13
Regkey lässt sich nicht löschen
Hi,
ich habe einen Regkey gefunden, auf den ich keinerlei Zugriff habe und der sich nicht löschen lässt. Es handelt sich nicht um einen der Standardkeys, sondern um einen, der scheinbar bei der Installation von O&O Defrag gesetzt wurde; jedenfalls spuckt das Google aus.
Der Key:
Ich würde ihn gern löschen, aber es funktioniert weder mit einer Deinstallation von O&O noch mit regedit noch mit einem Script (reg.exe und vbscript habe ich schon ausprobiert).
Der Grund dafür, daß er sich nicht lesen oder löschen lässt, ist ein unsichtbarer 0-Byte-Eintrag unterhalb des Zweigs.
Weiß jemand einen Weg, wie man solche Regkeys löscht? Marc Russinovich von Sysinternals scheint einen Weg zu wissen (er hat ein Beispielprogramm zur Verfügung gestellt, mit dem sich ein solcher Key setzen und wieder löschen lässt), aber bevor ich ihn anschreibe, würde ich gerne nochmal hier nachhören, ob jemand einen Weg kennt. Danke im voraus.
Grüße,
fritzo
ich habe einen Regkey gefunden, auf den ich keinerlei Zugriff habe und der sich nicht löschen lässt. Es handelt sich nicht um einen der Standardkeys, sondern um einen, der scheinbar bei der Installation von O&O Defrag gesetzt wurde; jedenfalls spuckt das Google aus.
Der Key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemIch würde ihn gern löschen, aber es funktioniert weder mit einer Deinstallation von O&O noch mit regedit noch mit einem Script (reg.exe und vbscript habe ich schon ausprobiert).
Der Grund dafür, daß er sich nicht lesen oder löschen lässt, ist ein unsichtbarer 0-Byte-Eintrag unterhalb des Zweigs.
Weiß jemand einen Weg, wie man solche Regkeys löscht? Marc Russinovich von Sysinternals scheint einen Weg zu wissen (er hat ein Beispielprogramm zur Verfügung gestellt, mit dem sich ein solcher Key setzen und wieder löschen lässt), aber bevor ich ihn anschreibe, würde ich gerne nochmal hier nachhören, ob jemand einen Weg kennt. Danke im voraus.
Grüße,
fritzo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8076
Url: https://administrator.de/contentid/8076
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
13 Kommentare
Neuester Kommentar
So ein Problem habe ich auch schon mal gehabt mit Acronis Trrue Image. Du kannst es lösen, indem du offline auf die Festplattenregistry zugreifst und dann löschst. Wie das mit PE-Builder im Detail funktioniert, habe ich im Tutorial beschrieben :
Wie kann ich die Registry in W2K und XP offline bearbeiten ?
Wie kann ich die Registry in W2K und XP offline bearbeiten ?
Hi Franz,
leider ist es nicht so einfach.. Dieser Eintrag lässt sich nicht mit herkömmlichen Tools bearbeiten, weil sie ihn gar nicht lesen können - es funktioniert daher auch offline nicht. Das Problem dabei ist der 0-Byte-Eintrag. Es ginge evtl. mit einem Hexeditor, aber da bin ich etwas vorsichtig; mit einem Editor in der Registry herumspielen möchte ich mir eigentlich nicht geben..
Hat sonst jemand noch eine Idee? Dankeschön im voraus.
Grüße,
fritzo
leider ist es nicht so einfach.. Dieser Eintrag lässt sich nicht mit herkömmlichen Tools bearbeiten, weil sie ihn gar nicht lesen können - es funktioniert daher auch offline nicht. Das Problem dabei ist der 0-Byte-Eintrag. Es ginge evtl. mit einem Hexeditor, aber da bin ich etwas vorsichtig; mit einem Editor in der Registry herumspielen möchte ich mir eigentlich nicht geben..
Hat sonst jemand noch eine Idee? Dankeschön im voraus.
Grüße,
fritzo
Hallo fritzo !
Interessantes Phänomen. Muss ich mich gleich mal intensiver mit beschäftigen und das Sysinternals-Tool testen. Du hast aber den Weg schon gewiesen : Was spricht gegen den Einsatz des Hex-Editors ? Aber auch das werde ich mal ausprobieren.
Nachtrag : Wenn du vorher die Registry-Datei 'software' auf ein anderes System kopierst, kannst du auch die Operation mit dem Hex--Editor gefahrlos durchführen. Dann tauschst du die beiden software-Dateien unter PE-Builder mal aus und testest das Ergebnis.
Interessantes Phänomen. Muss ich mich gleich mal intensiver mit beschäftigen und das Sysinternals-Tool testen. Du hast aber den Weg schon gewiesen : Was spricht gegen den Einsatz des Hex-Editors ? Aber auch das werde ich mal ausprobieren.
Nachtrag : Wenn du vorher die Registry-Datei 'software' auf ein anderes System kopierst, kannst du auch die Operation mit dem Hex--Editor gefahrlos durchführen. Dann tauschst du die beiden software-Dateien unter PE-Builder mal aus und testest das Ergebnis.
Muss leider zugeben, dass alle meine Versuche, das Problem auf die Schnelle über einen Hex-Editor zu lösen, gescheitert sind, da die Datenstruktur der Registry im Hex-Editor mit den vielen Steuerzeichen für die Datenbank unübersichtlich ist. Das Ergebnis ist dann allzuschnell eine nicht mehr funktionsfähige Registry-Datei.Da steht dann das Risiko nicht im vernünftigen Verhältnis zum Nutzen.
Man kann natürlich den Eintrag doch per Hex-Editor entfernen, wenn man Besonderheiten der Registry-Dateien beachtet. Ich habe das für das Sysinternals-Beispiel nun doch mit befriedigendem Ergebnis geschafft :
Anschließend im Hex-Editor speichern und wieder zurück in den config-Ordner.
Der Native-API-Spuk ist verschwunden.
- man lädt die Datei software aus
%windir%\system32\config(kann man nicht direkt machen; ich habe mit einer ERUNT-Kopie gearbeitet; das geht am bequemsten)
- man sucht den Textstring Internals und markiert dann den Ausschnitt wie im Screenshot :
- anschließend auf Entf drücken.
- man fügt exakt an dieser Stelle wieder statt der gelöschten 272 Byte die gleiche Anzahl 0 Byte ein.
Anschließend im Hex-Editor speichern und wieder zurück in den config-Ordner.
Der Native-API-Spuk ist verschwunden.
Hi Franz,
sehr genial
ich zieh mir das denn mal mit BartsPE.
mit "System" wird es wahrscheinlich ein bißchen Sucherei *grins* ich denke ich suche mir einen sprechenden Eintrag in der Nähe und schau ob ich ihn dann irgendwo finde. Oder ich suche nach Nullbyte-Folgen "\0"
Ok, kannst Du das Format in etwas beschreiben? Haben die Entries irgendwelche Header zur Orientierung? Hab sowas mit der Registry noch nie gemacht.
NOPs *grins* das erinnert mich an etwas, das lange her ist
auch offline, selbstredend.
Ich find es echt klasse, daß Du soviel Energie da reinsteckst! Dickes Dankeschön schon mal dafür!
Ich wart noch ein bißchen ab, ob Du die zwei Fragen da oben beantworten kannst. Wenn nicht, versuche ich es so, wird schon klappen. Was wäre eigentlich der worst case? *grins
Grüße,
fritzo
Man kann natürlich den Eintrag doch per
Hex-Editor entfernen
Hex-Editor entfernen
sehr genial
- man lädt die Datei software aus
%windir%\system32\config (kann man nicht
direkt machen; ich habe mit einer
ERUNT-Kopie gearbeitet; das geht am
bequemsten)
in einen Hexeditor
%windir%\system32\config (kann man nicht
direkt machen; ich habe mit einer
ERUNT-Kopie gearbeitet; das geht am
bequemsten)
in einen Hexeditor
ich zieh mir das denn mal mit BartsPE.
- man sucht den Textstring Internals und
mit "System" wird es wahrscheinlich ein bißchen Sucherei *grins* ich denke ich suche mir einen sprechenden Eintrag in der Nähe und schau ob ich ihn dann irgendwo finde. Oder ich suche nach Nullbyte-Folgen "\0"
markiert dann den Ausschnitt wie im
Ok, kannst Du das Format in etwas beschreiben? Haben die Entries irgendwelche Header zur Orientierung? Hab sowas mit der Registry noch nie gemacht.
- man fügt exakt an dieser Stelle
wieder statt der gelöschten 272 Byte
die gleiche Anzahl 0 Byte ein.
wieder statt der gelöschten 272 Byte
die gleiche Anzahl 0 Byte ein.
NOPs *grins* das erinnert mich an etwas, das lange her ist
Anschließend im Hex-Editor speichern
und wieder zurück in den config-Ordner.
und wieder zurück in den config-Ordner.
auch offline, selbstredend.
Ich find es echt klasse, daß Du soviel Energie da reinsteckst! Dickes Dankeschön schon mal dafür!
Ich wart noch ein bißchen ab, ob Du die zwei Fragen da oben beantworten kannst. Wenn nicht, versuche ich es so, wird schon klappen. Was wäre eigentlich der worst case? *grins
Grüße,
fritzo
Hlo dir zunächstmal das Tool ERUNT. Damit legst du eine Sicherung der Registry mit deinem Windows-System an. Dann kopierst du dir die Datei 'software' aus x:\windows\erdnt\<Datum> in einen x-beliebigen Ordner.
Das ist jetzt deine Registry-Arbeitsdatei, an der du alles testen kannst. Deine eigentliche Registry bleibt so völlig unberührt, solange, bis die Veränderungen alle funktionieren.
DSie software-Datei lädst du dann in einen REg-Editor. Wie das bei dir mit dem Twextstriung aussieht, kann ich schwer sagen. Suche nach \0-Strings werden keinen Erfolg haben. Das ist zu unspezifisch.Ich werde mal selbst die Defrag-Geschichte testen.
Das ist jetzt deine Registry-Arbeitsdatei, an der du alles testen kannst. Deine eigentliche Registry bleibt so völlig unberührt, solange, bis die Veränderungen alle funktionieren.
DSie software-Datei lädst du dann in einen REg-Editor. Wie das bei dir mit dem Twextstriung aussieht, kann ich schwer sagen. Suche nach \0-Strings werden keinen Erfolg haben. Das ist zu unspezifisch.Ich werde mal selbst die Defrag-Geschichte testen.
Hallo fritzo !
Ich denke, ich habe eine praktikable Lösung für dich :
Der O&O-Defrag-Eintrag ist in der Hex-Ansicht noch wesentlich komplizierter als der Sysinternals-Simulationseintrag. Da hat man per Hex-Editor praktisch kaum noch eine Chance, ohne die Registry zu beschädigen, wenn man die Offsets nicht genau kennt. Es gibt aber einen anderen Weg, den Eintrag korrekt zu löschen :
Das altbekannte Petter-Nordahl-Tool Offline NT Password & Registry Editor ist eben nicht nur zum Passwortsetzen gut, sondern auch zum Registry-Editieren.Das ist zwar auf der Kommandozeile etwas gewöhnungsbedürftig, aber man hat vollen Zugriff auf den besagten O&O-Null-Key; und da eben unter Linux nicht die Windows API benutzt wird, kann man dann auch den O&O Defrag-Eintrag- wie ich selbst erfolgreich getestet habe - korrekt löschen.
Ich denke, ich habe eine praktikable Lösung für dich :
Der O&O-Defrag-Eintrag ist in der Hex-Ansicht noch wesentlich komplizierter als der Sysinternals-Simulationseintrag. Da hat man per Hex-Editor praktisch kaum noch eine Chance, ohne die Registry zu beschädigen, wenn man die Offsets nicht genau kennt. Es gibt aber einen anderen Weg, den Eintrag korrekt zu löschen :
Das altbekannte Petter-Nordahl-Tool Offline NT Password & Registry Editor ist eben nicht nur zum Passwortsetzen gut, sondern auch zum Registry-Editieren.Das ist zwar auf der Kommandozeile etwas gewöhnungsbedürftig, aber man hat vollen Zugriff auf den besagten O&O-Null-Key; und da eben unter Linux nicht die Windows API benutzt wird, kann man dann auch den O&O Defrag-Eintrag- wie ich selbst erfolgreich getestet habe - korrekt löschen.
Hey,
das habe ich sogar hier rumfliegen. Ich probier das am WE mal ganz in Ruhe aus und berichte dann von den Ergebnissen (vorher werde ich wohl ein Image ziehen, falls was in die Hose gehen sollte.
Nochmal dickes Dankeschön!!
Viele Grüße,
fritzo
das habe ich sogar hier rumfliegen. Ich probier das am WE mal ganz in Ruhe aus und berichte dann von den Ergebnissen (vorher werde ich wohl ein Image ziehen, falls was in die Hose gehen sollte.
Nochmal dickes Dankeschön!!
Viele Grüße,
fritzo
Hi Franz,
Zitat:
"Ich habe jetzt noch mal bei dem O&O-Eintrag folgendes getestet :Wenn man die beiden Bytes hinter 'System' in einem Hex-Editor mit X und 0 überschreibt, dann wird der Name des Eintrags in SystemX umbenannt und der Namensstring entsprechend der Win API-Konvention korrekt terminiert. Der Eintrag erscheint dann unter regedit ganz normal. Der Wert kann eingesehen und der ganze Eintrag problemlos gelöscht werden."
Du hast also die Registry offline wegkopiert, mit einem Hexeditor geöffnet, die Bytes geändert und sie dann wieder verschoben, richtig?
Grüße,
fritzo
Zitat:
"Ich habe jetzt noch mal bei dem O&O-Eintrag folgendes getestet :Wenn man die beiden Bytes hinter 'System' in einem Hex-Editor mit X und 0 überschreibt, dann wird der Name des Eintrags in SystemX umbenannt und der Namensstring entsprechend der Win API-Konvention korrekt terminiert. Der Eintrag erscheint dann unter regedit ganz normal. Der Wert kann eingesehen und der ganze Eintrag problemlos gelöscht werden."
Du hast also die Registry offline wegkopiert, mit einem Hexeditor geöffnet, die Bytes geändert und sie dann wieder verschoben, richtig?
Grüße,
fritzo
Hi Franz
ich habe eine Möglichkeit gefunden, es online durchzuführen, es wird lediglich ein Reboot benötigt, um die geänderte Registry auszutauschen.
HowTo - Delete 0-Byte Registry Keys
File closed Dankeschön nochmal!
Grüße,
Arne
ich habe eine Möglichkeit gefunden, es online durchzuführen, es wird lediglich ein Reboot benötigt, um die geänderte Registry auszutauschen.
HowTo - Delete 0-Byte Registry Keys
File closed
Dankeschön nochmal!Grüße,
Arne
Also wenn man sich gern mit Hex-Editoren abquälen will, gern, ich versteh davon nix.
Nur vielleicht ist es mir möglich geworden einen einfacheren Weg zu finden.
Denn in der regedit
bei sogenannten Eintrag der sich nicht löschen lasst bin ich draufgekommen, das es nur an der Berechtigung liegt, das dieser sich nicht entfernen lässt.
Somit nach dem alle F3 o&o defrag entfernt wurden
braucht ihr nur bei dem wos nicht geht
mit einem Häckchen aktivieren,
(Administrator voraussetzung klarerweise)
und löschen
Falls ich das thema verfehlt habe sagt mir bescheid, aber sonst wär das glaubich das einfachste diese loszuwerden.
LG
Nimdaresu
Nur vielleicht ist es mir möglich geworden einen einfacheren Weg zu finden.
Denn in der regedit
bei sogenannten Eintrag der sich nicht löschen lasst bin ich draufgekommen, das es nur an der Berechtigung liegt, das dieser sich nicht entfernen lässt.
Somit nach dem alle F3 o&o defrag entfernt wurden
braucht ihr nur bei dem wos nicht geht
\bearbeiten
\Berechtigungen...
\Vollzugriffmit einem Häckchen aktivieren,
(Administrator voraussetzung klarerweise)
und löschen
Falls ich das thema verfehlt habe sagt mir bescheid, aber sonst wär das glaubich das einfachste diese loszuwerden.
LG
Nimdaresu
Falls ich das thema verfehlt habe sagt mir
bescheid, aber sonst wär das glaubich
das einfachste diese loszuwerden.
bescheid, aber sonst wär das glaubich
das einfachste diese loszuwerden.
Bescheid ;) Danke aber dafür, daß Du helfen wolltest!
Das Problem bei diesen Keys ist, daß es sich nicht nur um fehlende Berechtigungen handelt, sondern daß man auf diese Keys überhaupt nicht mit normalen Tools zugreifen kann. Ich hatte es nach einer Weile selbst gelöst, die Doku dazu findest Du HowTo - Delete 0-Byte Registry Keys
Liebe Grüße zurück,
fritzo
