TeaTimer zerschießt Registry!

[richi]

gestern hat's meine Registry erwischt, aber richtig!

Zur Vorgeschichte:
1. Im Taskleistenmenü "IE Resident" deaktiviert
2. Ebenfalls aus dem Taskleistenmenü Spybot S&D beendet
3. Prozess TeaTimer lief noch, naja ich habe mir erst einmal nichts dabei gedacht
4. Den Rechner heruntergefahren
5. Nach dem Neustart bekam ich folgende Meldung:
"Windows 2000 konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist: \WINNT\system32\config\SYSTEM

Beim Starten der Wiederherstellungskonsole stellt sich heraus, daß die Systemregistrierung offenbar keinen aktiven ControlSet Key mehr hat.

Kann mir jemand einen Weg beschreiben, wie man unter Win 2000 diese kaputte Registry wieder restaurieren kann - hängt zuviel dran?

[richi]

In der Zwischzeit habe ich zwei Mails vom Spybot-Team bekommen und beantwortet:

Hallo Chi-Va,

mit welcher Version Registry-Dateien (system, sam, security, software, default) soll im abgesicherten Modus gestartet werden (siehe meine vorige Mail)? Die Registry aus \WINNT\repair ist 6 Jahre alt und hat nie ein Spybot S&D gesehen. Habe ich das richtig verstanden, daß auf dieser Basis ein Rollback versucht werden soll?

Oder andersherum, wie bekomme ich mit der neuesten, aber kaputten, Registry den Rechner abgesichert gestartet?

Ich habe da noch ein Verständnisproblem.

Danke,
Ricardo

>
> Hallo Ricardo,
>
> haben Sie schon das Registry Backup von Spybot-S&D
> versucht? Bitte starten Sie dazu Windows im abgesicherten Modus:
> http://www.heise.de/security/artikel/44133
>
> Stellen Sie sicher, dass auch versteckte Ordner und
> Dateien angezeigt werden und fuehren Sie diese beiden Dateien aus:
> regusers.reg
> reglocal.reg
>
> Die Dateien finden Sie im folgenden Ordner:
>
> * Windows 95 or 98: C:WindowsAnwendungsdatenSpybot -
> Search & DestroyBackups
>
> * Windows ME: C:WindowsAll UsersAnwendungsdatenSpybot -
> Search & DestroyBackups
>
> * Windows NT, 2000 or XP: C:Dokumente und
> EinstellungenAll UsersAnwendungsdatenSpybot - Search &
> DestroyBackups
>
> (! Beachten Sie, daß der Anwendungsdaten-Ordner
> unsichtbar ist. Gegebenenfalls ändern Sie bitte
> diesbezüglich Ihre Ordneroptionen !)
> (http://www2.service.t-online.de/dyn/...8/1869988.html)
>
> Lassen Sie die Aenderungen von Windows uebernehmen und
> starten Sie das System danach neu.
>
> --
> Mit freundlichen Gruessen,
> Chi-Va
> Team Spybot
>
> >
> > Hallo Team Spybot,
> >
> > Neustart im abgesicherten Modus funktioniert nur noch mit der kompletten
> > Uralt-Registry aus dem Repair-Verzeichnis. Aber wie kann ich die in ein
> > tmp-Verzeichnis gesicherte kaputte SYSTEM überhaupt in den regedit einlesen,
> > geschweige denn wie kriege ich sie repariert?
> >
> > Gruß, Ricardo
> >
> > >
> > > Hallo Ricardo,
> > >
> > > Haben Sie schon mal versucht den PC im abgesicherten
> > > Modus zu starten?
> > > http://www.heise.de/security/artikel/44133
> > >
> > > --
> > > Mit freundlichen Gruessen,
> > > Norma
> > > Team Spybot
> > >

[richi]

Hallo Chi-Va,

Sie haben mich schon richtig verstanden. Mit Hilfe der 6 Jahre alten Registry-Dateien (System, Sam, Security, Software und Default) aus dem Verzeichnis \WINNT\repair bin ich tatsächlich in der Lage zu booten. Sie sind vom Jahr 2000. Leider gibt es keine jüngeren System, Sam, ... -Dateien.

regLocal.reg und regUsers.reg sind von 08/2006.

Meine Frage sind einfach diese:
Ergibt eine Registry von 4/2000 + regLocal.reg, regUsers.reg von 8/2006 nach "Ausführen" wieder eine Registry von 8/2006?

Was ich noch nicht verstanden habe:
Ist in den reg-Dateien ein komplettes Backup drin oder ein nur inkrementelles Backup (seit der Installation von Spybot S&D in 08/2006)? Was passiert mit SAM (Userdaten), Software (Installierte Programme), Security (Sicherheitsrichtlinien), und Default. Werden die mit dem Backup auch wieder auf den neuesten Stand gebracht?

Gruß,
Ricardo

>
> Hallo Ricardo,
>
> leider haben wir Sie wohl falsch verstanden.
>
> >>Neustart im abgesicherten Modus funktioniert nur noch
> mit der kompletten Uralt-Registry aus dem Repair-Verzeichnis.
>
> Daher haben wir angenommen, dass Sie bereits im
> abgesicherten Modus starten koennen. System, Sam,
> Security, Software und
> Default sind alles Teile der Registrierung. Daher muessen
> auch alle geladen werden.
>
> Das erschwert die Reparatur um einiges, wenn der
> abgesicherte Modus noch nicht laeuft. Bitte befolgen Sie
> die Anweisungen(Wiederherstellen) aus dem folgenden Link:
> http://www.wintotal.de/Artikel/xpreg...xpregistry.php
>
> Nach erfolgreicher Wiederherstellung sollten Sie das
> Registrierungsbackup von Spybot-S&D nutzen, um das System
> auf den letzten Stand vor der Spybot-S&D Installierung
> zurueckzusetzen.
>
> --
> Mit freundlichen Gruessen,
> Chi-Va
> Team Spybot
>

[richi]

Windows wurde im abgesicherten Modus hochgefahren. Registry ist die von 04/2000 (alle Registry-Dateien von \winnt\repair nach \winnt\system32\config kopiert).

Das Importieren des Registry-Backups regLocal läßt sich durchführen.
Aber beim Ausführen von regUsers gibt es immer eine Fehlermeldung: "...kann nicht importiert werden: Fehler beim Zugriff auf die Registry", egal in welcher Reihenfolge die Reg-Importe durchgeführt werden.

Was nun?

[MisterW]

Hallo Richi,

wenn der Rechner nun im Abgesicherten Modus läuft würde ich dir empfehlen alle wichtigen Daten zunächst einmal zu sichern. Dazu entweder auf eine andere Festplatte kopieren, auf CD-Brennen oder sonstiges. Damit würde sich die Situation ein wenig entspannen und man könnte sehen ob und wie deine Registry repariert werden kann.

[richi]

Ich bin soweit.

Kannst Du mir sagen, wie ich das regUser-Backup ausführen kann, ohne Zugriffsprobleme (ich nehme an mit der augenblicklichen NTUSER.DAT) zu bekommen?

[richi]

Liebes Spybot-Team

Ich habe mir 'mal die Dateien regLocal und regUser im Editor angeschaut, sie liegen in REGEDIT4-Format also in Textform vor. regLocal enthält nur den Zweig HKEY_LOCAL_MACHINE\Software, die Zweige System, Sam und Security fehlen, und regUsers enthält den Zweig HKEY_USERS und darin DEFAULT.

Was passiert mit dem System-Zweig einer alten Registry, wenn ich Sie mit diesen beiden Backups auffrische? Ist der Regedit/Regedt32 oder W2K so schlau und baut sich den SYSTEM-Zweig selber wieder auf?

Gruß, Richi

[MisterW]

Hast du denn alle deine Daten gesichert bekommen? Ich bin mir nicht wirklich sicher ob deine Registry zu retten ist und ob es nicht einfacher wäre das System einmal neu aufzusetzen.

Markus

[richi]

Ja Daten sind gesichert. Aber die ganze Systemzusammensetzung mit Software ist zu komplex, als daß ich zu schnell darauf verzichten mag.

Mit meiner jetztigen Registry kann ich in meinem alten admin-account booten, aber die ganze schöne Software ist nicht verfügbar/installiert, auch kein Drucker, Scanner etc. Ich habe allerdings nur regLocal ausführen können - siehe oben.

Die Reg-Files aus dem Crash (SYSTEM, SOFTWARE) haben zwar die richtige Größe, aber ich habe im FileAlyzer gesehen, daß im ersten Teil Verweise auf Teile des Files fehlen. Wenn man Sie im regedt32 als Struktur lädt, sieht man nur Teile der ursprünglichen Substrukturen.

[Buster]

So wie ich das sehe, wird das Einspielen von alten Backups nicht von Erfolg gekrönt sein. Eine frische Installation erscheint mir auch als einzig sinnvolle Maßnahme. Du kannst es natürlich mal ausprobieren, wenn es nicht klappt, kannst du ja immernoch eine Neuinstallation durchführen.