PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Registrierungseintrag löschen


skumidoo
2005-02-14, 19:59:13
Hallo,
Ich habe einen hartnäckigen Eintrag in der Registrierung: Er kann nicht ausgelesen werden (Fehler beim Öffnen des Schlüssels) und auch nicht gelöscht werden (Fehler beim Löschen des Schlüssels)
Auch mit Setzten der Berechtigungen ist dem nicht beizukommen.
Ebenfalls nicht mit RegCleaner o.ä.

Ich weiß wie ich die Datei mit dem Hex Editor öffne, aber keine Ahnung wo da der Schlüssel anfängt und womit er aufhört.

Vielen Dank für die Hilfe
skumidoo

ficken
2005-02-14, 20:26:39
versuch mal per *.reg datei irgend n schwachsinn in den schlüssel zu setzen...vielleicht kannst se danach löschen

skumidoo
2005-02-14, 20:30:31
geht leider nicht dann kommt der Eintrag doppelt und wenn ich versuch zu löschen bleibt einer da und es geht wieder von vorne los.

Aqualon
2005-02-14, 21:10:06
Klingt nach Trojaner oder anderer Malware. Hast du schon einen Virenscanner drüberlaufen lassen? Eine Überprüfung mit HijackThis (http://www.hijackthis.de/) wäre auch angeraten.

Aqua

skumidoo
2005-02-14, 21:52:13
Nein, ist auch kein Trojaner.
Das muss irgendein absichtlicher Eintrag von ner Software sein, der mit Tricks so versteckt wurde, dass er weder lösch noch lesbar ist.

Hab das mit dem Hex Editor schon probiert, wenn ich die Stelle allerdings rausnehme, also von FFFF bis zum nächsten FFFF dann fehlen mir auf einmal alle Software Schlüssel, die in der Registry waren.

Naja, ich gebs irgendwann auf....

mfg

Mike
2005-02-14, 22:06:14
Ich hab das selbe Problem auf einer unserer WinXP Kisten, sogar mit mehreren Schlüsseln.
Und zwar sind das Schlüssel von normaler Software, wie zB. PowerDVD und ClamWin.
Habs gemerkt, da CLamWin nicht mehr 100% funktionierte (Explorer Kontextmenü..) und die Neuinstallation scheiterte..
Ein Weg, der vielleicht klappen könnte:
Die Reg ist in mehreren Dateien gespeichert. Man exportiert HKLM/Software, bootet von ner CD/anderen HD, und ersetzt die Datei, worin HKLM/Software gespeichert ist, mit einer Datei, die von einer frischen Win Installation kommt.
Dann wieder von der Ursprungs-HD starten und hoffen, dass es klappt ;)
Falls ja, die Schlüssel, die man exportiert hat, wieder importieren.. (ausgenommen der defekten, natürlich, allerdings werden die defekten afaik garnicht erst mitexportiert..)

Falls du das versuchst oder es generell irgendwie schaffst, sag bescheid :)

Aqualon
2005-02-14, 22:06:59
Hast du schon versucht den Schlüssel im abgesicherten Modus zu entfernen? Was ist das überhaupt für ein Schlüssel?

Aqua

P.S. Eine Software, die absichtlich verhindern will, dass Registry-Einträge gelöscht werden ist für mich Malware.

skumidoo
2005-02-17, 13:19:41
Also die Software ist sceneo tvcentral testversion. Ich will die Software auch nciht weiterbenutzen, sonst hätte ich sie gekauft.
Aber laut einem Eintrag im Forum
http://www.sceneo.tv/modules.php?name=Forums&file=viewtopic&t=63
schließe ich daraus, dass sie es für illegal halten, wenn ich in der Registry den Eintrag entferne.
So, eigentlich störte mich der Key nicht sonderlich, aber seit ich erfahren habe, dass das zum Kopierschutzsystem gehört, stört er mich. Wie ganz richtig in dem Forum gesagt wurde, sollte nach Deinstallation der Testsoftware auch ALLES wieder vom PC verschwinden. Und nicht mit irgendwelchen Registry Tricks gearbeitet werden. Und eine Hilfe zum Säubern bzw Reparieren der Registry sehe ich nicht als illegal an.

So, zum Entfernen, da bin ich noch nicht wirklich weitergekommen:
Ich kann die NTUSER.DAT zwar als anderer Benutzer in dessen Hive importieren.
(der Eintrag ist auf den Benutzer beschränkt, der das installiert hat. Also quasi Schwachsinn, da so einen Aufwand in der Registry zu machen, und dann kann man das noch leichter umgehen, als den Eintrag zu löschen. Aber wie gesagt, ich will hier nicht illegal betreiben, ich will den Eintrag einfach raushaben!)
Aber wenn ichs dann rauslöschen will kommt Fehlermeldung.
Wenn ich in einem Hex Editor über Textsuche den Eintrag suche, erscheint der Eintrag inklusive baum und ich lösche von ffff bis ffff. aber nach Speichern ist der Schlüssel wieder da, nur alle anderen Einträge unter "Software" sind weg.

So. Wenn ich jetzt den Software Baum exportiere, dann manuell im editor den ungewünschten Eintrag lösche und einen "frischen" Software Ordner im User Hive erstelle, dann wieder im portiere, ist der Schlüssel auch wieder da. Komisch.
Und in welchen Dateien ist die Reg. noch abgespeichert ausser der ntuser.dat? Das wär quasi ultra ;-) , dann könnt ich nämlich nur die Datei bearbeiten.

Hat jemand generelle Informationen, über den Aufbau und vielleicht Tricks bei der Registry ? Hab bei astalvista.box.sk geguckt aber da find ich nichts passendes.

Gruß

p.s. hoffentlich befinde ich mich nicht auf dem Pfade zur Illegalität.

Aqualon
2005-02-17, 17:41:13
Du könntest folgendes versuchen. Exportiere HKEY_CURRENT_USER und HKEY_USER als .reg Datei. Wenn du Glück hast ignoriert er den einen Schlüssel dabei und du kannst den Rest bei einem anderen User wieder importieren.

Am WE teste ich die Software einmal selbst mit einem extra User, mal schauen ob man das nicht doch irgendwie wegbekommt. Finde es jedenfalls eine Unverschämtheit, wenn bei der Deinstallation noch Datenmüll übrig bleibt, den man mit einfachen Mitteln nicht mehr entfernen kann (vorallem, wenn der "Schutz" durch Anlegen eines neuen Benutzers so einfach umgangen werden kann).

Wenn es nicht soviel Mühe wäre, sollte man ein Image des Systems vor der Installation einer Software erstellen, die Software danach gleich deinstallieren und schauen, ob etwas übrig geblieben ist. So schlecht programmierte Software, sollte man am besten gar nicht erst benutzen.

Aqua

skumidoo
2005-02-17, 17:51:53
Wie meinst du das mit dem Image?
Laut Berichten aus dem sceneo Forum, ist nach der Systemwiederherstellung das auch weg.

Das erinnert mich gerade an die Deinstallationstools, die vor längerer Zeit mal "in" waren, ich weis nciht ob es solche noch gibt. Ich weiß auch nicht mehr, ob diese auch Registrierungseinträge gelöscht haben.
Vielleicht sind auch noch andere Dateien übriggeblieben ?!
Wird bei jeder Installation ein logfile erstellt? Kann man das irgendwie erzwingen, dass ein logfile erstellt wird?

Hoffentlich schmeist microsoft bei windows 2010 die Architektur übern Haufen und löst sich von Registry und Dlls ;-)

mfg

Aqualon
2005-02-17, 20:03:05
Image = komplettes Abbild der Festplatte. Dadurch kann man nach einem fehlgeschlagenen Programmtest zu seinem funktionierendem System zurück.

Die Systemwiederherstellung ist da natürlich ein wenig benutzungsfreundlicher, kann aber glaub auch nur die Dateien von Windows selbst zurücksetzen.

Ob es Programme gibt, die Programminstallationen mitloggen und diese gegebenenfalls auch rückgängig machen können, weiß ich auch nicht. Wäre aber interessant zu wissen.

So schlecht ist die Registry gar nicht, wenn die Deinstallationsprogramme sauber arbeiten würden. Am liebsten wäre mir aber wirklich, wenn jedes Programm seinen eigenen Ordner bekommt und nicht während der Installation am restlichen System rumpfuschen kann.

Aqua

Mike
2005-02-18, 03:15:43
So schlecht ist die Registry gar nicht, wenn die Deinstallationsprogramme sauber arbeiten würden. Am liebsten wäre mir aber wirklich, wenn jedes Programm seinen eigenen Ordner bekommt und nicht während der Installation am restlichen System rumpfuschen kann.

Aqua

Ich finde es inakzeptabel, wenn meine Registry defekte Keys von meheren Programmen hat, die ich nicht löschen kann!

Wäre die Registry aus Textfiles aufgebaut, wäre das ja kein Problem.
Aber so? ist das ganze n toller Spass :/

Man könnts vielleicht mitm Hex Editor versuchen, ist aber trotzdem nicht das gelbe vom Ei denke ich...

skumidoo
2005-02-18, 12:26:20
Was ein Image ist, ist mir klar, ich dachte du hättest im Bezug der Anwendung des Image eine andere als die Übliche, z.B vergleichen, um herauszufinden, was alles verändert wurde, insbesondere von dlls die möglicherweise ersetzt wurden.

Ich meinte mit dem Lösen von dlls und Registry einfach, dass ähnlich wie bei Linux (bitte, das soll jetzt in keinem linux-windows Gezetere enden) die meisten Konfigurations- oder sonstige Einträge in textbasierten Programmen geändert werden können. Und ein Logger, der alle Vorgänge aufzeichnet, wäre auch hilfreich. Gibt es das evtl. schon?

Mit einem Hex Editor hätte man die Möglichkeit, die Registry direkt zu bearbeiten, allerdings habe ich keine Ahnung wie ich das anstellen soll - Den Eintrag im Textmodus zu suchen und dann zu löschen klappt nicht.

Da bisher alle Methoden gescheitert sind, die bisherige Registrierung lediglich um den einen Eintrag zu erleichtern, wäre es interessant, was für tricks es gibt, solche Einträge überhaupt zu erstellen.
In dem Forum von Sceneo wird auch auf Aktionen von Microsoft hingewiesen, die diese Möglichkeit des Eingriffes nutzen.

Aqualon
2005-02-18, 23:38:02
Du könntest die MSDN-Einträge (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/sysinfo/base/registry.asp) zur Registry durchsuchen. Auf die Schnelle habe ich aber nichts gefunden, was bei dem Problem weiterhelfen könnte.

Aqua

Sephiroth
2005-02-19, 00:00:04
Es wäre möglich, daß noch immer ein Teil der Software vorhanden ist und das Handle auf diesen Rek-Key nicht freigibt.
Lad dir mal den Process Explorer von Sysinternals runter (http://www.sysinternals.com/ntw2k/freeware/procexp.shtml) und geh dann auf Find->Handle und such dort nach dem Reg-Key (ein Teil davon als Suchstring reicht aus).

Wenn sich ein Prozess findet, der da noch einen Handle drauf hat, kannst du diesen Handle beenden/freigeben und dann dürftest du ihn löschen können. Dann mußt du nur noch schauen, ob und wie du dem Softwareüberbleibsel zu Leibe rücken kannst ;)

Aqualon
2005-02-19, 22:58:05
Der Process Explorer hat auch nichts geholfen, anscheinend wird der Key durch keinen Prozess am löschen gehindert. Mir sind allerdings beim Suchen mit Regseeker folgende Keys aufgefallen:

Edit: Hab die beiden Dateien als Anhang hochgeladen, da die Keys nicht ganz richtig dargestellt wurden.

Mit Regedit betrachtet, enthalten diese Schlüssel aber keinen Hinweis auf buhl, den erhielt ich nur bei der Suche mit Regseeker. Löschen der Schlüssel mit Regseeker hat nichts gebracht, sie waren wieder da. Auch ein deinstallieren der entsprechenden Hardware, war ohne Erfolg.

Momentan bin ich also auch recht ratlos, wie man den Schlüssel entfernen könnte.

Aqua

Aqualon
2005-02-22, 00:41:10
Für Schlüssel in HKCU habe ich eine Lösung gefunden.

Zuerst legt man einen neuen Schlüssel an (z.B. HKEY_CURRENT_USER\Software\Good Key). Diesen sichert man dann in der Eingabeaufforderung bei geschlossenem Regedit mit dem Kommando:
reg save "HKEY_CURRENT_USER\Software\Good Key" goodkey.hiv
Danach führt man folgenden Befehl aus:
reg restore "HKEY_CURRENT_USER\Software\Bad Key" goodkey.hiv
Dieser schreibt den gesicherten Good Key an Stelle des Bad Key. Im Anschluss hat man einen leeren Eintrag "HKEY_CURRENT_USER\Software\Bad Key", der wie der nun unnötige Good Key Eintrag ohne Probleme entfernt werden kann.

Schlüssel in HKLM haben das Problem, das meistens ein Handle von System-Seite aus offen ist, den man vielleicht mit dem Process Explorer schließen könnte, aber so weit bin ich noch nicht gekommen mit meinen Tests.

Aqua

skumidoo
2005-02-22, 18:11:18
"Zugriff verweigert" kommt bei mir, wenn ichs über die command eingabebox mache.
Und wenn ich zusätzlich den Registry Monitor von Sysinternals einsetze, ist der Zugriff von Meedio.exe (das Programm von TVCentral) auf den gesperrten schlüssel, und zwar fragt der die Untereinträge "Offline Key" "InitTime" "LastTime" und "Keyindex" ab, jeweils doppelt. Etwas später noch im gleichen Verzeichnis (das heisst ExtData) noch "Keyindex".
So.
Wenn das Programm auf diese Keys zugreifen kann, dann kann ich das auch und dann kann ich sie auch löschen. Muss ich nur noch herausfinden wie.

Aqualon
2005-02-22, 21:27:06
Klar, wenn das Programm noch läuft, kann das natürlich nicht gehen.

Die Deinstallationssoftware von TVCentral ist eh eine Katastrophe. Dass so ein Schlüssel zurückbleibt kann ich gerade noch verstehen, aber die ganzen Dateien, die der auf der Platte vergisst, ist nicht mehr lustig.

Aqua

fghfgjhhgj
2005-02-24, 01:38:24
Das Hinterlassen dieses Schlüssels ist Vorsatz und soll wohl das erneute Installieren der Sharewareversion verhindern. Hab das aber nicht getestet. Auf jeden Fall sollte man von Produkten dieser Firma Abstand nehmen.

Diese Schlüssel werden so wie ich das sehe von keinem Prozess blockiert, von der Software läuft nämlich nix mehr. Ich glaube eher, daß hier korrupte Schlüssel erzeugt wurde, die der Registry-Editor nicht mehr lesen kann und somit auch nicht löschen kann.

Klingone mit Klampfe
2006-04-29, 01:19:57
*ausbuddel*

Ich habe jetzt auch 5 Schlüssel, die sich hartnäckig gegen jedwede Bearbeitung wehren:

HKEY_LOCAL_MACHINE\SOFTWARE\ATI (nicht "ATI Technologies")
HKEY_LOCAL_MACHINE\SOFTWARE\D-Tools (deinstalliert)
HKEY_LOCAL_MACHINE\SOFTWARE\Driver Cleaner Pro (deinstalliert)
HKEY_LOCAL_MACHINE\SOFTWARE\Silicon Graphics (evlt. veralteter Eintrag der SiS AGP Treiber?)
HKEY_LOCAL_MACHINE\SOFTWARE\Python (hatte ich für ein Morrowind-Tool installiert, inzwischen deinstalliert)

Folgendes habe ich bislang erfolglos versucht:

- Als Admin die Rechte des Schlüssels ändern
- Abgesicherter Modus
- Regseeker, TuneUp etc.
- die Tipps aus diesem Thread
- keine "Handles" greifen auf die Schlüssel zu

Gibt es inzwischen neue Tipps zum Thema "unlöschbare Registry-Keys"? Eine ausgedehnte Google-Suche blieb erfolglos.

Gruß Chris



EDIT: Ich habe vor ca. 9 Monaten einmal mit "pagedefrag" die Registry defragmentiert, könnten die Schlüssel dabei etwas abbekommen haben?

Bevor jemand fragt: Die D-Tools habe ich eine Weile für das "mounten" einer Wikipedia-CD (Ausgabe Herbst 2004 mit Digibib 4) verwendet

Xanthomryr
2006-04-29, 01:46:54
Mike[/POST]']
Die Reg ist in mehreren Dateien gespeichert. Man exportiert HKLM/Software, bootet von ner CD/anderen HD, und ersetzt die Datei, worin HKLM/Software gespeichert ist, mit einer Datei, die von einer frischen Win Installation kommt.

Kleiner Tip, man braucht dafür nicht die Dateien von einer frischen Installation nehmen.
Man findet jungfräuliche Schlüssel unter WINDOWS\repair.

Klingone mit Klampfe
2006-04-29, 02:46:58
Grendel[/POST]']Kleiner Tip, man braucht dafür nicht die Dateien von einer frischen Installation nehmen.
Man findet jungfräuliche Schlüssel unter WINDOWS\repair.

Danke für den Hinweis, damit hat funktioniert.

1. HKEY_LOCAL_MACHINE\SOFTWARE\ komplett exportieren
2. Von Bart's PE (oder Knoppix oder sonstwas) booten
3. Die Datei "software" aus WINDOWS\repair kopieren...
4. ...und damit die Version aus WINDOWS\system32\config überschreiben
5. Neustart (falls die Windows-Aktivierung an dieser Stelle stress macht, ignorieren)
6. Die gesicherte Reg-Datei ausführen (Fehlermeldungen ignorieren)
7. Neustart
8. Jetzt lassen sich die zickigen Schlüssel löschen, als wäre nichts gewesen
9. Registry-Cleaner einsetzen, der "Hive" wurde durch die Aktion wieder ziemlich zugemüllt

Gast
2007-09-06, 10:39:37
Mir erging es eben genauso. Kein Zugriff möglich. Kein Löschen möglich. Definitiv handelte es sich in meinem Fall um keine Malware, da der Fehler bei einer eigenen programmierten Software bzw. Regeintrag aufgetreten ist.

Nach einem Neustart ist ein Zugriff in meinem Fall erfreulicherweise wieder möglich gewesen. Schliesse von daher auf einen Handle der sich im WinNirvana aufhielt und mit dem Neustart eliminiert wurde :)

Gast
2007-11-12, 15:27:59
Hallo Zusammen,

hatte eben dasselbe Problem, folgende Vorgehensweise ermöglichte das Löschen der Entries:

regedit öffnen (start->ausführen->regedit => als administrator natürlich)

den betreffenden key öffnen -> Rechtsklick -> Berechtigungen -> Erweitert -> Besitzer -> Administrator auswählen -> ok -> dem Administrator noch Full Access geben (read write...) -> bei jedem Subkey durchführen, dann kann der Key Schritt für Schritt gelöscht werden

Schöne Grüße

Klaus

Gast
2008-09-08, 15:28:23
Hallo zusammen,
ich versuche gerade oben genannte Lösunge bei mir anzuwenden.

1. HKEY_LOCAL_MACHINE\SOFTWARE\ komplett exportieren
2. Von Bart's PE (oder Knoppix oder sonstwas) booten
3. Die Datei "software" aus WINDOWS\repair kopieren...
4. ...und damit die Version aus WINDOWS\system32\config überschreiben
5. Neustart (falls die Windows-Aktivierung an dieser Stelle stress macht, ignorieren)
6. Die gesicherte Reg-Datei ausführen (Fehlermeldungen ignorieren)
7. Neustart

Bei mir geht es allerdings um HKEY_CLASSES_ROOT. ich habe aber absolut keine ahnung in welcher datei dieser registryzweig abgelegt wird.

weiß jemand rat?

by the way: bei mir sind die einträge zu den dateierweiterungen .doc und .tif defekt.

gruß,
rassel

Sephiroth
2008-09-08, 15:37:12
5953799
HKEY_CLASSES_ROOT setzt sich aus HKCU\Software\Classes und HKLM\Software\Classes zusammen.

HeldImZelt
2008-09-08, 16:46:55
Lass dir alle Geräte im Gerätemanager anzeigen (kannst das (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=359785) hier nehmen) und schau dir die 'Nicht-PNP Geräte' im Gerätemanager an. Deaktiviere ggf. entsprechende Treiber. Schau dir dessen Informationen an (Hersteller,usw).

Untersuche das Setuppaket nach Treibern und spüre sie im System auf.