TeaTimer zerschießt Registry!

R

richi

New member
:oops: gestern hat's meine Registry erwischt, aber richtig!

Zur Vorgeschichte:
1. Im Taskleistenmenü "IE Resident" deaktiviert
2. Ebenfalls aus dem Taskleistenmenü Spybot S&D beendet
3. Prozess TeaTimer lief noch, naja ich habe mir erst einmal nichts dabei gedacht
4. Den Rechner heruntergefahren
5. Nach dem Neustart bekam ich folgende Meldung:
"Windows 2000 konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist: \WINNT\system32\config\SYSTEM

Beim Starten der Wiederherstellungskonsole stellt sich heraus, daß die Systemregistrierung offenbar keinen aktiven ControlSet Key mehr hat.

Kann mir jemand einen Weg beschreiben, wie man unter Win 2000 diese kaputte Registry wieder restaurieren kann - hängt zuviel dran?
 
Zwischenbericht

In der Zwischzeit habe ich zwei Mails vom Spybot-Team bekommen und beantwortet:

Hallo Chi-Va,

mit welcher Version Registry-Dateien (system, sam, security, software, default) soll im abgesicherten Modus gestartet werden (siehe meine vorige Mail)? Die Registry aus \WINNT\repair ist 6 Jahre alt und hat nie ein Spybot S&D gesehen. Habe ich das richtig verstanden, daß auf dieser Basis ein Rollback versucht werden soll?

Oder andersherum, wie bekomme ich mit der neuesten, aber kaputten, Registry den Rechner abgesichert gestartet?

Ich habe da noch ein Verständnisproblem.

Danke,
Ricardo

>
> Hallo Ricardo,
>
> haben Sie schon das Registry Backup von Spybot-S&D
> versucht? Bitte starten Sie dazu Windows im abgesicherten Modus:
> http://www.heise.de/security/artikel/44133
>
> Stellen Sie sicher, dass auch versteckte Ordner und
> Dateien angezeigt werden und fuehren Sie diese beiden Dateien aus:
> regusers.reg
> reglocal.reg
>
> Die Dateien finden Sie im folgenden Ordner:
>
> * Windows 95 or 98: C:WindowsAnwendungsdatenSpybot -
> Search & DestroyBackups
>
> * Windows ME: C:WindowsAll UsersAnwendungsdatenSpybot -
> Search & DestroyBackups
>
> * Windows NT, 2000 or XP: C:Dokumente und
> EinstellungenAll UsersAnwendungsdatenSpybot - Search &
> DestroyBackups
>
> (! Beachten Sie, daß der Anwendungsdaten-Ordner
> unsichtbar ist. Gegebenenfalls ändern Sie bitte
> diesbezüglich Ihre Ordneroptionen !)
> (http://www2.service.t-online.de/dyn/c/18/69/98/1869988.html)
>
> Lassen Sie die Aenderungen von Windows uebernehmen und
> starten Sie das System danach neu.
>
> --
> Mit freundlichen Gruessen,
> Chi-Va
> Team Spybot
>
> >
> > Hallo Team Spybot,
> >
> > Neustart im abgesicherten Modus funktioniert nur noch mit der kompletten
> > Uralt-Registry aus dem Repair-Verzeichnis. Aber wie kann ich die in ein
> > tmp-Verzeichnis gesicherte kaputte SYSTEM überhaupt in den regedit einlesen,
> > geschweige denn wie kriege ich sie repariert?
> >
> > Gruß, Ricardo
> >
> > >
> > > Hallo Ricardo,
> > >
> > > Haben Sie schon mal versucht den PC im abgesicherten
> > > Modus zu starten?
> > > http://www.heise.de/security/artikel/44133
> > >
> > > --
> > > Mit freundlichen Gruessen,
> > > Norma
> > > Team Spybot
> > >
 
Zwischenbericht

Hallo Chi-Va,

Sie haben mich schon richtig verstanden. Mit Hilfe der 6 Jahre alten Registry-Dateien (System, Sam, Security, Software und Default) aus dem Verzeichnis \WINNT\repair bin ich tatsächlich in der Lage zu booten. Sie sind vom Jahr 2000. Leider gibt es keine jüngeren System, Sam, ... -Dateien.

regLocal.reg und regUsers.reg sind von 08/2006.

Meine Frage sind einfach diese:
Ergibt eine Registry von 4/2000 + regLocal.reg, regUsers.reg von 8/2006 nach "Ausführen" wieder eine Registry von 8/2006?

Was ich noch nicht verstanden habe:
Ist in den reg-Dateien ein komplettes Backup drin oder ein nur inkrementelles Backup (seit der Installation von Spybot S&D in 08/2006)? Was passiert mit SAM (Userdaten), Software (Installierte Programme), Security (Sicherheitsrichtlinien), und Default. Werden die mit dem Backup auch wieder auf den neuesten Stand gebracht?

Gruß,
Ricardo

>
> Hallo Ricardo,
>
> leider haben wir Sie wohl falsch verstanden.
>
> >>Neustart im abgesicherten Modus funktioniert nur noch
> mit der kompletten Uralt-Registry aus dem Repair-Verzeichnis.
>
> Daher haben wir angenommen, dass Sie bereits im
> abgesicherten Modus starten koennen. System, Sam,
> Security, Software und
> Default sind alles Teile der Registrierung. Daher muessen
> auch alle geladen werden.
>
> Das erschwert die Reparatur um einiges, wenn der
> abgesicherte Modus noch nicht laeuft. Bitte befolgen Sie
> die Anweisungen(Wiederherstellen) aus dem folgenden Link:
> http://www.wintotal.de/Artikel/xpregistry/xpregistry.php
>
> Nach erfolgreicher Wiederherstellung sollten Sie das
> Registrierungsbackup von Spybot-S&D nutzen, um das System
> auf den letzten Stand vor der Spybot-S&D Installierung
> zurueckzusetzen.
>
> --
> Mit freundlichen Gruessen,
> Chi-Va
> Team Spybot
>
 
Import von regUsers.reg gibt Zugriffsproblem

Windows wurde im abgesicherten Modus hochgefahren. Registry ist die von 04/2000 (alle Registry-Dateien von \winnt\repair nach \winnt\system32\config kopiert).

Das Importieren des Registry-Backups regLocal läßt sich durchführen.
Aber beim Ausführen von regUsers gibt es immer eine Fehlermeldung: "...kann nicht importiert werden: Fehler beim Zugriff auf die Registry", egal in welcher Reihenfolge die Reg-Importe durchgeführt werden.

Was nun?
 
Last edited:
Hallo Richi,

wenn der Rechner nun im Abgesicherten Modus läuft würde ich dir empfehlen alle wichtigen Daten zunächst einmal zu sichern. Dazu entweder auf eine andere Festplatte kopieren, auf CD-Brennen oder sonstiges. Damit würde sich die Situation ein wenig entspannen und man könnte sehen ob und wie deine Registry repariert werden kann.
 
Ich bin soweit.

Kannst Du mir sagen, wie ich das regUser-Backup ausführen kann, ohne Zugriffsprobleme (ich nehme an mit der augenblicklichen NTUSER.DAT) zu bekommen?
 
Spybot Registry Backups

Liebes Spybot-Team

Ich habe mir 'mal die Dateien regLocal und regUser im Editor angeschaut, sie liegen in REGEDIT4-Format also in Textform vor. regLocal enthält nur den Zweig HKEY_LOCAL_MACHINE\Software, die Zweige System, Sam und Security fehlen, und regUsers enthält den Zweig HKEY_USERS und darin DEFAULT.

Was passiert mit dem System-Zweig einer alten Registry, wenn ich Sie mit diesen beiden Backups auffrische? Ist der Regedit/Regedt32 oder W2K so schlau und baut sich den SYSTEM-Zweig selber wieder auf?

Gruß, Richi
 
Last edited:
Hast du denn alle deine Daten gesichert bekommen? Ich bin mir nicht wirklich sicher ob deine Registry zu retten ist und ob es nicht einfacher wäre das System einmal neu aufzusetzen.

Markus
 
Ja Daten sind gesichert. Aber die ganze Systemzusammensetzung mit Software ist zu komplex, als daß ich zu schnell darauf verzichten mag.

Mit meiner jetztigen Registry kann ich in meinem alten admin-account booten, aber die ganze schöne Software ist nicht verfügbar/installiert, auch kein Drucker, Scanner etc. Ich habe allerdings nur regLocal ausführen können - siehe oben.

Die Reg-Files aus dem Crash (SYSTEM, SOFTWARE) haben zwar die richtige Größe, aber ich habe im FileAlyzer gesehen, daß im ersten Teil Verweise auf Teile des Files fehlen. Wenn man Sie im regedt32 als Struktur lädt, sieht man nur Teile der ursprünglichen Substrukturen.
 
So wie ich das sehe, wird das Einspielen von alten Backups nicht von Erfolg gekrönt sein. Eine frische Installation erscheint mir auch als einzig sinnvolle Maßnahme. Du kannst es natürlich mal ausprobieren, wenn es nicht klappt, kannst du ja immernoch eine Neuinstallation durchführen. ;)
 
In SYSTEM z.B. fehlt das Verzeichnis und das CurrentControlSet im Kopf. Das weitere File ist vollständig.

SOFTWARE kann man angeblich durch das Spybot-Backup auf den Stand 08/2006 bringen (mein Backup-Datum). Die Struktur sieht im regedt wohl hinterher auch ganz gut aus.

Nur wie führe ich regUser aus?
 
Last edited:
Noch eine zweite Frage (bitte vergesst die anderen Fragen nicht):

Gibt es Möglichkeiten, die komplette Softwarekonfiguration und die Benutzereinstellungen nebst User-Accounts zu übernehmen, wenn das System neu aufgesetzt wird? Wenn ja, wie geht das?

Was ist in dem Fall, daß ein Update auf XP durchgeführt wird? Ist die Installation in der Lage, die Konfig. zu übernehmen und die SYSTEM-Konfig. selber neu aufzubauen.

Ihr habt doch richtige Cracks bei Euch, die sowas wie Spybot und RegAlyzer geschrieben haben? (Ich kann mir nicht vorstellen, daß Ihr mit Eurem Latein schon am Ende seid.;) )
 
Another question by richi in a newly started thread in the regular Spybot-S&D forum:
richi said:
I'm trying for days now to restore my registry, because the TeaTimer has left it corrupted after disabling TeaTimer, Spybot and rebooting my W2k System.

Fortunately there are two Spybot backup files regLocal and regUsers to restore parts of the registry. But how do I execute/import regUsers without registry access problems (exec of regLocals works)?
Click to expand...
 
Abschlußbericht:

Es ist zwar schon eine Weile her (März war's) aber hier doch noch ein paar Zeilen, wie sich das ganze entwickelt hat, nachdem hier keine Systemspezialisten zu finden waren.

Zerschossen waren nach Abschuß des TeaTimers und zwangsweisen Herunterfahrens des Rechners eindeutig die Registry-Files SOFTWARE und SYSTEM. Für SOFTWARE gibts ein reg4-Backupfile, das S&D automatisch erzeugt, wenn eine Neuinstallation oder ein Update auf eine neue Version gemacht wird. Glücklicherweise war dieses Backup noch nicht so alt.

Unglücklicherweise aber ist dieses File sehr sehr groß und es gab tausende von teils systematischen Fehlern, was das Datenformat der zugewiesenen Werte anging. Z.B. konnten Stringlisten nicht korrekt zugewiesen werden, da die einzelnen Bytes nicht korrekt auf Words expandiert waren. Z.B. war die Anzahl der NULs am Ende nicht korrekt, doppelte Anführungszeichen bzw. \" fehlten überall usw. usw. Es gab eine Reihe von weiteren Inkompatibilitäten ganz zu schweigen vom UNICODE-Format.

Dadurch konnte der Rechner nie erfolgreich mit einem solchermaßen restaurierten Registryfile hochfahren.

Irgenwann habe ich mir ein gawk genommen und bin das ganze systematisch angegangen. Ich habe nach und nach eine Kopie des Backups überarbeitet und mein awk-Skript vervollständigt unter akribischer Prüfung der korrekten Syntax und der Datenformate des regedit4-Formats. Irgendwann nach ca. einer Woche hatte ich alle Fehler.

Ein Booten führte plötzlich zu meiner gewohnten Software-Umgebung und den alten Einstellungen und Icons - voila. Ein paar Treiber mußten neu installiert werden und auch SYSTEM war restauriert.

Nun, ich hätte mir das genau von einem einfachen Einspielen Eurer Backups erhofft (oder professionelle Hilfe unter Informatikerkollegen oder Systemspezialisten, als das Kind im Brunnen war). Warum die nicht kam, verstehe ich heute noch nicht ganz, es sei denn das Know How ist nicht vorhanden (kann ich mir kaum vorstellen).

Nun danke soweit!
 
Last edited:
Immer noch gibt es vom Spybot Team keine angemessene und fachlich qualifizierte Antwort auf die obenstehenden Beiträge in diesem Thread. Seid ihr mit dem Niveau überfordert, oder was bitte ist los hier?

Ihr habt doch offenbar höhere ethische Ziele als rein kommerziell handelnde Unternehmen wie Symantec und andere, wie ich lesen konnte!
 
Was hier "bitte los ist"? Ja, schwere Frage, hier beschwert sich offensichtlich jemand über fehlende qualifizierte Antworten. Zu einer qualifizierten Frage gehören aber imho mehr Details, die passenderweise (bzgl Beschwerde) natürlich in den zugehörigen Emails abgefragt oder auch nicht und geliefert (oder auch nicht) sein könnten, das erschließt sich dem Leser hier leider nicht.

So verwendet der TeaTimer etwa die üblichen API-Funktionen für Registry-Zugriffe - sollte die Registry-Datei auf Byte-Ebene zerschossen worden sein, hätte der TeaTimer dies überhaupt nicht bewirken können. Zudem geschehen die Überprüfungen im Nur-Lesen-Modus, während ich mir eine Inkonsistenz allenfalls im gecachten Schreibzugriff vorstellen könnte.

Dazu kommt, daß der TeaTimer den CurrentControlSet-Teil nicht im ganzen überwacht, sondern nur Teile daraus - die er aber auch in den anderen Control Sets überwachen würde, im Fehlerfall wäre also auch die letzte als funktionierend bekannte Konfiguration betroffen gewesen.

Beides lässt sich z.B. per regmon (SysInternals) recht einfach nachvollziehen.

Fehler in den erzeugten .reg-Dateien bitte ich im RegAlyzer-Unterforum oder Projektverwaltung zu melden - dort wird derselbe Code verwendet, die Fehler aber wesentlich einfacher zu reproduzieren.
 
Hallo Pepi,

nun, bis auf den Emailverkehr, den ich hier veröffentlicht habe, gab es nichts wirklich Relevantes in Euren Emails, leider. Und wenn ich mir diesen Thread noch einmal durchlese, wurden die meisten meiner Fragen unbeantwortet im Raum stehen gelassen. Bei Dir kann ich, glaube ich ausschließen, daß Du mit den Fragen überfordert bist, aber schau Dir doch mal die Antworten Deiner Kollegen an.

Eigentlich habe ich nur den lapidaren Hinweis bekommen, daß es wahrscheinlich am einfachsten wäre, das System völlig neu zu installieren (sehr professionell ;-) und sehr leichtfertig). Das man auf einem W2000k-Rechner unter Umständen viele viele User- und Softwarekonfigurationen platt macht (ein paar Beispiele von 100 weiteren: die Email-Konfigurationen von x Usern, deren Verschlüsselungs-, Entschlüsselungs- und Authentifizierungszertifikate, nicht mehr zu wiederholende Programminstallationen ...) - kein Gedanke.

Also mit anderen Worten: Daß sich jemand wirklich ernsthaft mit meinem Problem auseinandergesetzt hätte, kann ich nicht sagen.

Und: Daß mich jemand von Euch bis zu dem Punkt gebracht oder begleitet hätte, wie im "Abschlußbericht" (siehe oben) beschrieben, kann ich nun wirklich nicht sagen.

Und das läßt natürlich eine gewisse Enttäuschung aufkommen. Schließlich soll es doch mit einem einfachen Restore der Backups möglich sein, einen definierten Zustand wiederherzustellen, falls (S&D || TeaTimer) 'mal verunglücken.

Nix da! Zwei Wochen habe ich ohne Eure Hilfe gebraucht.

Das war alles, was ich mit den zwei vorigen Beiträgen sagen wollte.
 
You must log in or register to reply here.
Back
Top