Wiederherstellen von Registrierungsschlüsseln von einem Systemwiederherstellungspunkt in Windows

Systemwiederherstellungs-Snapshots oder Volume-Schattenkopien enthalten Registrierungsstrukturen sowie wichtige Systemdateien. Manchmal müssen Sie möglicherweise einzelne Registrierungsschlüssel von einem früheren Wiederherstellungspunkt extrahieren, möchten jedoch kein vollständiges Systemwiederherstellungs-Rollback durchführen.

Zuvor haben wir gesehen, wie Sie die Registrierungsstrukturen aus Schattenkopien auf der Registerkarte "Vorherige Versionen" öffnen und die Registrierungsstrukturen laden, um die erforderlichen Schlüssel zu extrahieren. Es gibt jetzt eine bequemere Option, um bestimmte Registrierungsschlüssel von einem Wiederherstellungspunkt zu extrahieren.

Schauen Sie sich eines der neuesten Dienstprogramme von Nirsoft.net mit dem Namen RegistryChangesView an. Während der Hauptzweck dieses Programms darin besteht, Snapshots der Windows-Registrierung zu vergleichen, kann es auch zum Extrahieren von Registrierungsdaten aus einer vorhandenen Schattenkopie oder einem Wiederherstellungspunkt verwendet werden. Es kann verwendet werden, um Registrierungsschlüssel wiederherzustellen, die möglicherweise versehentlich gelöscht wurden.

Szenario: Angenommen, Sie haben den Print Spooler-Dienst versehentlich gelöscht und möchten den folgenden Registrierungsschlüssel für den Print Spooler-Dienst von einem Wiederherstellungspunkt wiederherstellen.

 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Spooler 

Extrahieren Sie Registrierungsschlüssel von einem Systemwiederherstellungspunkt

  1. Starten Sie RegistryChangesView und konfigurieren Sie es wie unten gezeigt.

  2. Setzen Sie "Registrierungsdatenquelle 1" auf Aktuelle Registrierung
  3. Stellen Sie "Registrierungsdatenquelle 2" auf " Schattenkopie"
  4. Wählen Sie einen der Schattenkopierpfade aus der angezeigten Liste aus.

    Das Element mit der höchsten Nummer in der Liste Schattenkopiepfad repräsentiert den neuesten Schattenkopie- oder Wiederherstellungspunkt. Sie können die Liste der Schattenkopien mithilfe der vssadmin list shadows shadow in einem Eingabeaufforderungsfenster von admin finden. Weitere Informationen finden Sie im Artikel Löschen einzelner Systemwiederherstellungspunkte in Windows.

  5. Wählen Sie die entsprechenden Registrierungsstrukturen aus, die zum Vergleich einbezogen werden sollen. In diesem Artikel aktivieren wir nur das folgende Kontrollkästchen, da hier die Registrierungsschlüssel für Dienste gespeichert sind:
     HKEY_LOCAL_MACHINE \ SYSTEM 
  6. OK klicken. RegistryChangesView listet die ausgewählten Schlüssel in den Quell- und Zielregistrierungsstrukturen auf, vergleicht sie und zeigt die Ergebnisse an.
  7. Aktivieren Sie im Menü Ansicht die Option Schnellfilter verwenden . [Strg + Q]

  8. Geben Sie im Textfeld \spooler oder services\spooler, um Einträge zu filtern, bei denen die Schlüssel mit dem Wort "spooler" beginnen. Die Idee ist, die Ergebnisse nur auf die folgenden Schlüssel und Unterschlüssel zu beschränken.
     HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Spooler 

  9. Wählen Sie alle Einträge aus (die den obigen Zweig enthalten) und drücken Sie Strg + E, um die Ergebnisse in eine REG-Datei zu exportieren. Oder klicken Sie auf Datei> Ausgewählte Elemente in .Reg-Datei exportieren
  10. Speichern Sie die REG-Datei auf dem Desktop und öffnen Sie sie mit Notepad.

  11. Ersetzen Sie jedes Vorkommen der Zeichenfolge ControlSet001 durch CurrentControlSet und speichern Sie die Datei.

  12. Doppelklicken Sie auf die REG-Datei, um deren Inhalt ("Spooler" -Schlüssel) zur Registrierung hinzuzufügen.

Sie haben jetzt den fehlenden Registrierungsschlüssel für den Print Spooler-Dienst wiederhergestellt!

Kleine Panne

Ein kleines Problem, das mir aufgefallen ist, ist, dass die aktuelle Version von RegistryChangesView beim Exportieren der Einträge in die REG-Datei erweiterbare Zeichenfolgenwerte als REG_SZ schreibt. Beispielsweise enthält der Registrierungswert ImagePath eine Umgebungsvariable, und der REG_EXPAND_SZ sollte REG_EXPAND_SZ anstelle von REG_SZ .

$config[ads_text6] not found

Sie müssen die Registrierung bearbeiten, um solche Fehler manuell zu beheben. REG_EXPAND_SZ und die REG_EXPAND_SZ im Editor, löschen Sie den REG_EXPAND_SZ aus der Registrierung und erstellen Sie einen Wert mit demselben Namen und denselben REG_EXPAND_SZ, jedoch vom Typ REG_EXPAND_SZ .

Das ist alles! Wie immer gibt es andere Möglichkeiten, die Registrierungsdaten wiederherzustellen. Sie können das Shadow-Copy-Volume auch mit den Dienstprogrammen ShadowCopyView oder ShadowExplorer bereitstellen und die Registrierungsstrukturen laden / extrahieren. Weitere Informationen finden Sie im Artikel ShadowCopyView stellt Dateien von Volume Shadow Copy-Snapshots wieder her und stellt frühere Versionen von Registrierungsstrukturen aus Systemwiederherstellungs-Snapshots in Windows wieder her.

Die in diesem Beitrag beschriebene RegistryChangesView-Methode sollte unter jeder Windows-Version bis Windows 10 funktionieren. Es werden sowohl 32-Bit- als auch 64-Bit-Systeme unterstützt.

Ähnlicher Artikel