2017103

Die Registry von einem Live-System aus bearbeiten

11.03.2015 | 14:31 Uhr |

Wenn Windows nicht mehr korrekt startet, weil etwa der BKA-Trojaner die Windows-Shell blockiert, reparieren Sie die manipulierte Registry mithilfe der kostenlosen AVG Rescue CD.

Diese Programme brauchen Sie: AVG Rescue CD , gratis, für Windows XP, Vista, 7 und 8, oder AVG Rescue CD für den USB-Stick, gratis , Imgburn 2.5.8 , englischsprachig, gratis, für Windows, XP, Vista, 7 und 8. Wählen Sie bei Imgburn die benutzerdefinierte Installation, damit Sie keine zusätzliche Shareware installieren müssen.

Wenn Windows nicht mehr korrekt startet, kann das an Fehlern in der Registry liegen. Ein verbreitetes Beispiel dafür sind die Erpresser-Viren, auch BKA-Trojaner genannt. Sie lassen zwar noch einen Windows-Start zu, zeigen dann aber nur noch eine erpresserische Meldung an. Dafür haben sie die Registry so manipuliert, dass nicht mehr die eigentliche Bedienerführung (Shell) von Windows startet, sondern nur noch ihre Nachricht. Wenn dann selbst das Starten in den abgesicherten Modus von Windows nicht mehr möglich ist, können Sie solche Registry-Manipulationen nur noch mit einem Live-System rückgängig machen. Empfehlenswert ist beispielsweise die AVG Rescue CD, da sie einen sehr brauchbaren Registry-Editor enthält.

Mit dem Registry-Editor der AVG Rescue CD lässt sich etwa ein Erpresser-Virus unschädlich machen, wenn dieser die Bedienerführung von Windows (Shell) gesperrt hat.
Vergrößern Mit dem Registry-Editor der AVG Rescue CD lässt sich etwa ein Erpresser-Virus unschädlich machen, wenn dieser die Bedienerführung von Windows (Shell) gesperrt hat.

Boot-CD erstellen: Zuerst laden Sie sich die AVG Rescue CD als ISO-Datei herunter. Mit einem Brennprogramm, etwa Imgburn, brennen Sie dieses Abbild auf eine CD oder DVD. Das geht in Imgburn über den Befehl „Write image file to disk > Please select a file“ und nach Auswahl der ISO-Datei mit einem abschließenden Klick auf das Kopiersymbol.

Alternativ können Sie einen bootfähigen USB-Stick mit AVG Rescue CD für den USB-Stick erzeugen. Stecken Sie dafür den Stick an und starten Sie die Datei Setup.exe aus dem Archiv von AVG Rescue CD für den USB-Stick. Wählen Sie Ihren Stick aus und klicken Sie auf „Install“. Kurz darauf haben Sie einen bootfähigen Stick.

Starten Sie den PC von der eingelegten CD oder dem angesteckten DVD-Stick. Sollte Ihr PC nicht automatisch vom externen Medium starten, drücken Sie beim Booten die Funktionstaste zur Auswahl des Boot-Menüs. Welche das ist, erscheint beim PC-Start am Bildschirm.

Die AVG Rescue CD startet nach 10 Sekunden automatisch, es sei denn, Sie wählen mit den Pfeiltasten eine Boot-Alternative aus.

Registry bearbeiten: Nach dem Start des PCs von der AVG Rescue CD müssen Sie zunächst mit der Taste Enter die Lizenzbestimmungen akzeptieren. Danach erscheint das Menü der CD. Darin gehen Sie mit der Taste Pfeil-Unten zu „Utilities“ und drücken Enter. Dann wechseln Sie zu „Registry Editor“ und drücken wiederum Enter. Die AVG Rescue CD lädt nun die Windows Registry von der ersten Partition der ersten Festplatte und zeigt Ihnen die drei Zweige der Registry HKCR, HKLM und HKU an.

Wenn Sie kontrollieren möchten, ob der Windows-Explorer noch als Bedienerführung eingetragen ist,  wählen Sie HKLM, was für HKEY_LOCAL_MACHINE steht. Wechseln Sie weiter in den Zweig „\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell“.

Haben Sie sich mal im Ordner geirrt, dann wechseln Sie mit der Taste Pfeil-Rechts auf „Return“ und kommen so im aktuellen Registry-Zweig wieder einen Ordner zurück.

Im genannten Zweig muss sich der Eintrag „explorer.exe“ befinden. Steht dort etwas anderes oder fehlt der Eintrag, wechseln Sie mit der Taste Pfeil-Rechts auf „Edit“ oder „Add“. Mit Enter starten Sie das Ändern oder Hinzufügen des Eintrags. Haben Sie das erledigt, wechseln Sie mit der Tabulatortaste auf „OK“ und bestätigen mit Enter.

Sie beenden die Aktion mit der Taste Pfeil-Rechts, bis „Exit“ markiert ist und drücken Enter. Dann wählen Sie „Return“ und schließlich „Reboot“. Der PC startet nun neu.

Übrigens: Die gewohnte Bedienerführung von Windows (explorer.exe) kann nicht nur im Zweig HKLM manipuliert werden, sondern auch im Zweig HKCU, dort aber sonst im gleichnamigen Ordner. Damit Windows die Shell-Anweisung von dort lädt, muss noch ein anderer Wert verstellt worden sein, nämlich der Eintrag unter HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\System.ini\Boot\Shell.

Steht dort  „USR:Software\Microsoft\Windows NT\CurrentVersion\Winlogon“, wird der Wert aus HKCU genommen. Standardmäßig sollte dort der Wert „SYS:Microsoft\Windows NT\CurrentVersion\Winlogon“ stehen, damit Windows die Shell-Anweisung aus HKLM verwendet.

So retten Sie Ihren Windows-PC mit Ubuntu

0 Kommentare zu diesem Artikel
2017103