Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Registry Hive offline einer vorhandenen Registry hinzufügen

Mitglied: HrwSiggi

HrwSiggi (Level 1) - Jetzt verbinden

03.07.2017, aktualisiert 04.07.2017, 1084 Aufrufe, 7 Kommentare

Hallo.

Folgendes Szenario:
Ich habe eine Windows 7-Installation. Während der Laufzeit wird durch ein Programm ein UnloadKey auf die Registry-Hives "COMPONENTS" und "SOFTWARE" durchgeführt.
Ein UnloadKey führt ja nur dazu, dass die "Verknüpfung" zur laufenden Registry aufgehoben wird. Das heißt die Datei "COMPONENTS" z.B. ist danach immer noch in "C:\Windows\system32\config" vorhanden.
Das Ausführen des Programms hat natürlich zur Folge, dass die Maschine nach einem Neustart nicht mehr funktioniert und auch schon während der Laufzeit einige Programme (die nicht bei jedem Start nochmal ihre Registry-Einträge schreiben) Probleme bekommen.

Wenn ich während das System noch läuft den Registry Editor aufrufe und unter HKLM "Struktur laden/Load Hive" betätige und die genannte COMPONENTS-Datei auswähle, wird diese auch wieder der Registry hinzugefügt und kann die Maschine neu starten und sie wird ganz normal booten.

Mein Problem ist jedoch:
Was ist wenn ich die Maschine schon vorher neu gestartet habe und ich eben nicht mehr in Windows rein komme (in diesem Fall gibt es einen Bluescreen mit STOP 7B).

Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzufügen.


Klar kann ich ein Windows (PE)-Medium booten und dort die Kommandozeile nutzen. Dort kann ich auch regedit starten. Das problem ist aber, dass dort nur die temporäre Registry des Bootmediums geladen wird. Dort kann ich zwar einzelne Hives wie eben SOFTWARE oder so reinladen und die Values etc. anpassen, aber das bringt mir ja nichts.

Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzuzufügen!


Hat da jemand eine Idee?
Bin echt am verzweifeln.


Gruß,
HrwSiggi.
Mitglied: BassFishFox
03.07.2017, aktualisiert um 18:15 Uhr
Hallo,

Während der Laufzeit wird durch ein Programm

Finde das Programm und toete es.
Such Dir einen Registry-Monitor und lass den ueberwachen, welches Programm mit welchen Rechten was an der Registry macht.

https://www.windowspro.de/tool/registry-aenderungen-ueberwachen-regfroma ...

Fuer den Rest.

https://social.technet.microsoft.com/Forums/windows/en-US/fceadaef-72c1- ...

BFF
Bitte warten ..
Mitglied: 114685
03.07.2017 um 18:14 Uhr
@TO

Viel hilft nicht viel, sondern bewirkt das Gegenteil. Ein Thread reicht!
Bitte warten ..
Mitglied: HrwSiggi
04.07.2017, aktualisiert um 10:16 Uhr
Hallo.

Vielen Dank für die Antwort, aber ich weiß wie ich Änderungen in der Registry überwache und ich weiß auch welcher Prozess das macht.

Leider geht das am eigentlichen Thema vorbei.

Es geht mir in diesem Thread hauptsächlich um:

Ich habe keine Möglichkeit gefunden der Registry OFFLINE einen Hive hinzuzufügen.
Ich muss in die Registry der vorhandenen Windows-Installation diesen Hive wieder hinzufügen!

Die in dem Thread verlinkte Restore-Methode beschreibt nur eine Möglichkeit wie ich eine kaputtkonfigurierte oder zerstörte Datei eines Hives wiederherstellen kann.
Die Hive-Datei ist ja aber noch vorhanden und sie ist auch nicht kaputt. Sie wurde aus der Registry ENTLADEN (UnloadKey-Methode).



@114685

Danke für den Hinweis. Ich empfand es jedoch als korrekt zwei verschiedene Themen hier zu eröffnen.
In diesem Thread hier geht es nur um eine Lösung/Möglichkeit eben diese Sache mit der Registry zu lösen.

In dem anderen Thread geht es darum was genau für ein Problem sich in unserem Netzwerk abspielt, etc. .
Bitte warten ..
Mitglied: 133417
04.07.2017, aktualisiert um 10:18 Uhr
Hi.
Ein Unload ist aber kein permanenter Vorgang, denn nach einem Neustart werden normalerweise die Links zu den System-Hives wiederhergestellt. Dein ominöses Programm ändert wohl noch etwas anderes an dem System, also bekämpfe die Ursache anstatt mit irgendwelchen Tricks so ein System wieder auf die Beine zu stellen. Benutze Applocker / SRP und lass das Programm ins leere laufen, stelle fest woher es kommt und beseitige es.
Lese zu Registry-Interna auch folgenden Artikel: http://www.techsupportalert.com/content/deeper-windows-registry.htm

Gruß
Bitte warten ..
Mitglied: HrwSiggi
04.07.2017 um 10:23 Uhr
@133417

Hallo.
Hmm, das ist in der Tat dann nicht der Fall, denn wie gesagt läuft das System nach einem Neustart in einen STOP 7B BlueScreen, weil es eben wohl Treiber nicht mehr korrekt laden kann.

Wie beschrieben kann ich aber, solange das System nicht neu gestartet wurde, den Hive per Regedit einfach wieder einfügen und dann funktioniert es auch.
Wieso funktioniert das?
Bitte warten ..
Mitglied: 133417
04.07.2017 um 10:30 Uhr
Wie gesagt, beseitige die Ursache und nicht die Folgen dieser.
Wieso funktioniert das?
Weil dein System abnormal modifiziert wurde.
Bitte warten ..
Mitglied: SamvanRatt
04.07.2017 um 16:57 Uhr
Hi HrwSiggi
abgesehen von den "AugenBrauen hochzieh" verwunderung von so einem Vorgang (ich bin seit 1993 mit NT unterwegs und habe viel gesehen....) wird das sicher auch via Registry (lade nicht den Teil X) gemacht. Offline bietet sich dann sowas wie der PE-RegistryLoader um den "Lade den Teil X nicht) zurückzusetzen.
Herausfinden wo das gemacht wird, da wäre meine Methode: Reg Export vor dem Problem, einer nach dem Vorgang (ohne Neustart) und dann via beyond Comapre oder sowas die Regs vergleichen lassen. Mit Reg Monitoren finde ich unübersichtlich, wenn tausende Einträge verändert werden und einer Marode ist.
Gruß
Sam
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Powershell Registry
gelöst Frage von MarabuntaBatch & Shell1 Kommentar

Hallo, ich will mit Powershell einen neuen Registry Key erstellen(bzw. ersetzten falls vorhanden), mit Name und Wert. Set-ItemProperty erstellt ...

Windows Userverwaltung
Proxy Gruppenrichtlininen Registry
Frage von leon123Windows Userverwaltung3 Kommentare

Hallo zusammen, nachdem die ganzen Anleitungen mit dem Proxy einfach nicht so funktionierten wie ich wollte und ich auf ...

Batch & Shell
PowerShell - Registry x64
Frage von emeriksBatch & Shell5 Kommentare

Hi, ich will sicherstellen, dass ein PowerShell Script immer im x64-Zweig der Registry liest, egal ob die PowerShell in ...

Entwicklung
Registry Namespace für SendTo
gelöst Frage von mayho33Entwicklung8 Kommentare

Hallo @ All Einer unserer Kunden hat eine speziellen Wunsch was Customizing einer Installation angeht und ich würde eure ...

Neue Wissensbeiträge
Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Anleitung von System-Fehler vor 21 StundenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Internet

Aktuelle Netzauslastung in Deutschland durch die Covid-19-Pandemie

Information von Frank vor 1 TagInternet10 Kommentare

Viele Bürger fragen sich, ob die Telekommunikationsnetze während der Covid-19-Pandemie der verstärkten Internetnutzung durch Home Office, eLearning, Videostreaming und ...

iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 3 TageniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 3 TagenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
Netphone APP nimmt kein Kontakt auf
Frage von Finchen961988TK-Netze & Geräte12 Kommentare

Hallo, ich kämfpe mit einem Problem im Bereich Netphone und der Mobil APP. Bei einem Kunden habe ich eine ...

Router & Routing
VPN Client als Router
gelöst Frage von lowsounderRouter & Routing12 Kommentare

Moin moin, zwecks Homeoffice habe ich einen Laptop zuhause der mittels OpenVPN an das Firmennetz angeschlossen ist. Adminrechte hab ...

Microsoft Office
Excel Problem Verhalten bei einem zusätzlichen angeschlossenem Monitor
Frage von JuniorgongMicrosoft Office12 Kommentare

Hallo Ich habe ein Problem mit einem User der im Home-Office sitzt. Es wurde an einem Notebook ein 2ter ...

Server-Hardware
ESXi 6.+ auf MINI-ITX Rechner
gelöst Frage von N4m3n7os3rServer-Hardware11 Kommentare

Hallo liebe Community, aus nicht wichtigen Gründen bin ich am überlegen meinen alten Server HP ML350G6 erstmal still zu ...