Regkey lässt sich nicht löschen
Hi,
ich habe einen Regkey gefunden, auf den ich keinerlei Zugriff habe und der sich nicht löschen lässt. Es handelt sich nicht um einen der Standardkeys, sondern um einen, der scheinbar bei der Installation von O&O Defrag gesetzt wurde; jedenfalls spuckt das Google aus.
Der Key:
Ich würde ihn gern löschen, aber es funktioniert weder mit einer Deinstallation von O&O noch mit regedit noch mit einem Script (reg.exe und vbscript habe ich schon ausprobiert).
Der Grund dafür, daß er sich nicht lesen oder löschen lässt, ist ein unsichtbarer 0-Byte-Eintrag unterhalb des Zweigs.
Weiß jemand einen Weg, wie man solche Regkeys löscht? Marc Russinovich von Sysinternals scheint einen Weg zu wissen (er hat ein Beispielprogramm zur Verfügung gestellt, mit dem sich ein solcher Key setzen und wieder löschen lässt), aber bevor ich ihn anschreibe, würde ich gerne nochmal hier nachhören, ob jemand einen Weg kennt. Danke im voraus.
Grüße,
fritzo
ich habe einen Regkey gefunden, auf den ich keinerlei Zugriff habe und der sich nicht löschen lässt. Es handelt sich nicht um einen der Standardkeys, sondern um einen, der scheinbar bei der Installation von O&O Defrag gesetzt wurde; jedenfalls spuckt das Google aus.
Der Key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Ich würde ihn gern löschen, aber es funktioniert weder mit einer Deinstallation von O&O noch mit regedit noch mit einem Script (reg.exe und vbscript habe ich schon ausprobiert).
Der Grund dafür, daß er sich nicht lesen oder löschen lässt, ist ein unsichtbarer 0-Byte-Eintrag unterhalb des Zweigs.
Weiß jemand einen Weg, wie man solche Regkeys löscht? Marc Russinovich von Sysinternals scheint einen Weg zu wissen (er hat ein Beispielprogramm zur Verfügung gestellt, mit dem sich ein solcher Key setzen und wieder löschen lässt), aber bevor ich ihn anschreibe, würde ich gerne nochmal hier nachhören, ob jemand einen Weg kennt. Danke im voraus.
Grüße,
fritzo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8076
Url: https://administrator.de/forum/regkey-laesst-sich-nicht-loeschen-8076.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
13 Kommentare
Neuester Kommentar
So ein Problem habe ich auch schon mal gehabt mit Acronis Trrue Image. Du kannst es lösen, indem du offline auf die Festplattenregistry zugreifst und dann löschst. Wie das mit PE-Builder im Detail funktioniert, habe ich im Tutorial beschrieben :
Wie kann ich die Registry in W2K und XP offline bearbeiten ?
Wie kann ich die Registry in W2K und XP offline bearbeiten ?
Hallo fritzo !
Interessantes Phänomen. Muss ich mich gleich mal intensiver mit beschäftigen und das Sysinternals-Tool testen. Du hast aber den Weg schon gewiesen : Was spricht gegen den Einsatz des Hex-Editors ? Aber auch das werde ich mal ausprobieren.
Nachtrag : Wenn du vorher die Registry-Datei 'software' auf ein anderes System kopierst, kannst du auch die Operation mit dem Hex--Editor gefahrlos durchführen. Dann tauschst du die beiden software-Dateien unter PE-Builder mal aus und testest das Ergebnis.
Interessantes Phänomen. Muss ich mich gleich mal intensiver mit beschäftigen und das Sysinternals-Tool testen. Du hast aber den Weg schon gewiesen : Was spricht gegen den Einsatz des Hex-Editors ? Aber auch das werde ich mal ausprobieren.
Nachtrag : Wenn du vorher die Registry-Datei 'software' auf ein anderes System kopierst, kannst du auch die Operation mit dem Hex--Editor gefahrlos durchführen. Dann tauschst du die beiden software-Dateien unter PE-Builder mal aus und testest das Ergebnis.
Muss leider zugeben, dass alle meine Versuche, das Problem auf die Schnelle über einen Hex-Editor zu lösen, gescheitert sind, da die Datenstruktur der Registry im Hex-Editor mit den vielen Steuerzeichen für die Datenbank unübersichtlich ist. Das Ergebnis ist dann allzuschnell eine nicht mehr funktionsfähige Registry-Datei.Da steht dann das Risiko nicht im vernünftigen Verhältnis zum Nutzen.
Man kann natürlich den Eintrag doch per Hex-Editor entfernen, wenn man Besonderheiten der Registry-Dateien beachtet. Ich habe das für das Sysinternals-Beispiel nun doch mit befriedigendem Ergebnis geschafft :
Anschließend im Hex-Editor speichern und wieder zurück in den config-Ordner.
Der Native-API-Spuk ist verschwunden.
- man lädt die Datei software aus
%windir%\system32\config
(kann man nicht direkt machen; ich habe mit einer ERUNT-Kopie gearbeitet; das geht am bequemsten)
- man sucht den Textstring Internals und markiert dann den Ausschnitt wie im Screenshot :
- anschließend auf Entf drücken.
- man fügt exakt an dieser Stelle wieder statt der gelöschten 272 Byte die gleiche Anzahl 0 Byte ein.
Anschließend im Hex-Editor speichern und wieder zurück in den config-Ordner.
Der Native-API-Spuk ist verschwunden.
Hlo dir zunächstmal das Tool ERUNT. Damit legst du eine Sicherung der Registry mit deinem Windows-System an. Dann kopierst du dir die Datei 'software' aus x:\windows\erdnt\<Datum> in einen x-beliebigen Ordner.
Das ist jetzt deine Registry-Arbeitsdatei, an der du alles testen kannst. Deine eigentliche Registry bleibt so völlig unberührt, solange, bis die Veränderungen alle funktionieren.
DSie software-Datei lädst du dann in einen REg-Editor. Wie das bei dir mit dem Twextstriung aussieht, kann ich schwer sagen. Suche nach \0-Strings werden keinen Erfolg haben. Das ist zu unspezifisch.Ich werde mal selbst die Defrag-Geschichte testen.
Das ist jetzt deine Registry-Arbeitsdatei, an der du alles testen kannst. Deine eigentliche Registry bleibt so völlig unberührt, solange, bis die Veränderungen alle funktionieren.
DSie software-Datei lädst du dann in einen REg-Editor. Wie das bei dir mit dem Twextstriung aussieht, kann ich schwer sagen. Suche nach \0-Strings werden keinen Erfolg haben. Das ist zu unspezifisch.Ich werde mal selbst die Defrag-Geschichte testen.
Hallo fritzo !
Ich denke, ich habe eine praktikable Lösung für dich :
Der O&O-Defrag-Eintrag ist in der Hex-Ansicht noch wesentlich komplizierter als der Sysinternals-Simulationseintrag. Da hat man per Hex-Editor praktisch kaum noch eine Chance, ohne die Registry zu beschädigen, wenn man die Offsets nicht genau kennt. Es gibt aber einen anderen Weg, den Eintrag korrekt zu löschen :
Das altbekannte Petter-Nordahl-Tool Offline NT Password & Registry Editor ist eben nicht nur zum Passwortsetzen gut, sondern auch zum Registry-Editieren.Das ist zwar auf der Kommandozeile etwas gewöhnungsbedürftig, aber man hat vollen Zugriff auf den besagten O&O-Null-Key; und da eben unter Linux nicht die Windows API benutzt wird, kann man dann auch den O&O Defrag-Eintrag- wie ich selbst erfolgreich getestet habe - korrekt löschen.
Ich denke, ich habe eine praktikable Lösung für dich :
Der O&O-Defrag-Eintrag ist in der Hex-Ansicht noch wesentlich komplizierter als der Sysinternals-Simulationseintrag. Da hat man per Hex-Editor praktisch kaum noch eine Chance, ohne die Registry zu beschädigen, wenn man die Offsets nicht genau kennt. Es gibt aber einen anderen Weg, den Eintrag korrekt zu löschen :
Das altbekannte Petter-Nordahl-Tool Offline NT Password & Registry Editor ist eben nicht nur zum Passwortsetzen gut, sondern auch zum Registry-Editieren.Das ist zwar auf der Kommandozeile etwas gewöhnungsbedürftig, aber man hat vollen Zugriff auf den besagten O&O-Null-Key; und da eben unter Linux nicht die Windows API benutzt wird, kann man dann auch den O&O Defrag-Eintrag- wie ich selbst erfolgreich getestet habe - korrekt löschen.
Also wenn man sich gern mit Hex-Editoren abquälen will, gern, ich versteh davon nix.
Nur vielleicht ist es mir möglich geworden einen einfacheren Weg zu finden.
Denn in der regedit
bei sogenannten Eintrag der sich nicht löschen lasst bin ich draufgekommen, das es nur an der Berechtigung liegt, das dieser sich nicht entfernen lässt.
Somit nach dem alle F3 o&o defrag entfernt wurden
braucht ihr nur bei dem wos nicht geht
mit einem Häckchen aktivieren,
(Administrator voraussetzung klarerweise)
und löschen
Falls ich das thema verfehlt habe sagt mir bescheid, aber sonst wär das glaubich das einfachste diese loszuwerden.
LG
Nimdaresu
Nur vielleicht ist es mir möglich geworden einen einfacheren Weg zu finden.
Denn in der regedit
bei sogenannten Eintrag der sich nicht löschen lasst bin ich draufgekommen, das es nur an der Berechtigung liegt, das dieser sich nicht entfernen lässt.
Somit nach dem alle F3 o&o defrag entfernt wurden
braucht ihr nur bei dem wos nicht geht
\bearbeiten
\Berechtigungen...
\Vollzugriff
mit einem Häckchen aktivieren,
(Administrator voraussetzung klarerweise)
und löschen
Falls ich das thema verfehlt habe sagt mir bescheid, aber sonst wär das glaubich das einfachste diese loszuwerden.
LG
Nimdaresu