten ..
Mitglied: fritzo
25.03.2005 um 03:50 Uhr
Hi Franz,

Zitat:
"Ich habe jetzt noch mal bei dem O&O-Eintrag folgendes getestet :Wenn man die beiden Bytes hinter 'System' in einem Hex-Editor mit X und 0 überschreibt, dann wird der Name des Eintrags in SystemX umbenannt und der Namensstring entsprechend der Win API-Konvention korrekt terminiert. Der Eintrag erscheint dann unter regedit ganz normal. Der Wert kann eingesehen und der ganze Eintrag problemlos gelöscht werden."

Du hast also die Registry offline wegkopiert, mit einem Hexeditor geöffnet, die Bytes geändert und sie dann wieder verschoben, richtig?

Grüße,
fritzo
Bitte warten ..
Mitglied: fritzo
25.03.2005, aktualisiert 23.10.2012
Hi Franz

ich habe eine Möglichkeit gefunden, es online durchzuführen, es wird lediglich ein Reboot benötigt, um die geänderte Registry auszutauschen.

http://www.administrator.de/wissen/howto-delete-0-byte-registry-keys-83 ...

File closed Dankeschön nochmal!

Grüße,
Arne
Bitte warten ..
Mitglied: nimdaresu
14.10.2005 um 16:54 Uhr
Also wenn man sich gern mit Hex-Editoren abquälen will, gern, ich versteh davon nix.
Nur vielleicht ist es mir möglich geworden einen einfacheren Weg zu finden.

Denn in der regedit
bei sogenannten Eintrag der sich nicht löschen lasst bin ich draufgekommen, das es nur an der Berechtigung liegt, das dieser sich nicht entfernen lässt.

Somit nach dem alle F3 o&o defrag entfernt wurden
braucht ihr nur bei dem wos nicht geht

\bearbeiten
\Berechtigungen...
\Vollzugriff

mit einem Häckchen aktivieren,
(Administrator voraussetzung klarerweise)
und löschen

Falls ich das thema verfehlt habe sagt mir bescheid, aber sonst wär das glaubich das einfachste diese loszuwerden.

LG

Nimdaresu
Bitte warten ..
Mitglied: fritzo
14.10.2005, aktualisiert 23.10.2012
Falls ich das thema verfehlt habe sagt mir
bescheid, aber sonst wär das glaubich
das einfachste diese loszuwerden.

Bescheid ;) Danke aber dafür, daß Du helfen wolltest!

Das Problem bei diesen Keys ist, daß es sich nicht nur um fehlende Berechtigungen handelt, sondern daß man auf diese Keys überhaupt nicht mit normalen Tools zugreifen kann. Ich hatte es nach einer Weile selbst gelöst, die Doku dazu findest Du http://www.administrator.de/wissen/howto-delete-0-byte-registry-keys-83 ...

Liebe Grüße zurück,
fritzo
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
Verzeichnis lässt sich nicht löschen (7)

Frage von BPeter zum Thema Windows Server ...

Windows Server
gelöst Windows ACL "Löschen verweigern" greift nicht - Datei lässt sich immer löschen (28)

Frage von Hastduschonneugestartet zum Thema Windows Server ...

Exchange Server
Inhalt von Postfächern in Exchange löschen (9)

Frage von m.reeger zum Thema Exchange Server ...

Exchange Server
Exchange 2013 lässt sich nicht Updaten (5)

Frage von onkel87 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...