mikrocontroller.net

Forum: PC Hard- und Software Registry auf Festplatte von Boot-CD bearbeiten


Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

ich möchte von einer CD oder einer 2ten Partition starten um die 
Registry von der Hauptpartition zu bearbeiten, kennt jemand so ein 
Programm welches auf die Registry zugreifen kann ohne das das zu dieser 
Registry zugehörige Betriebssystem mitstarten muss.

Geht um Win XP und ich muss ein paar Run bzw. RunService Einträge in der 
Registry entfernen.

Habe noch eine Bart BootCD für mein System und wollte dann einfach einen 
Registry Editor starten der möglichst keine Installation braucht.

Hoffe mir kann jemand ein Programm empfehlen habe schon einige Editoren 
runtergeladen diese kann man aber nur aus dem Laufenden System fürs 
Laufenende System nutzen.

Autor: HildeK (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das geht mit dem BartPE oder einem parallelen Windows direkt mit dem 
dort vorhandenen Regedit.

Klicke im Registrierungsbaum (links) auf einen der Schlüssel HKEY_USERS 
oder HKEY_LOCAL_MACHINE.
Klicke im Menü Datei auf Struktur laden und suche die Datei auf der 
Platte, du musst dann einen Namen ("test" vergeben und dann wird der 
Zweig darunter eingebunden - siehe auch die Hilfe des Regedit.
Nach deinen Änderungen markierst du den Schlüsselnamen "test" und 
entfernst die Struktur wieder.

Problem ist möglicherweise nur, dass du nicht sicher sagen kannst, in 
welcher Datei dein gesuchter Schlüssel drin steckt. Die Registry ist auf 
mehrer Dateien in verschiedenen Verzeichnissen (Windows\System32\config, 
oder unter 'Dokumente und Einstellungen\username') verteilt.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der "ERD Commander" von Sysinternals* kann das, den müsste man sich aber 
kaufen.

Ist das betreffende System so "verseucht", daß es das kostenlose 
"autoruns**"-Tool von Sysinternals nicht hinbekommt? Das hat mir schon 
oft gute Dienste geleistet.


*) jetzt Microsoft: 
http://technet.microsoft.com/en-us/sysinternals/default.aspx

**) http://technet.microsoft.com/en-us/sysinternals/bb...

Autor: JojoS (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dienste und Gerätetreiber kann man auch von der Reperaturkonsole aus 
wenn man noch von der XP-Install CD aus booten kann. Aber das 
beschriebene Hive-Laden im Regedit klappt auch ganz gut wenn man die 
Platte an ein laufendes System hängen kann.

Autor: JojoS (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
.. von der Reperaturkonsole aus deaktivieren ..
wieder schneller gedacht als geschrieben.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ich war ein bischen schnell am klicken und habe nur auf das Symbolbild 
von WINRAR geachten im letzens Moment sehe ich das ist ne Exe Datei, 
dann kam dieses Fenster mit der Pfadangabe wohin das Zeug entpackt 
werden soll, dachte dann nochmal Schwein gehabt. Nach meinem 
Weiterklick, öffne sich aber plötzlich die Eingabeaufforderung und da 
hats mir den Hund ziemlich überall auf die Festplatte verteilt, 
weiterhin waren die Netzwerkverbindung weg, Soundkartentreiber usw. 
habe dann ertsmal das Lan Kabel rausgezogen und von der 2ten Partition 
gestarten  und alle neu erstellten Dateien nach der Urzeit ausgemacht, 
da es aber in sehr vielen Verzeichnissen neue Dateien erstellt hat 
wollte ich auf Nummer sicher gehen und die einzelnen Dienste und 
ServiceRuns... in der Registry mal durchgehen.

Früher war es ja immer die user.dat und system.dat im Windows 
Verzeichniss nun scheint es aber nur eine user.Dat im 
Nutzerprofil(Dokum. und Einstell....) zu geben oder aber wo hat sich die 
system.dat versteckt

Autor: HildeK (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>aber wo hat sich die system.dat versteckt
Hatte ich ja schon angedeudet: Bei XP sind welche in
C:\WINDOWS\system32\config\
sie heißen ohne Endung: default, system, software.
Vielleicht gibt es noch weitere - so tief bin ich auch nicht drin.

Aber die Run- bzw. RunService-Einträge sind doch normalerweise 
zugänglich. Ev. auch indirekt über msconfig.

Autor: Kobaltchlorid (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn ich das richtig verstehe, hast du dir Schadsoftware eingefangen und 
auf deiner ganzen Festplatte verteilt. Du glaubst jetzt, mit der 
Berichtigung von ein paar Registry-Einträgen wäre die Sache damit 
erledigt?

Die einzige sinnvolle Aktion in diesem Fall wäre format c: und das 
letzte saubere Backup einspielen.

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Besser als von Hand in der Registry herumzusuchen ist der Einsatz von 
autoruns (Link habe ich weiter oben schon gepostet). Das kennt alle 
Orte, an denen sich irgendwelcher Dreck festsetzen kann.

Autor: JojoS (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
die Schadsoftware kann aber auch ausführbare Dateien verändert haben 
ohne den Zeitstempel zu verändern, also ein Virenscanner von CD 
gestartet dürfte auch sicherer sein.

Autor: Mi Gö (ducky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Moin ...

versuchs mal mit der Windows Ultimate Boot CD (einfach googlen) .. die 
bringt alles mit ... aller brauchst Du noch im Vorfeld einen Rechner der 
funktioniert ...

Gruß Ducky

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bevor Du jedoch zur Tat schreitest würde ich evtl. von CD mal ein System 
mit einen frischen Virenscanner laufen lassen um den Schädling näher 
kennen zu lernen. Oft gibt es dazu eine Viren-Beschreibung im Netz.

In leichten, glücklichen Fällen könntE ein Systemwiederherstellungspunkt 
(mit einigen Nebenwirkungen) helfen.
Hier sieht es auf Grund der vielen neuen rar-Dateien weniger 
hoffnungsvoll aus.

Wenn die Schadsoftware fleißig war, dann ist format + letztes 
Backup/Image aus dem Schrank holen die saubere Lösung.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
scheint sehr schwierig zu sein. Werde das System nun neu aufsetzen, was 
auch bestimmt einige Treiberleichen wegputzt.

Jetzt habe ich noch ein paar Fragen.

Ich habe meine Benutzereinstellungen unter Dokumente und Einstellungen 
gesichert, welche ich nicht vollständig zurückspielen werde sondern nur 
die nötigsten Sachen wie z.B. Fax und Anrufbeantworterdateien, Mails 
usw. Könnte es sein das ich wegen den Benutzerrechten bei NTFS später 
nach der Neuinstallation keinen Zugriff mehr auf die Daten haben, habe 
das Benutzerkonto Passwortgeschütz aber die Dateien selbst nicht 
verschlüsselt.

Ansonsten werde ich die Dateien auf einen FAT32 Datenträger speichern 
dann sollte ja keine Rechte mehr vergeben sein allerdings ist der 
Datenträger mit 1 GB nicht gerade groß, was passiert wenn ich eine 
normale ISO CD oder DVD brenne, werden dann die Nutzerrechte auch 
entfernt?

Sollte man irgendeine Installationsreihenfolge einhalten? Denke 
Betriebssystem(+Raidtreiber einbinden), Chipsatztreiber, Servicepack, 
Grafiktreiber und dann den Rest oder wie macht ihr das ganze?

Autor: HildeK (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Könnte es sein das ich wegen den Benutzerrechten bei NTFS später
>nach der Neuinstallation keinen Zugriff mehr auf die Daten haben, habe
>das Benutzerkonto Passwortgeschütz aber die Dateien selbst nicht
>verschlüsselt.
Ohne es sicher zu wissen: ich habe noch nie dergleichen feststellen 
können. Sobald Daten aus Bereichen, auf die nicht jeder Mitbenutzer 
Zugriff hat, in ein 'offenes' Verzeichnis kopiert werden, sind sie für 
alle zugänglich. Außer du hättest explizit der Datei gewisse 
Berechtigungen entzogen.
Aber, selbst wenn: als Admin solltest du die Möglichkeit haben, die 
Berechtigungen wieder anzupassen.

>oder wie macht ihr das ganze?
Da ich bei einem neuen System (z.B. nach Neukauf) als erstes ein Image 
der Systempartition anfertige, konnte ich mir bisher echte 
Neuinstallationen ersparen. Im Problemfall spiele ich einfach dieses 
Image wieder drauf und habe in 15 Minuten ein 'neues', lauffähiges 
System.
Übrigens, ich würde das Servicepack zum Schluss einspielen.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
1. Wenn ich den Schlamassel hätte, wäre würde ich gleich eine neue, 
größere HD nehmen und die alte in den Schrank tun.

2. Frisches System mit Treibern,Patchen, Virenscanner, Backup/Image 
machen, Widerherstellungspunkt setzen, dann erst Restdaten einspielen

3.Verschlüsselte Dateien sind ein Sonderfall.
Wenn Du sie jedoch als Admin lesen kannst oder EIGENTÜMER bist, dann 
kopiere den ganzen Ordner auf eine DVD oder CD. Damit solltest Du NTFS 
überlistet haben.
Bei Virenbefall überlegen: nicht alles auf EINEN großen Datenträger zu 
kopieren. Falls der Virus noch in Teilen versteckt sein sollte, kann man 
manchmal durch Sortieren was ausschließen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.