7
Registry Hive offline einer vorhandenen Registry hinzufügen
Hallo.
Folgendes Szenario:
Ich habe eine Windows 7-Installation. Während der Laufzeit wird durch ein Programm ein UnloadKey auf die Registry-Hives "COMPONENTS" und "SOFTWARE" durchgeführt.
Ein UnloadKey führt ja nur dazu, dass die "Verknüpfung" zur laufenden Registry aufgehoben wird. Das heißt die Datei "COMPONENTS" z.B. ist danach immer noch in "C:\Windows\system32\config" vorhanden.
Das Ausführen des Programms hat natürlich zur Folge, dass die Maschine nach einem Neustart nicht mehr funktioniert und auch schon während der Laufzeit einige Programme (die nicht bei jedem Start nochmal ihre Registry-Einträge schreiben) Probleme bekommen.
Wenn ich während das System noch läuft den Registry Editor aufrufe und unter HKLM "Struktur laden/Load Hive" betätige und die genannte COMPONENTS-Datei auswähle, wird diese auch wieder der Registry hinzugefügt und kann die Maschine neu starten und sie wird ganz normal booten.
Mein Problem ist jedoch:
Was ist wenn ich die Maschine schon vorher neu gestartet habe und ich eben nicht mehr in Windows rein komme (in diesem Fall gibt es einen Bluescreen mit STOP 7B).
Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzufügen.
Klar kann ich ein Windows (PE)-Medium booten und dort die Kommandozeile nutzen. Dort kann ich auch regedit starten. Das problem ist aber, dass dort nur die temporäre Registry des Bootmediums geladen wird. Dort kann ich zwar einzelne Hives wie eben SOFTWARE oder so reinladen und die Values etc. anpassen, aber das bringt mir ja nichts.
Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzuzufügen!
Hat da jemand eine Idee?
Bin echt am verzweifeln.
Gruß,
HrwSiggi.
Folgendes Szenario:
Ich habe eine Windows 7-Installation. Während der Laufzeit wird durch ein Programm ein UnloadKey auf die Registry-Hives "COMPONENTS" und "SOFTWARE" durchgeführt.
Ein UnloadKey führt ja nur dazu, dass die "Verknüpfung" zur laufenden Registry aufgehoben wird. Das heißt die Datei "COMPONENTS" z.B. ist danach immer noch in "C:\Windows\system32\config" vorhanden.
Das Ausführen des Programms hat natürlich zur Folge, dass die Maschine nach einem Neustart nicht mehr funktioniert und auch schon während der Laufzeit einige Programme (die nicht bei jedem Start nochmal ihre Registry-Einträge schreiben) Probleme bekommen.
Wenn ich während das System noch läuft den Registry Editor aufrufe und unter HKLM "Struktur laden/Load Hive" betätige und die genannte COMPONENTS-Datei auswähle, wird diese auch wieder der Registry hinzugefügt und kann die Maschine neu starten und sie wird ganz normal booten.
Mein Problem ist jedoch:
Was ist wenn ich die Maschine schon vorher neu gestartet habe und ich eben nicht mehr in Windows rein komme (in diesem Fall gibt es einen Bluescreen mit STOP 7B).
Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzufügen.
Klar kann ich ein Windows (PE)-Medium booten und dort die Kommandozeile nutzen. Dort kann ich auch regedit starten. Das problem ist aber, dass dort nur die temporäre Registry des Bootmediums geladen wird. Dort kann ich zwar einzelne Hives wie eben SOFTWARE oder so reinladen und die Values etc. anpassen, aber das bringt mir ja nichts.
Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzuzufügen!
Hat da jemand eine Idee?
Bin echt am verzweifeln.
Gruß,
HrwSiggi.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342301
Url: https://administrator.de/forum/registry-hive-offline-einer-vorhandenen-registry-hinzufuegen-342301.html
Ausgedruckt am: 18.04.2025 um 10:04 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Finde das Programm und toete es.
Such Dir einen Registry-Monitor und lass den ueberwachen, welches Programm mit welchen Rechten was an der Registry macht.
https://www.windowspro.de/tool/registry-aenderungen-ueberwachen-regfroma ...
Fuer den Rest.
https://social.technet.microsoft.com/Forums/windows/en-US/fceadaef-72c1- ...
BFF
Während der Laufzeit wird durch ein Programm
Finde das Programm und toete es.
Such Dir einen Registry-Monitor und lass den ueberwachen, welches Programm mit welchen Rechten was an der Registry macht.
https://www.windowspro.de/tool/registry-aenderungen-ueberwachen-regfroma ...
Fuer den Rest.
https://social.technet.microsoft.com/Forums/windows/en-US/fceadaef-72c1- ...
BFF
@to
Viel hilft nicht viel, sondern bewirkt das Gegenteil. Ein Thread reicht!
Viel hilft nicht viel, sondern bewirkt das Gegenteil. Ein Thread reicht!
Hallo.
Vielen Dank für die Antwort, aber ich weiß wie ich Änderungen in der Registry überwache und ich weiß auch welcher Prozess das macht.
Leider geht das am eigentlichen Thema vorbei.
Es geht mir in diesem Thread hauptsächlich um:
Die in dem Thread verlinkte Restore-Methode beschreibt nur eine Möglichkeit wie ich eine kaputtkonfigurierte oder zerstörte Datei eines Hives wiederherstellen kann.
Die Hive-Datei ist ja aber noch vorhanden und sie ist auch nicht kaputt. Sie wurde aus der Registry ENTLADEN (UnloadKey-Methode).
@114685
Danke für den Hinweis. Ich empfand es jedoch als korrekt zwei verschiedene Themen hier zu eröffnen.
In diesem Thread hier geht es nur um eine Lösung/Möglichkeit eben diese Sache mit der Registry zu lösen.
In dem anderen Thread geht es darum was genau für ein Problem sich in unserem Netzwerk abspielt, etc. .
Vielen Dank für die Antwort, aber ich weiß wie ich Änderungen in der Registry überwache und ich weiß auch welcher Prozess das macht.
Leider geht das am eigentlichen Thema vorbei.
Es geht mir in diesem Thread hauptsächlich um:
Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzuzufügen.
Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzufügen!
Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzufügen!
Die in dem Thread verlinkte Restore-Methode beschreibt nur eine Möglichkeit wie ich eine kaputtkonfigurierte oder zerstörte Datei eines Hives wiederherstellen kann.
Die Hive-Datei ist ja aber noch vorhanden und sie ist auch nicht kaputt. Sie wurde aus der Registry ENTLADEN (UnloadKey-Methode).
@114685
Danke für den Hinweis. Ich empfand es jedoch als korrekt zwei verschiedene Themen hier zu eröffnen.
In diesem Thread hier geht es nur um eine Lösung/Möglichkeit eben diese Sache mit der Registry zu lösen.
In dem anderen Thread geht es darum was genau für ein Problem sich in unserem Netzwerk abspielt, etc. .
Hi.
Ein Unload ist aber kein permanenter Vorgang, denn nach einem Neustart werden normalerweise die Links zu den System-Hives wiederhergestellt. Dein ominöses Programm ändert wohl noch etwas anderes an dem System, also bekämpfe die Ursache anstatt mit irgendwelchen Tricks so ein System wieder auf die Beine zu stellen. Benutze Applocker / SRP und lass das Programm ins leere laufen, stelle fest woher es kommt und beseitige es.
Lese zu Registry-Interna auch folgenden Artikel: http://www.techsupportalert.com/content/deeper-windows-registry.htm
Gruß
Ein Unload ist aber kein permanenter Vorgang, denn nach einem Neustart werden normalerweise die Links zu den System-Hives wiederhergestellt. Dein ominöses Programm ändert wohl noch etwas anderes an dem System, also bekämpfe die Ursache anstatt mit irgendwelchen Tricks so ein System wieder auf die Beine zu stellen. Benutze Applocker / SRP und lass das Programm ins leere laufen, stelle fest woher es kommt und beseitige es.
Lese zu Registry-Interna auch folgenden Artikel: http://www.techsupportalert.com/content/deeper-windows-registry.htm
Gruß
@133417
Hallo.
Hmm, das ist in der Tat dann nicht der Fall, denn wie gesagt läuft das System nach einem Neustart in einen STOP 7B BlueScreen, weil es eben wohl Treiber nicht mehr korrekt laden kann.
Wie beschrieben kann ich aber, solange das System nicht neu gestartet wurde, den Hive per Regedit einfach wieder einfügen und dann funktioniert es auch.
Wieso funktioniert das?
Hallo.
Hmm, das ist in der Tat dann nicht der Fall, denn wie gesagt läuft das System nach einem Neustart in einen STOP 7B BlueScreen, weil es eben wohl Treiber nicht mehr korrekt laden kann.
Wie beschrieben kann ich aber, solange das System nicht neu gestartet wurde, den Hive per Regedit einfach wieder einfügen und dann funktioniert es auch.
Wieso funktioniert das?
Wie gesagt, beseitige die Ursache und nicht die Folgen dieser.
Wieso funktioniert das?
Weil dein System abnormal modifiziert wurde.
Hi HrwSiggi
abgesehen von den "AugenBrauen hochzieh" verwunderung von so einem Vorgang (ich bin seit 1993 mit NT unterwegs und habe viel gesehen....) wird das sicher auch via Registry (lade nicht den Teil X) gemacht. Offline bietet sich dann sowas wie der PE-RegistryLoader um den "Lade den Teil X nicht) zurückzusetzen.
Herausfinden wo das gemacht wird, da wäre meine Methode: Reg Export vor dem Problem, einer nach dem Vorgang (ohne Neustart) und dann via beyond Comapre oder sowas die Regs vergleichen lassen. Mit Reg Monitoren finde ich unübersichtlich, wenn tausende Einträge verändert werden und einer Marode ist.
Gruß
Sam
abgesehen von den "AugenBrauen hochzieh" verwunderung von so einem Vorgang (ich bin seit 1993 mit NT unterwegs und habe viel gesehen....) wird das sicher auch via Registry (lade nicht den Teil X) gemacht. Offline bietet sich dann sowas wie der PE-RegistryLoader um den "Lade den Teil X nicht) zurückzusetzen.
Herausfinden wo das gemacht wird, da wäre meine Methode: Reg Export vor dem Problem, einer nach dem Vorgang (ohne Neustart) und dann via beyond Comapre oder sowas die Regs vergleichen lassen. Mit Reg Monitoren finde ich unübersichtlich, wenn tausende Einträge verändert werden und einer Marode ist.
Gruß
Sam
