none
Registry key unter HKLM\SYSTEM\CurrentControlSet\Enum\Root loeschen

    Question

  • Hallo,

    ich moechte den Schluessel unter

    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAMPLE

    loeschen, habe aber als Admin keine Berechtigung. BTW: Bin aber Owner.
    Wie geh ich da vor, da ein manuelles zuweisen der Schreibrechte nicht funktioniert?
    Bekomme da ein:

    Unable to save permission changes on LEGACY_SAMPLE
    Access is denied.

    Habe hier zwar auch chntpw, aber wuerde das lieber mit Windows Boardmitteln machen.

    Thomas
    Friday, January 15, 2010 1:50 PM

All replies

  • Mit Ast-Export -> Änder -> Ast-Import geht es auch nicht?
    Und auch nicht regedit als Admin ausführen?



    War mir eine Ehre! -- Mimatete -- Bitte verzeihen Sie meine temporäre Legasthenie -- Sie können Forum nicht durchsuchen? -- Folgendes in der Suchmaschine, aber NICHT bei Google, eingeben: suchwort site:social.answers.microsoft.com/Forums -- das hier tue ich, weil ich Eure Probleme gerne habe. Nein, ich werde dafür nicht bezahlt
    Friday, January 15, 2010 5:36 PM
  • Hallo Mimatete,

    nein, das geht nicht. Wenn ich mir die anderen "LEGACY" Schluessel so anschaue,
    dann haben die alle das nur Lesen-Attribut fuer "Adminsitrators" (Plural, also die Gruppe)
    aber eben keine Schreibrechte(siehe Rechteangabe unten)

    Es handlet sich um zwei Schluessel, die von einem Virus (Bagle) herrueheren.
    Den Virus habe ich erfolgreich entfernt, aber die zwei Schluessel sind noch uebrig.
    Insofern kann da auch nicht noch etwas durch einen Virus blockiert werden und
    bin da auch sicher, dass der Virus nicht mehr aktiv ist (Gesaeubert ueber
    Linux, dann ueber Linux mit Avira gescannt und dann nochmal mit diversen Scannern
    und Removal Tools von Windows aus nachgeprueft -> Keine Funde mehr.

    Aber die ganzen anderen LEGACY Eintraege haben die auch diese Rechte und insofern
    ist da auch nicht etwas von dem Virus verbogen worden.

    "SYSTEM" Full
    "OWNER_RIGHTS" mit Special Right: "Read-Control"
    "Everyone" mit Special Rights: Query, Enumerate, Notify und Read

    Owner steht auf "Administrators"

    Hat da noch jemand eien Idee, bzw. weiss wie das gehen koennte?
    Geht es vielleicht ueber Commandozeile Oder beim Systemstart?

    btw: Kann man die Rechte in der Registry ueberhaupt ueber die
    Kommandozeile aendern/setzen? Also wenn man SChreibrechte ha?

    Thomas
    Friday, January 15, 2010 7:15 PM
  • ok, noch eine Idee:

    von DVD booten, die Reparatur starten, (oder eben über F8)  Systemreparatur aufrufen. Irgendwann kommt Fenster mit Systemwiederherstellungsoptionen, die letzte Position ist Eingabeaufforderung - aufrufen und regedit eingeben.
    Im Menü Datei des Registrierungs-Editors den Befehl Struktur laden  und zu  Windows\System32\config navigieren, dort SYSTEM auswählen

    Und wie es weiter geht, wissen Sie schon :)


    War mir eine Ehre! -- Mimatete -- Bitte verzeihen Sie meine temporäre Legasthenie -- Sie können Forum nicht durchsuchen? -- Folgendes in der Suchmaschine, aber NICHT bei Google, eingeben: suchwort site:social.answers.microsoft.com/Forums -- das hier tue ich, weil ich Eure Probleme gerne habe. Nein, ich werde dafür nicht bezahlt
    Friday, January 15, 2010 7:39 PM
  • Thomas Steinbach:

    > HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SAMPLE

    Warum denn 001? Änderungen macht man an "Current".

    > loeschen, habe aber als Admin keine Berechtigung. BTW: Bin aber Owner.
    > Wie geh ich da vor, da ein manuelles zuweisen der Schreibrechte nicht funktioniert?

    Das geht ohne Rechtegefummel ganz einfach, indem man die Registrierung mit
    Systemrechten öffnet. Mit psexec z.B.

    hpm
    Friday, January 15, 2010 7:53 PM
  • Hallo Mimatete,

    danke fuer deinen Tip und ich habe das auch so mal probiert.
    Also Reboot, dann F8 -> System Repair -> Console > Regedit
    Der Key war aber dann nicht mehr zu sehen.
    Ich habe dann einfach neu gebootet _OHNE_ irgendwas an der
    Registry zu drehen.

    Nach dem Neustart kamm aber das bittere Erwachen, denn ploetzlich starten
    eineige Services nicht mehr :-( PAAAANIK - Himmel, ausgerechnet....
    U.a. auch die Firewall, etc. Siehe Screenshots auf:
    http://www.failure.bravehost.com/win7/svcstart/

    Wenn ich nun Regedit nach einem "normalen" Start (aber eben mit dem Fehler
    dass auf einige Dienste nicht starten) Regedit oeffne und mir die Keys
    dort anschaue haben auf einemal alle Keys und allen ControlSets noch _zusaetzlich_
    Administrator-Rechte. Aber WO kommen die auf einmal her?

    Ich habe lediglich als das System noch lief und _vor_ dem Repair Mode Boot
    versucht einem _Subkey_ HKLM\SYSTEM\*ControlSet*\Enum\Root\LEGACY_SAMPLE
    den Admin mit Vollzugriff zuzuordnen. Nicht aber den ganzen Teilbaum

    Vor dem Rapair Boot hatte ich noch nach einem Systemwiederherstellungspunkt gesucht.
    Aber die waren, wie ich das nun schon mehrfach erlebt habe, nicht mehr vorhanden :-(
    Man muesste so Punkte irgendwie "sperren" koennen, sodass man auf jedenfall noch
    einen hat.

    Ich habe dann eben noch ein "Last Known Good Configuration" probiert, aber die Rechte
    sind in allen ContolSets mit zusaetzlichen Rechten fuer Admin ausgestattet :-(

    Jetzt ist die grosse Frage - Wie bekomme ich die Registry wieder in ihren Zustand mit
    den "richtigen" Rechten? Mit den Adminrechten starten einige Dienste nicht und ich bekomme
    z.B. das Netzwerk als nicht verbunden angezeigt, kann aber erstaunlicherweise noch surfen.

    Ich scan mit Avira nun die Windows 7 Partition von Vista aus und habe bisher keine Funde
    und es scheint alles sauber zu sein.

    Hoffe hier weiss jemand wie ich aus dem Regestry-Fehler-Schlamassel rauskomme, denn
    eine Neuinstallation kaeme extrem unguenstig und all die Arbeit in den letzten zwei
    Monaten waere hinueber, bzw. die ganzen Tools die ich benoetigt und konfiguriert habe
    sind dann wieder "unistalliert" :-(

    Thomas

    Friday, January 15, 2010 9:06 PM
  • Hallo Hans-Peter,

    hach, das haette ich zwei Minuten vorher wissen muessen, dann haette ich
    diesen bloeden Repair Mode nicht ausprobiert.

    Ich hatte noch als gedacht "Man muesste als SYSTEM Regedit starten koennen"
    BTW: Wie lauten die Rechte von diesen LEGACY_* Keys bei euch?
    So wie oben angegeben? Also

    "SYSTEM" Full
    "OWNER_RIGHTS" mit Special Right: "Read-Control"
    "Everyone" mit Special Rights: Query, Enumerate, Notify und Read

    ?

    In 001 deswegen weill das die Konfiguration mit dem "Infekt" war
    Als ich gemerkt habe das da "etwas" unerlaubt aufs Netz zugreifen will, bzw.
    faul ist, hatte ich einfach resetet (ausgeschaltet), dann von Linux aus gesaeubert
    und gecant und dann nach einem Neustart eine andere "Last Know Good
    Configuration" gebootet, da ein RestorePoint nicht mehr vorhanden war.
    Hatte gestern zwar wieder einen erstellt, aber nach dem Disaster (Repair-Boot)
    von eben war dieser auch wieder weg :-(

    Weisst du einen Weg wie ich die Registry in einen Zustand mit den richtigen
    Rechten bekomme?

    Ich hatte gestern Abend noch von Linux aus eine Kopie des SYSTEM Hives
    gemacht. Allerdings nicht von SAM, COMPONENTS oder SOFTWARE) Wenn
    ich den Hive zurueckkopiere koennte es ja eventuell wieder gehen, oder?
    Aber gut waeren natuerlich Windows Boardmittel. Quasi eine Art Reset
    der Registry ohne das die ganzen Einstellungen verloren gehen.
    Ich habe auch als im Hinterkopf dass man doch irgdwo dieses
    Feature eingebaut hat. Also alle Rechte auf Standarwerte zuruecksetzen.
    Oder bezieht sich das nur auf das Dateisystem?

    Erstaunlicherweise ist das SYSTEM-Hive von gestern, ca. 18:00 Uhr (als
    eben alles noch/wieder sauber war) ca. 21 MB gross und das SYSTEM Hive jetzt
    ganze 28 MB gross. Das ist ja schon ein extremer Unterschied.
    Habe dann seit gestern Abend nur Rootkit-Revealer, Malicious Software
    Removel-Tool und einige ander der Kontrolle halber laufen lassen.
    Alles schien gut und ich wollte nur noch diese zwei letzen Ueberbleibsel
    loswerden. Alles sehr aergerlich

    Thomas
    Friday, January 15, 2010 9:23 PM
  • Hallo Mimatete,

    danke fuer deinen Tip und ich habe das auch so mal probiert.
    Also Reboot, dann F8 -> System Repair -> Console > Regedit
    Der Key war aber dann nicht mehr zu sehen.

    Kann es sein, dass Sie hier etwas vergessen haben? Wenn Sie die Registrydatenbank von der Festplatte nicht laden - sehen Sie den Key-Fragment nicht.

    Sie haben doch nur erweitert, nicht den Besitz übernomen oder etwa doch?

    Nehmen Sie doch den Admin da wieder raus.

    Ich dachte mir, wenn Sie an die Registry wollen, machen Sie eine Kopie vorher.
    Da stand nichts vonwegen : muss meine Registry verändern, aber habe keine Ahnung.



    War mir eine Ehre! -- Mimatete -- Bitte verzeihen Sie meine temporäre Legasthenie -- Sie können Forum nicht durchsuchen? -- Folgendes in der Suchmaschine, aber NICHT bei Google, eingeben: suchwort site:social.answers.microsoft.com/Forums -- das hier tue ich, weil ich Eure Probleme gerne habe. Nein, ich werde dafür nicht bezahlt
    Friday, January 15, 2010 9:35 PM
  • Hallo Mimatete,

    ja, das hatte ich vorhin nicht gemacht. Also den SYSTEM Hive zu laden.
    Umso mehr wundert mich dass dieser Hivew Zweig dann auf einmal mit diesen
    Administratorrechten ausgestattet ist.

    Ich habe noch ein Bakcup von gestern Abend. Aber das ist ca. 7 MB
    groesser und hat vermutlich nicht mehr viel mit meinem jetzigen Hive
    zu tun.

    Ich habe es jedenfalls auch gerade nochmal versucht. Das Laden ist ausgegraut
    im Registry-Editor, wenn ich ueber F8 -> Repair -> Console -> regedit gehte
    (Login mid Administratoraccount) und man kann nur "importieren". Aber das
    ist wohl nicht gemeint.

    Das mit dem Admin herausnehmen ist eine gute Idee, aber woher weiss ich ab
    wlelcher Hierarchieebene ein Admin vorhanden ist und wann nicht. Ab wo
    kann ich denn rausnehmen. Auch rekursiv? Wenn ich das mir hier bei Vista
    so anschaue, dann ist die Gruppe ab der Hierarchieebene Enum nicht mehr
    vorhanden.

    Den Besitz habe ich _nicht_ uebernommen, der war die ganze Zeit schon auf
    Administrators (nicht dem/einem einzelnen Administratoraccount) sondern
    der Gruppe Administrators.

    Ich hatte lediglich mal einem LEGACY_SMAPLE Subkey versucht den Admin
    mit Schreibrechten hinzuzufuegen. Das

    BTW: Virenscan von Vista aus liefert keine Funde. Das Win 7 System scheint demanch
    clean zu sein. Aber mit den Rechten innerhalb der Registry stimmt nun etwas nicht :-(

    An Hans-Peter:
    Wie starte ich eigeentlich mit dem SYSTEM Account? Ich habe ja kein Passwort. Das hier:

    psexec -u SYSTEM %SystemRoot%\System32\regedit.exe

    haut nicht so hin, denn da werde ich nach dem Passwort gefragt.

    Thomas


    Friday, January 15, 2010 10:06 PM
  • Thomas Steinbach:

    > "SYSTEM" Full
    > "OWNER_RIGHTS" mit Special Right: "Read-Control"
    > "Everyone" mit Special Rights: Query, Enumerate, Notify und Read

    Diese Schlüssel haben hier
    Jeder: Lesen
    Eigentümerrechte: speziell (Lesekontrolle)
    System: Vollzugriff
     
    > Weisst du einen Weg wie ich die Registry in einen Zustand mit den richtigen
    > Rechten bekomme?

    Bei Verdacht auf Kompromittierung: Image oder Neuinstallation. Ansonsten:
    Alle Änderungen, die man machte, sind auch wieder auf dem gleichen Wege
    rückgängig zu machen.
     
    > Ich hatte gestern Abend noch von Linux aus eine Kopie des SYSTEM Hives
    > gemacht. Allerdings nicht von SAM, COMPONENTS oder SOFTWARE) Wenn
    > ich den Hive zurueckkopiere koennte es ja eventuell wieder gehen, oder?

    Eventuell, oder auch nicht. :-/

    > Aber gut waeren natuerlich Windows Boardmittel. Quasi eine Art Reset
    > der Registry ohne das die ganzen Einstellungen verloren gehen.
    > Ich habe auch als im Hinterkopf dass man doch irgdwo dieses
    > Feature eingebaut hat. Also alle Rechte auf Standarwerte zuruecksetzen.
    > Oder bezieht sich das nur auf das Dateisystem?

    Nein, auch in der Registrierung wird geändert.
    Ich würde das aber in solch einem unsicheren Fall nicht machen.
    Zurücksetzen der Sicherheitseinstellungen auf die Standardwerte
    http://support.microsoft.com/?kbid=313222
    Oder bei Mark Heitbrink:
    http://www.gruppenrichtlinien.de/index.html?/sec/secedit_in_der_CMD.htm

    > Erstaunlicherweise ist das SYSTEM-Hive von gestern, ca. 18:00 Uhr (als
    > eben alles noch/wieder sauber war) ca. 21 MB gross und das SYSTEM Hive jetzt
    > ganze 28 MB gross. Das ist ja schon ein extremer Unterschied.
    > Habe dann seit gestern Abend nur Rootkit-Revealer, Malicious Software
    > Removel-Tool und einige ander der Kontrolle halber laufen lassen.
    > Alles schien gut und ich wollte nur noch diese zwei letzen Ueberbleibsel
    > loswerden. Alles sehr aergerlich

    Wo ist deine komplette Systemsicherung? Du hast keine? Dann mach doch eine
    Neuinstallation, einfach der Übung halber. Das ist so ärgerlich, danach
    vergisst du Backups bestimmt nie wieder. <duck>

    hpm

    Friday, January 15, 2010 11:05 PM
  • Thomas Steinbach:

    > BTW: Virenscan von Vista aus liefert keine Funde. Das Win 7 System scheint demanch
    > clean zu sein.

    Ein Virenscann ist ein Placebo und hat genau *gar keine* Aussagekraft
    darüber, ob ein System clean ist oder nicht. Wenn ein Verdacht auf
    Kompromittierung da ist: formatieren und neu installieren. Jeder hat aber
    sicher ein sauberes Image des Systemlaufwerks. Sichere dieses eben zurück.

    > Aber mit den Rechten innerhalb der Registry stimmt nun etwas nicht :-(

    Ich sagte ja, dass da kein Rechtegefummel erforderlich ist - und das Löschen
    von Einträgen auf gut Glück ist auch Wunschdenken.

    > An Hans-Peter:
    > Wie starte ich eigeentlich mit dem SYSTEM Account? Ich habe ja kein Passwort. Das hier:
    > psexec -u SYSTEM %SystemRoot%\System32\regedit.exe
    > haut nicht so hin, denn da werde ich nach dem Passwort gefragt.

    Nö, öffne eine adminstrative CMD-Box und gib Folgendes ein:
    psexec -i -d -s c:\windows\regedit.exe
    Damit hast du dann Systemrechte und Vollzugriff auf alle Schlüssel.

    hpm
    Friday, January 15, 2010 11:05 PM
  • Hallo,
    solche Schlüssel sind auch für Admins erstmal tabu. Mach dich zum Besitzer und gib dir Vollzugriff!

    Gruß
    André

    "A programmer is just a tool which converts caffeine into code" CLIP- Stellvertreter http://www.winvistaside.de/
    Friday, January 15, 2010 11:27 PM
  • Ich habe es jedenfalls auch gerade nochmal versucht. Das Laden ist ausgegraut
    im Registry-Editor, wenn ich ueber F8 -> Repair -> Console -> regedit gehte
    (Login mid Administratoraccount) und man kann nur "importieren". Aber das
    ist wohl nicht gemeint.
    Ich habe diese Methode bis Dato nur mit Boot-DVD ausprobiert und da ging es ohne jefliche Probs. War alles zugängig. Deswegen das mit F8 im Klammern.

    Das mit Admin kann an sich bei Kumpel anschauen.
    Unter w7 gibt es eigentlich keine (standardmäßige)  Adminberechtigung, wenn schon dann gehen die Gruppenweise als Administratoren.

    Da ich gerne was dazu lerne, habe ich den psexec-befehl eingegeben - kann ihn nicht finden.

    Wenn das nicht klappt, kann man ein Systemkonto erstellen.



    War mir eine Ehre! -- Mimatete -- Bitte verzeihen Sie meine temporäre Legasthenie -- Sie können Forum nicht durchsuchen? -- Folgendes in der Suchmaschine, aber NICHT bei Google, eingeben: suchwort site:social.answers.microsoft.com/Forums -- das hier tue ich, weil ich Eure Probleme gerne habe. Nein, ich werde dafür nicht bezahlt
    Saturday, January 16, 2010 7:58 AM
  • Hallo mimatete,

    psexec ist Bestandteil der sysinternals-suite oder auch als
    einzelnes Programm erhaeltich. Download hier:
    http://technet.microsoft.com/en-us/sysinternals/default.aspx
    Das ist eine Sammlung von Tools die von MS kostenfrei
    zur Verfuegung gestellt wird.

    Ich habe nun noch eine Frage.
    Mir ist momentan total schleierhaft wie ich ein Hive "Load"-en kann?
    Bei mir erscheint das "Load" immer ausgegraut.

    Ich habe es jetzt ueber F8 und ueber die DVD probiert. Aber der "Load" Befehl
    (Anmeldung mit einem Administrator Account) steht bei mir nie zur Verfuegung.
    Was uebersehe ich da?
    Von Festplatte ueber F8 waere sicher noch erklaerbar, da der Hive dann ja
    eventuell geladen waere. Aber wieso kann ich das nicht nutzen, wenn ich
    ueber DVD boote?
    BTW: Habe hier Windows 7 Professional RTM (en)

    Auch wenn ich Windows Vista starte und dort Regedit mit Adminrechten starte,
    dann erscheint das "Load/Unload Hive" ausgegraut. Muss ich hier noch was
    besonderes beachten?

    Thomas
    Saturday, January 16, 2010 8:07 AM
  • Und mir ist schleierhaft, warum jemand, der AdmitKit benutzt nicht an Registry-Backup denkt und die Boardmittel von w7 nicht benutzen kann ;o)

    Ich boote gerade mit meiner WinPE-CD, es wird nach Problemen gesucht, wo keine sind, und deswegen dauert es so lange, er repariert, wo alles bestens war, und jetzt sehe ich, dass man keine Struktur laden kann, warum?
    Ganz einfach - Sie müssen schon auf dem Zweig stehen (Markierung) und nicht auf Computer.

    Und jetzt zeigen Sie dem PC, wer der Herr im Haus ist :)


    War mir eine Ehre! -- Mimatete -- Bitte verzeihen Sie meine temporäre Legasthenie -- Sie können Forum nicht durchsuchen? -- Folgendes in der Suchmaschine, aber NICHT bei Google, eingeben: suchwort site:social.answers.microsoft.com/Forums -- das hier tue ich, weil ich Eure Probleme gerne habe. Nein, ich werde dafür nicht bezahlt
    Saturday, January 16, 2010 8:43 AM
  • Hallo Mimatete,

    Was ist denn das AdminKit? Oder meinst du damit die Sysinternals?
    Das mit dem Backup der Registry hattest du wohl falsch verstanden. Ich habe ja eines gemacht.
    ABER: Wenn ich das oben aber richtig verstanden habe, dann scheint dieses nicht viel Wert zu sein.
    War zu dem Zeitpunkt auch "schon" ca. 12 Stunden alt :-O
    Wobei ich mich natuerlich gerade Frage ob so ein Teil-Backup oder Registry dann ueberhaupt
    Sinn macht. ;-)
    Allerdings haette auch ein Backup unnoetig sein _muessen_, da ich ja nichts veraendert hatte,
    sondern einfach nur regedit gestarte habe. Dann wieder geschlossen und neu gebootet habe.
    Also absolut nichts geaendert und nur in die Zweige geschaut. Danach war aber alles
    mit _zusaetzlichen_ Adminrechten versehen.
    Es wirkt ein wenig so, als waeren meine Versuche diesen LEGACY_SAMPLE Zweig mit
    Schreibrechten fuer Adminstrators Gruppe irgendwo gecached worden und dann beim
    Booten ueber F8 - Repair und laden der Registry auf den ganzen Teilzweig angewendet
    worden.
    Ein Problem das sich momentan noch auftut ist die Tatsache dass ich ein entfernen
    der Admingruppe nicht so einfach anwenden kann, da es nicht rekursiv von unten
    entfernt wird. In dem Moment wo ich bei Enum die Admingruppe entferne, habe ich
    dann keine Schreibrechte mehr auf die Subkeys. ;-)
    Ihc muss es gleich mal mit dem "psexec -i -d -s regedit" versuchen

    Ein vollstaendiges System-Backup habe ich hier leider nicht und ich habe eben mal nachgeschaut.
    Windows veranschlagt mir fuer mein System ganze 270 GB. Das macht es aber schwer, da ich keine
    Partition habe die so gross ist ;-). Da muesste ich erst was freischaufeln und ein paar ander Oses und/oder
    Datenpartitionen verschieben. Was allerdings immer recht viel Zeit in Anspruch nimmt, da ich hier einige
    Linux und BSD Systeme, Solaris und auch noich ein paar exotische Systeme installiert habe...
    Habe momentan auch nicht so viel Speicherplatz mal eben uebrig.

    Das mit dem Zweig hat nun teilweise funktionert. Habe das auch noch nie
    gebraucht und so war mir das mit dem "Auf den Zweig gehen" unbekannt.
    Zumindest stand dann Load zur Verfuegung. Aber nach Angabe von "HKEY_LOCAL_MASHINE"
    als Zweig sah mir das noch wie das System Hive das vom Bootmedium kommt aus.
    Denn es war nach wie vor nur ein Current und ein 001 ControlSet vorhanden und
    dort haben die Berechtigungen auch gestimmt.

    BTW: Wie wird so ein Systembackup erstellt? In eine Image Datei?
    Ein bestimmtes Format? RAW oder so?

    Geht es da auch gewisse Zweige auszuschliessen? Z.B. Program Files?

    Jedenfalls werde ich mir da nochmal Gedanken machen, wenn ich tatsaechlich alles neu einspielen
    muss. Wird aber vermutlich bei meinen exezssiven Konfigurationen wohl nicht wirklcih praktikabel
    und fuer mich als Student momentan auch zu kostspielig sein.

    So schnell will ich auch nicht aufgeben und gleich alles neu einspielen. Dann entwickelt ich
    mich ja nicht weiter, sondern hantiere immer nur mit 0815 Standards. Beim naechsten Problem dieser
    Art habe ich dann aber wieder _nur_ den Griff zu einem Systembackup als Option zur Verfuegung
    Diesbezueglich habe ich dann halt doch einen anderen Anspruch und auch Ehrgeiz. :-)

    Momentan scheint mir die von Hans-Martin angesprochene Option und dem Anwenden des
    secedit tools wie auf http://support.microsoft.com/Default.aspx?kbid=313222 erklaert,
    noch die beste Moeglichkeit zu sein.

    Zoegere da aber gerade etwas und ueberlege ob es besser ist _erst_ das secedit tool auszuprobieren
    oder doch _erst_ mit dem aeltern SYSTEM Hive Backup ein Zurueckspielen zu versuchen.
    Waere prima wenn der ein oder andere mal aus seinen Erfahrungen erzaehlt, welche Reihenfolge
    da moeglicherweise zu bevorzugen ist. Denke mir gerade so dass es sicher besser ist erst das
    Backup auszutesten, da beim Secedit auch Dateirechte etc. betroffen sind und sich das alles
    auch auf die anderen Zweige wie SECURITY (klar), COMPONETS, SAM, usw. auswirkt.

    Thomas
    Saturday, January 16, 2010 10:32 AM
  • Thomas Steinbach:

    > Allerdings haette auch ein Backup unnoetig sein _muessen_, da ich ja nichts veraendert hatte,
    > sondern einfach nur regedit gestarte habe. Dann wieder geschlossen und neu gebootet habe.
    > Also absolut nichts geaendert und nur in die Zweige geschaut. Danach war aber alles
    > mit _zusaetzlichen_ Adminrechten versehen.

    Schon ein Reinschauen kann Veränderungen bewirken. Wenn du im Explorer z.B.
    in ein gesperrtes Verzeichnis schauen willst, bekommst du zunächst mal eine
    Absage. Dann bietet UAC dir das Schauen an und du siehst den Inhalt. Wenn du
    dir danach allerdings die Sicherheitseinträge des Objektes ansiehst, wirst
    du erkennen, dass UAC einen permanenten zusätzlichen Eintrag für dich
    eingerichtet hat.

    > Ein Problem das sich momentan noch auftut ist die Tatsache dass ich ein entfernen
    > der Admingruppe nicht so einfach anwenden kann, da es nicht rekursiv von unten
    > entfernt wird. In dem Moment wo ich bei Enum die Admingruppe entferne, habe ich
    > dann keine Schreibrechte mehr auf die Subkeys. ;-)

    Es ist auch nicht leicht, sich den Ast abzusägen, auf dem man sitzt!

    > Ihc muss es gleich mal mit dem "psexec -i -d -s regedit" versuchen

    Was eierst du immer noch rum? Öffne die Registrierung doch gleich mit
    Systemrechten. Das Gebastel an Rechten dort ist grober Unfug.

    > Ein vollstaendiges System-Backup habe ich hier leider nicht und ich habe eben mal nachgeschaut.
    > Windows veranschlagt mir fuer mein System ganze 270 GB.

    Win 7 braucht vielleicht 15 GB, mehr aber nicht. Wie kommt es auf 270 GB?

    > BTW: Wie wird so ein Systembackup erstellt? In eine Image Datei?
    > Ein bestimmtes Format? RAW oder so?

    Da gibt es mehrere Methoden. Ich bevorzuge ein Image des Systemlaufwerks. Da
    ist es von Vorteil, wenn dieses möglichst nur das reine System enthält und
    die Anwenderdaten auf einer anderen Partition gespeichert sind. So ein Image
    wird komprimiert gespeichert. Meine Win 7-Images haben eine Größe von ca.
    5 GB.

    > So schnell will ich auch nicht aufgeben und gleich alles neu einspielen. Dann entwickelt ich
    > mich ja nicht weiter, sondern hantiere immer nur mit 0815 Standards. Beim naechsten Problem dieser
    > Art habe ich dann aber wieder _nur_ den Griff zu einem Systembackup als Option zur Verfuegung
    > Diesbezueglich habe ich dann halt doch einen anderen Anspruch und auch Ehrgeiz. :-)

    Wenn der Verdacht einer Kompromittierung im Raum steht, ist Neuinstallation
    oder ein Image die einzige Möglichkeit! Man entwickelt sich hier durch
    dilettantische Basteleien nicht weiter, sondern bringt sich damit unter
    Umständen sogar ins Gefängnis, siehe
    http://oschad.de/wiki/index.php/Virenscanner
    Auf die Art von Weiterentwicklung kann man doch wohl verzichten, oder?

    hpm
    Saturday, January 16, 2010 1:27 PM
  • Hallo,

    > Win 7 braucht vielleicht 15 GB, mehr aber nicht. Wie kommt es auf 270 GB?
    Hmmm, ja ich habe viel Software in verschiedenen Versionen auf meinen
    Platten. Deshalb auch meine Frage ob man %ProgramFiles% ausschliessen
    kann und nur das reine Win 7 System mit den _benoetigten_ Dateien aus
    %ProgramFiles% sichern kann.

    Das Registry Backup liess sich noch einspielen, aber ich
    dann doch nochmal neu installiert.

    Loesung:
    Da ich auch der Ueberzeugung bin dass ein kompromittiertes
    System besser neu installiert wird.


    Thomas
    Saturday, January 30, 2010 3:38 PM