Hallo, ich möchte von einer CD oder einer 2ten Partition starten um die Registry von der Hauptpartition zu bearbeiten, kennt jemand so ein Programm welches auf die Registry zugreifen kann ohne das das zu dieser Registry zugehörige Betriebssystem mitstarten muss. Geht um Win XP und ich muss ein paar Run bzw. RunService Einträge in der Registry entfernen. Habe noch eine Bart BootCD für mein System und wollte dann einfach einen Registry Editor starten der möglichst keine Installation braucht. Hoffe mir kann jemand ein Programm empfehlen habe schon einige Editoren runtergeladen diese kann man aber nur aus dem Laufenden System fürs Laufenende System nutzen.
Das geht mit dem BartPE oder einem parallelen Windows direkt mit dem dort vorhandenen Regedit. Klicke im Registrierungsbaum (links) auf einen der Schlüssel HKEY_USERS oder HKEY_LOCAL_MACHINE. Klicke im Menü Datei auf Struktur laden und suche die Datei auf der Platte, du musst dann einen Namen ("test" vergeben und dann wird der Zweig darunter eingebunden - siehe auch die Hilfe des Regedit. Nach deinen Änderungen markierst du den Schlüsselnamen "test" und entfernst die Struktur wieder. Problem ist möglicherweise nur, dass du nicht sicher sagen kannst, in welcher Datei dein gesuchter Schlüssel drin steckt. Die Registry ist auf mehrer Dateien in verschiedenen Verzeichnissen (Windows\System32\config, oder unter 'Dokumente und Einstellungen\username') verteilt.
Der "ERD Commander" von Sysinternals* kann das, den müsste man sich aber kaufen. Ist das betreffende System so "verseucht", daß es das kostenlose "autoruns**"-Tool von Sysinternals nicht hinbekommt? Das hat mir schon oft gute Dienste geleistet. *) jetzt Microsoft: http://technet.microsoft.com/en-us/sysinternals/default.aspx **) http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
Dienste und Gerätetreiber kann man auch von der Reperaturkonsole aus wenn man noch von der XP-Install CD aus booten kann. Aber das beschriebene Hive-Laden im Regedit klappt auch ganz gut wenn man die Platte an ein laufendes System hängen kann.
.. von der Reperaturkonsole aus deaktivieren .. wieder schneller gedacht als geschrieben.
ich war ein bischen schnell am klicken und habe nur auf das Symbolbild von WINRAR geachten im letzens Moment sehe ich das ist ne Exe Datei, dann kam dieses Fenster mit der Pfadangabe wohin das Zeug entpackt werden soll, dachte dann nochmal Schwein gehabt. Nach meinem Weiterklick, öffne sich aber plötzlich die Eingabeaufforderung und da hats mir den Hund ziemlich überall auf die Festplatte verteilt, weiterhin waren die Netzwerkverbindung weg, Soundkartentreiber usw. habe dann ertsmal das Lan Kabel rausgezogen und von der 2ten Partition gestarten und alle neu erstellten Dateien nach der Urzeit ausgemacht, da es aber in sehr vielen Verzeichnissen neue Dateien erstellt hat wollte ich auf Nummer sicher gehen und die einzelnen Dienste und ServiceRuns... in der Registry mal durchgehen. Früher war es ja immer die user.dat und system.dat im Windows Verzeichniss nun scheint es aber nur eine user.Dat im Nutzerprofil(Dokum. und Einstell....) zu geben oder aber wo hat sich die system.dat versteckt
>aber wo hat sich die system.dat versteckt
Hatte ich ja schon angedeudet: Bei XP sind welche in
C:\WINDOWS\system32\config\
sie heißen ohne Endung: default, system, software.
Vielleicht gibt es noch weitere - so tief bin ich auch nicht drin.
Aber die Run- bzw. RunService-Einträge sind doch normalerweise
zugänglich. Ev. auch indirekt über msconfig.
Wenn ich das richtig verstehe, hast du dir Schadsoftware eingefangen und auf deiner ganzen Festplatte verteilt. Du glaubst jetzt, mit der Berichtigung von ein paar Registry-Einträgen wäre die Sache damit erledigt? Die einzige sinnvolle Aktion in diesem Fall wäre format c: und das letzte saubere Backup einspielen.
Besser als von Hand in der Registry herumzusuchen ist der Einsatz von autoruns (Link habe ich weiter oben schon gepostet). Das kennt alle Orte, an denen sich irgendwelcher Dreck festsetzen kann.
die Schadsoftware kann aber auch ausführbare Dateien verändert haben ohne den Zeitstempel zu verändern, also ein Virenscanner von CD gestartet dürfte auch sicherer sein.
Moin ... versuchs mal mit der Windows Ultimate Boot CD (einfach googlen) .. die bringt alles mit ... aller brauchst Du noch im Vorfeld einen Rechner der funktioniert ... Gruß Ducky
Bevor Du jedoch zur Tat schreitest würde ich evtl. von CD mal ein System mit einen frischen Virenscanner laufen lassen um den Schädling näher kennen zu lernen. Oft gibt es dazu eine Viren-Beschreibung im Netz. In leichten, glücklichen Fällen könntE ein Systemwiederherstellungspunkt (mit einigen Nebenwirkungen) helfen. Hier sieht es auf Grund der vielen neuen rar-Dateien weniger hoffnungsvoll aus. Wenn die Schadsoftware fleißig war, dann ist format + letztes Backup/Image aus dem Schrank holen die saubere Lösung.
scheint sehr schwierig zu sein. Werde das System nun neu aufsetzen, was auch bestimmt einige Treiberleichen wegputzt. Jetzt habe ich noch ein paar Fragen. Ich habe meine Benutzereinstellungen unter Dokumente und Einstellungen gesichert, welche ich nicht vollständig zurückspielen werde sondern nur die nötigsten Sachen wie z.B. Fax und Anrufbeantworterdateien, Mails usw. Könnte es sein das ich wegen den Benutzerrechten bei NTFS später nach der Neuinstallation keinen Zugriff mehr auf die Daten haben, habe das Benutzerkonto Passwortgeschütz aber die Dateien selbst nicht verschlüsselt. Ansonsten werde ich die Dateien auf einen FAT32 Datenträger speichern dann sollte ja keine Rechte mehr vergeben sein allerdings ist der Datenträger mit 1 GB nicht gerade groß, was passiert wenn ich eine normale ISO CD oder DVD brenne, werden dann die Nutzerrechte auch entfernt? Sollte man irgendeine Installationsreihenfolge einhalten? Denke Betriebssystem(+Raidtreiber einbinden), Chipsatztreiber, Servicepack, Grafiktreiber und dann den Rest oder wie macht ihr das ganze?
>Könnte es sein das ich wegen den Benutzerrechten bei NTFS später >nach der Neuinstallation keinen Zugriff mehr auf die Daten haben, habe >das Benutzerkonto Passwortgeschütz aber die Dateien selbst nicht >verschlüsselt. Ohne es sicher zu wissen: ich habe noch nie dergleichen feststellen können. Sobald Daten aus Bereichen, auf die nicht jeder Mitbenutzer Zugriff hat, in ein 'offenes' Verzeichnis kopiert werden, sind sie für alle zugänglich. Außer du hättest explizit der Datei gewisse Berechtigungen entzogen. Aber, selbst wenn: als Admin solltest du die Möglichkeit haben, die Berechtigungen wieder anzupassen. >oder wie macht ihr das ganze? Da ich bei einem neuen System (z.B. nach Neukauf) als erstes ein Image der Systempartition anfertige, konnte ich mir bisher echte Neuinstallationen ersparen. Im Problemfall spiele ich einfach dieses Image wieder drauf und habe in 15 Minuten ein 'neues', lauffähiges System. Übrigens, ich würde das Servicepack zum Schluss einspielen.
1. Wenn ich den Schlamassel hätte, wäre würde ich gleich eine neue, größere HD nehmen und die alte in den Schrank tun. 2. Frisches System mit Treibern,Patchen, Virenscanner, Backup/Image machen, Widerherstellungspunkt setzen, dann erst Restdaten einspielen 3.Verschlüsselte Dateien sind ein Sonderfall. Wenn Du sie jedoch als Admin lesen kannst oder EIGENTÜMER bist, dann kopiere den ganzen Ordner auf eine DVD oder CD. Damit solltest Du NTFS überlistet haben. Bei Virenbefall überlegen: nicht alles auf EINEN großen Datenträger zu kopieren. Falls der Virus noch in Teilen versteckt sein sollte, kann man manchmal durch Sortieren was ausschließen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.