Der Registry-Killer - ein Zerstörungskrimi

Der Fall

Ein Bekannter bat mich, nach seinem XP-Rechner zu schauen, da er sein System nicht mehr starten konnte:
Windows XP konnte nicht gestartet werden, da folgende Datei fehlt oder beschädigt ist: \winxp\system32\config\SYSTEM

Kann ja mal passieren, das die Registry beim Herunterfahren gekillt wird, weil er einfach abgeschaltet hat. "Nein, nein" versicherte er mir, "ich habe ihn ganz normal heruntergefahren. Ehrlich!"

Noch etwas ungläubig, versuchte ich zunächst mit CHKDSK, die Platte wieder in einen zuverlässigen Zustand zu bringen. Da diese Aktion - trotz Meldung, dass einige Fehler behoben wurden - keinen Erfolg brachte und wir schon eine ziemlich fortgeschrittene Stunde schrieben, beschloß ich die Vertagung, um am nächsten Tag frisch - und dank Internet hoffentlich etwas schlauer - einen neuen Anlauf zu starten.

Wieder zuhause, kam mir noch am selben Abend ein böser Gedanke:

Er hatte XP-Antispy installiert!

Mit diesem entsetzlichen Gedanken machte ich mich nun gezielt im Internet auf die Suche nach Abhilfe: Bei Microsoft fand ich dann die Lösung meines Problems:
Dank Windows' automatischer Wiederherstellungspunkte habe ich eine vollständige und heile Registry in einem Sicherungsordner vorliegen!

1. System mit der Wiederherstellungskonsole starten und von dort die zerstörte Registry vorsichtshalber zunächst sichern. Anschließend eine Ursprungs-Registry herstellen, damit ich ein startfähiges Windows bekomme.
2. Dieses Reparatur-Windows starten, um mir dort die versteckten Sicherungsordner anzeigen zu lassen.
3. Nach einem Neustart wieder die Wiederherstellungskonsole starten und die zwischengespeicherte Registry ins Windows zurückkopieren.
4. Zum Abschluß in meinem wiederhergestellten Windows mit dem Programm Systemwiederherstellung einen gesicherten Ausgangspunkt herstellen.

Warum so kompliziert?

Nun, ganz einfach: Von der Wiederherstellungskonsole habe ich keinen Zugriff auf die gesicherten Systemordner. Dazu benötige ich ein lauffähiges Windows, dass ich mir als ersten basteln muß!

Dabei hatte ich allerdings Glück: Auf der zweiten Festplatte war ein eigenständiges Windows installiert. Von dort brauchte ich nur die passende Registry auf C: herausssuchen und umkopieren. Fertig.

Das Happy End

Nun hatte ich wieder ein laufendes und stabiles (?!) Windows.... Und um das auch zu behalten, habe ich erstmal in der Registry nachgeschaut: Unter
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
gibt es den Parameter WaitToKillServiceTimeout, der die Zeit (in Millisekunden) angibt, wie lange Windows beim Herunterfahren auf jeden einzelnen Task warten soll, bis dieser erbarmungslos gekillt wird. Normalerweise beenden die Tasks von allein (und auch schneller als in 20 Sek.), sollte aber ein Task nicht mehr reagieren, würde ja ohne Timeout ewig auf ihn gewartet werden und Windows überhaupt nicht herunterfahren.
Standardmäßig ist dieser Wert auf 20.000 eingestellt, das entspricht 20 Sekunden!

XP-Antispy hat diesen Wert einfach auf 3.000 verringert! Dadurch fährt Windows zwar schneller herunter, aber 3 Sekunden können u.U. verdammt kurz sein, um die Registry noch zu Ende schreiben zu können!

Konsequenz in diesem Fall war die gekillte Registry!

Ich möchte niemanden davon abhalten, XP-Antispy zu benutzen. Nur sollte er sich der Gefahr bewußt sein und es auf eigene Verantwortung anwenden!
Ich werde mich in Zukunft weigern, meinen Freunden und Bekannten in einem wie hier geschilderten Fall zu helfen, falls sie dieses Programm benutzt haben! Oder sollte ich besser dafür einfach einen hohen Stundenlohn verlangen?!

Tipps und Links zum Abschluß

Microsoft Knowledgebase Artikel über Systemwiederherstellung bei beschädigter Registrierung, die das Starten von Windows XP verhindert: KB307545

Die Registry-Werte können mit der folgenden Datei wieder auf Standard zurückgesetzt werden: waittokillservicetimeout.reg (2.9 kB)

Eine minr aus der Seele sprechende, ausführliche Abhandlung dazu hier: Warum ich XP-Antispy nicht mag.

Und nicht zuletzt der Vollständigkeit halber der Link zu XP-Antispy, denn ählich lautende .de-Domains sind leider nur Abzock-Seiten oder Umleitungen, die mit dem eigentlichen Programm rein gar nichts zu tun haben!

Nicht, dass ich XP-Antispy pauschal verteufeln möchte. Als universelle Oberfläche, um einige Parameter zu ändern, ohne mühseelig den Registrierungseditor benutzen zu müssen, ist es wirklich brauchbar. Ich muß dann nicht die einzelnen Programme nacheinander aufrufen und dort die Änderungen vornehmen. Obwohl das auch ganz gut geht...

Den Begriff "Antispy" finde ich dabei aber wohl eher verwirrend zweideutig! Echte Anti-Spy-Programme finden Sie übrigens im Artikel Spyware!