wildlife

Posts Tagged ‘Registry’

Acronis Neustart unterdrücken

// April 7th, 2011 // 3 Comments » // IT, Tutorials

Nach der Installation von Acronis TrueImage, verlangt die Anwendung vor der Benutzung einen Neustart. Je nachdem, was man jedoch an (dringenden) Aufgaben durchführen möchte, ist dies nicht unbedingt notwendig. Möchte man also direkt die Funktionen von Acronis nutzen, kann man in der Registry im Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Acronis\InstallReboot" den Eintrag "AcronisRebootNeeded0" umbenennen oder löschen und schon startet Acronis.

Vollständiges Speicherabbild unter Windows – Gehasst, verdammt, vergöttert

// September 22nd, 2010 // 2 Comments » // IT, Tutorials

Für das Debugging des Betriebssystems oder darauf laufender Anwendungen, kann es u.U. notwendig sein, ein vollständiges Speicherabbild erstellen zu lassen (bei Crash) oder selbst eines zu erstellen (beim Einfrieren der Anwendung / des OS).

Die Konfiguration für die Abbilder in Windows erreicht man über die Systemeigenschaften (Rechtsklick Arbeitsplatz / Computer > Eigenschaften oder über WIN+Pause). Unter dem Tab Erweitert > Starten und Wiederherstellen > Eigenschaften bekommen wir nun das Fenster angezeigt unter welchem man die Art der Debuginformationen einstellen kann.

Die drei möglichen Optionen

  1. Kleines Speicherabbild
    Aufgrund der Größe des Speicherabbilds von 64K sind dort lediglich folgende Informationen enthalten:

    • Die Stop-Meldung, deren Parameter und weitere Daten
    • Eine Liste der geladenen Treiber
    • Den Prozessorkontext (PRCB) für den Prozessor, der angehalten wurde
    • Die Prozessdaten und den Kernelkontext (EPROCESS) für den Prozess, der beendet wurde
    • Die Prozessdaten und den Kernelkontext (ETHREAD) für den Thread, der beendet wurde
    • Die Kernelmodus-Aufrufliste für den Thread, der beendet wurde
  2. Vollständiges Speicherabbild
    Hier wird der komplette Inhalt des Arbeitsspeichers in das Abbild geschrieben. So kann der Dump, abhänging von der Größe physikalischen Speichers, mehrere Gigabyte groß werden. Hier sind sämtliche Informationen zur Speichernutzung, laufenden Prozessen, Treibern, etc. enthalten, die einem eine erweiterte Analyse ermöglichen.
  3. Kernelspeicher-Abbild
    Im Kernelspeicher-Abbild werden nur Informationen zum Kernel und des Hadware Abstraction Layer hinterlegt und ist damit deutlich kleiner als das vollständige Speicherabbild. Werden jedoch Informationen zu Programmen, etc. benötigt, ist dieses Abbild nicht ausreichend.

Standardoptionen für Abbildtypen

  • Windows 2000 Professional: Kleines Speicherabbild (64 KB)
  • Windows 2000 Server: Vollständiges Speicherabbild
  • Windows 2000 Advanced Server: Vollständiges Speicherabbild
  • Windows XP (Professional und Home Edition): Kleines Speicherabbild (64 KB)
  • Windows Server 2003 (Alle Versionen): Vollständiges Speicherabbild
  • Windows Server 2003: Kernelspeicher-Abbild

(more...)

Ausgeblendete Geräte im Windows Gerätemanager anzeigen

// June 11th, 2009 // No Comments » // IT, Tutorials

Sind Geräte, wie z.B. Drucker, Scanner, Festplatten, etc. nicht am PC angeschlossen, werden diese auch nicht im Gerätemanager angezeigt. Möchte man nun doch auf diese Geräte zugreifen, um z.B. diese zu deinstallieren oder die Treiber zu erneuern, können einige Änderungen vorgenommen werden, um wieder alle Devices anzeigen zu lassen.

Dazu muss man die Umgebungsvariablen etwas anpassen. Diese findet man in der Systemsteuerung unter System > Tab "Erweitert" und klickt dort auf den Button "Umgebungsvariablen". Unter Vista sind diese unter Systemsteuerung > System > "Erweiterte Einstellungen" (links) > Tab "Erweitern" > Button "Umgebungsvariablen".

Hier fügt man nun folgende Werte hinzu:

Devmgr_show_details=1
Devmgr_show_nonpresent_devices=1

In der DOS-Eingabeaufforderung gibt man nun die beiden folgenden Zeilen ein

set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Schneller geht es, wenn man den folgenden Code in eine Textdatei kopiert, diese mit der Endung .reg speichert und dann ausführt. Damit werden die Werte direkt in die Registry importiert.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment]
"Devmgr_show_details"="1"
"Devmgr_show_nonpresent_devices"="1"

(more...)

Registrywerte über reg-Datei oder Script löschen

// June 10th, 2009 // No Comments » // IT

Oft kann es wichtig sein, Registry Schlüssel zu löschen. Aber wie funktioniert das, wenn man es nicht händisch im Registry-Editor durchführen will.

Dazu gibt es zwei Möglichkeiten:

  1. man erstellt eine Registry Datei (mit der Endung .reg)kompletten Schlüssel löschen z.B.:
    -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]

    Werte löschen z.B.:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Adobe\Acrobat Reader]
"EULA"=-
  2. Zum Löschen der Werte über ein Script:
    Deletes the Timeout registry entry.

    REG DELETE HKLM\Software\MyCo\MyApp\Timeout

    Deletes the registry value MTU under MyCo on ZODIAC.

    REG DELETE \\Zodiac\HKLM\Software\MyCo /v MTU

Kaspersky – Trace für den kl1.sys-Treiber erstellen

// June 5th, 2009 // No Comments » // IT, Kaspersky, Tutorials

Unter Umständen kann es nötigt sein, den kl1-Treiber zu tracen, wenn dieser zu Netzwerkfehlern führt. Die kl1.sys ist eine Art Interceptor, welcher es der Kaspersky Software ermöglicht auf Netzwerkschnittstellen zuzugreifen und den Traffic zu scannen.

Um den Trace zu aktivieren werden Registrywerte benötigt. Um diese zu erstellen können die folgenden Zeilen als .reg-Datei abgespeichert und diese dann in die Registry (z.B. per Doppelklick) importiert werden:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kl1]
"TraceFile"="C:\\_ids.log"
"KlinLevel"=dword:00000005
"KlinMask"=dword:ffffffff
"KlickLevel"=dword:00000005
"KlickMask"=dword:0000000f

Hiernach sollte der Rechner neugestartet und anschließend das Problem reproduziert werden. Da die Logdatei schnell eine beachtliche Größe bekommen kann, ist es für den Support hilfreich, wenn die genaue Uhrzeit festgehalten wird, zu welcher der Fehler reproduziert worden ist.

Um den Trace wieder zu stoppen kann eine neue Datei mit dem folgenden Inhalt erstellt werden. Auch hier sollte die Datei mit der Endung .reg abgespeichert und der Rechner neu gestartet werden.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kl1]
"TraceFile"=-
"KlinLevel"=-
"KlinMask"=-
"KlickLevel"=-
"KlickMask"=-

Die zu analysierende Datei heißt _ids.log und findet sich direkt unter C:\

Die fertigen Reg-Dateien können hier heruntergeladen werden:

  Kl1 Tracer (578 bytes, 1,258 hits)

Windows Sicherheitscenter per Registry konfigurieren

// June 4th, 2009 // No Comments » // IT, Security, Tutorials

In seltenen Fällen kann es passieren, dass das Microsoft Security Center, welches die Eigenschaften der Firewall, des Anti-Virus und des Anti-Spy überwacht, die Meldungen von Drittanbieter-Software nicht richtig interpretieren kann und somit Falschmeldungen ausgibt.

Um die Überwachung der Komponenten zu deaktivieren, kann man einfach die Einstellungen über das Security Center konfigurieren. Möchte man das ganze jedoch scriptgesteuert ändern, empfehlen sich folgende Änderungen in der Registry:

bis Windows Vista: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

ab Windows Vista: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

Hier muss man den Wert "FirewallOverride" wie folgt ändern:

1 Firewall Überwachung ausschalten
0 Firewall Überwachung aktivieren

Hier muss man den Wert "AntiVirusOverride" wie folgt ändern:

1 Virenscanner Überwachung ausschalten
0 Virenscanner Überwachung aktivieren

Ab Windows Vista kann man zusätzlich noch den Wert "AntiSpywareOverride"Â wie folgt ändern:

1 Antispyware Überwachung ausschalten
0 Antispyware Überwachung aktivieren

Sind die Schlüssel nicht standardmäßig vorhanden können diese Angelegt werden. Der Datentyp ist REG_DWORD

« Older Entries