csrss.exe Einträge aus dem Registry gelöscht!
#1
Hi Netboard-Members

ich brauch ganz schnell, ganz arg Hilfe ;o)

habe folgendes verbockt .... nach einem Virus attack!

habe sämtliche csrss.exe einträge in der Windows Registry gelöscht (Regedit-STRG "F" dann nach csrss.exe gesucht und alles gelöscht ) seid dem fährt Win2000 nicht mehr hoch (im nachhinein verständlich).

Möchte definitiv eine neu Installation vermeiden wenn das möglich is ....

hier noch einige Angaben habe 2 Betriebsystem laufen die auch Physikalisch von einander getrennt sind (2 Festplatten).
Win2000 das jetzt nicht mehr hoch fährt und WinXP.

mit WinXP (das zum glück noch läuft) sehe ich die Win2000 Partition (CSmile habe ich hierrüber vielleicht die Möglichkeit die Registrieeinträge wiederherzustellen ? ? ?

Wenn ja, wie ?

bitte um Antwort und bedanke mich im voraus

MFG
Project
  Zitieren
#2
das problem hierbei dürfte sein das du keine sicherungskopie deiner registry haben dürftest
ansonsten wäre das ohne probleme durch die wiederherstellungskonsole von win 2k/xp möglich

in die kommst ganz einfach mit der win xp setup cd
vielleicht hast ja noch wo ne 2k installation damit du dort die csrss.exe einträge exportieren kannst und dann wieder in deinen pc importieren

du könntest es auch mit der notfallreparatur versuchen, aber ich glaub auch für diese benötigst du ein backup der registry
Write this on my gravestone, write this right on my grave, "To whisky and women, here lies a poor slave".

[Bild: 10_en_btn.gif]

Computer- und Mediensicherheit - FH Hagenberg
Hagenberger Kreis zur Förderung der digitalen Sicherheit
Security Forum
  Zitieren
#3
das müsste doch auch mit den csrss.exe einträge von WinXP gehen oder ?

wie kann ich eigentlich nur die csrss.exe Einträge aus der Registy herraus selektier.... geht das überhaupt ?

einfach so strg copy is da halt nich ne ;o)
  Zitieren
#4
ich glaub kaum das win xp genau die selben einträge für die csrss.exe hat wie win 2k

hab hier aber was gefunden - wennst glück hast funktionierts
Zitat:Zerschossene Registry von Hand reparieren

Eine typische Fehlermeldung die auf eine zerschossene Registrierdatenbank hinweißt könnte so aussehen: c:\windows\system32\config\system fehlerhaft oder beschädigt!
Gerne tritt dieses System auf wenn XP abgewürgt wird, und den Schreibcache nicht sauber zurück schreiben kann.

In diesem Fall bootet Windows natürlich nicht mehr, nun hat man die Wahl ob man eine Reparaturinstallation durchführt
oder das ganze manuell repariert.

Fehlerbehebung:
Von CD booten und im Menü „R“ die Wiederherstellungskonsole auswählen, dann folgende Befehle eingeben:

cd c:\windows
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

del c:\windows\system32\config\system
del c:\windows\system32\config\software
del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\default

copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

Mit diesen Befehlen wird ein Backup der kaputten Registry in tmp erstellt. Dann wird eine Sicherung zurückkopiert. Damit ist das System wieder bootbar. Nach einem Neustart, meldet man sich im abgesicherten Modus (F8) als Administrator an. Dann öffnet man den Ordner System Volume Information Dieser Ordner enthält mehrere _restore {GUID} (z.B. _restore{87BD3667-3246-476B-923F-F86E30B3E7F8}) Ordner. Nun öffnet man einen Ordner der NICHT zum aktuellen Zeitpunkt erstellt worden ist, aber möglichst nahe am aktuellen Datum liegt. Der Ordner sollte mehrere Unterordner enthalten, die mit RP beginnen, dies sind die Wiederherstellungspunkte. In einem dieser Ordner öffnet man nun das Verzeichnis snapshot und kopiert die Dateien

_REGISTRY_USER_.DEFAULT
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_MACHINE_SAM

in den C:\Windows\tmp Ordner. Dies sind die Backup-Registry-Dateien. Da zum Starten bis jetzt die Registry-Dateien des Setups verwendet wurden, kennt XP keine Wiederherstellungspunkte. Deshalb war es nötig die Daten zu kopieren. Ausserdem ist der Ordner System Volume Information in der Wiederherstellungskonsole nicht verfügbar.

Im nächsten Teil wird die Registry ausgetauscht. Dazu die Wiederherstellungskonsole booten und folgende Befehle eingeben:

del c:\windows\system32\config\sam
del c:\windows\system32\config\security
del c:\windows\system32\config\software
del c:\windows\system32\config\default
del c:\windows\system32\config\system

copy c:\windows\tmp\_registry_machine_software c:\windows\system32\config\software
copy c:\windows\tmp\_registry_machine_system c:\windows\system32\config\system
copy c:\windows\tmp\_registry_machine_sam c:\windows\system32\config\sam
copy c:\windows\tmp\_registry_machine_security c:\windows\system32\config\security
copy c:\windows\tmp\_registry_user_.default c:\windows\system32\config\default

Nach einem Neustart kann das System nun zu einem früheren Punkt wiederhergestellt werden.
Eine noch ausführlichere Beschreibung findet man in dem Artikel Q307545 von Microsoft.

quelle: http://www.pqtuning.de
Write this on my gravestone, write this right on my grave, "To whisky and women, here lies a poor slave".

[Bild: 10_en_btn.gif]

Computer- und Mediensicherheit - FH Hagenberg
Hagenberger Kreis zur Förderung der digitalen Sicherheit
Security Forum
  Zitieren
#5
der tip war top
bei mir war zwar die Datei "software" hinüber, aber sonst die gleichen Symptome.
Da ich noch ein zweites Betriebssystem auf einer anderen Partition hatte, konnte ich das kopieren von dort aus erledigen, ohne die ganze Tipperei.
Als dann xp wieder hochfuhr war auch die Wiederherstellung über programme-zubehör-systemprogramme-systemwiederherstellung kein Problem mehr.
  Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 6 Gast/Gäste