{"id":4296,"date":"2011-07-26T19:56:05","date_gmt":"2011-07-26T17:56:05","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/2011\/07\/26\/meldung-die-wiederherstellung-wurde-abgeschlossen-kommt-immer-teil-3\/"},"modified":"2020-12-21T12:51:06","modified_gmt":"2020-12-21T11:51:06","slug":"meldung-die-wiederherstellung-wurde-abgeschlossen-kommt-immer-teil-3","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2011\/07\/26\/meldung-die-wiederherstellung-wurde-abgeschlossen-kommt-immer-teil-3\/","title":{"rendered":"Meldung “Die Wiederherstellung wurde abgeschlossen” kommt immer Teil 3"},"content":{"rendered":"

Langsam w\u00e4chst sich das Ganze zur \"unendlichen Geschichte\" aus. In Teil 1<\/a> hatte ich das Problem skizziert, dass nach dem Zur\u00fccklesen einer Systemabbildsicherung nach jedem Neustart immer ein Dialogfeld der Wiederherstellung erscheint, in dem gefragt wird, ob die Benutzerdateien wiederherzustellen sind.\u00a0 In Teil 2<\/a> hatte ich die Analyse im Process Explorer pr\u00e4sentiert und die Aufgabenplanung als \u00dcbelt\u00e4ter identifiziert, ohne die Task herausfinden zu k\u00f6nnen. L\u00e4sst mir keine Ruhe, also hab ich weiter gegraben und sehe nu so langsam \"die Pferde vor der Apotheke kotzen\"\u2026<\/p>\n

<\/p>\n

Bin ich blind oder was?<\/h2>\n

\"\"Da ich den Taskplaner als Ursache f\u00fcr den rundll32<\/em>-Aufruf ausgemacht hatte, versuchte ich die Aufgabe zu identifizieren \u2013 scheiterte aber kl\u00e4glich – was ich auf meine Unf\u00e4higkeit zur\u00fcckschob (hab vielleicht was \u00fcbersehen). Also noch eine Anfrage im US Technet-Forum [1<\/a>]\u00a0 abgesetzt. Dort gab es den Tipp, im administrativen Registirerungs-Editor zum Schl\u00fcssel<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\Schedule<\/em><\/p>\n

zu gehen, und den DWORT-Wert Start<\/em> auf 4 zu setzen. Habe ich gemacht, neu gebootet und das System gestartet. Der \"nag-screen\" war weg!<\/p>\n

Da ich aber nicht ohne Aufgabenplanung unterwegs sein will, hilft mir das nicht wirklich. Also den Dienst wieder freigegeben, neu gebootet und dann erneut die Aufgabenplanung durchforstet \u2013 kein Ergebnis, es gibt die Aufgabe AfterRecovery <\/em>einfach nicht.<\/p>\n

Also den Windows Explorer angeworfen und den Zweig C:\\Windows\\System32\\Tasks<\/em> inspiziert. Dort finden sich die Ordner mit den Aufgaben und einige enthalten XML-Dateien mit den Taskparameter (dies ist seit Vista neu eingef\u00fchrt). Aber nix von AfterRecovery <\/em>und ReAgent.dll<\/em> zu finden.<\/p>\n

Frag den Process Monitor – welche Schweinereien laufen da ab?<\/h3>\n

Um noch weiter zu kommen, habe ich neben dem Process Monitor auch den Process Explorers von den Sysinternals in den Autostart eingebunden. Bei zwei Versuchen war ich schnell genug, so dass der Process Monitor beim Anmeldeprozess lief und Datei- sowie Registrierungszugriffe protokollierte. An Hand der im Process Monitor ermittelten Prozess ID konnte ich dann die Daten im Sysinternals Process Explorer filtern. Hier der Auszug aus dem Schnappschuss:<\/p>\n

\"\"<\/p>\n

Der Process Explorer zeigt, dass der Windows-Process svchost.exe<\/em> (verantwortlich f\u00fcr den Aufruf des Taskplaners) erfolgreich auf den Ordner:<\/p>\n

C:\\Windows\\System32\\Tasks\\Microsoft\\Windows\\AfterRecovery <\/em><\/p>\n

zugreifen kann. Schaue ich mir die im Windows Explorer (auch mit Anzeige von versteckten Systemdateien) an, gibt es den Pfad nicht. Und es kommt noch besser. Im Process Explorer wird mir angezeigt, dass der Prozess erfolgreich auf den Registrierungsschl\u00fcssel:<\/p>\n

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Schedule\\
\nTaskCache\\Tree\\Microsoft\\Windows\\AfterRecovery<\/em><\/p>\n

zugreifen kann. Der Versuch, diesen Schl\u00fcssel im Registrierungs-Editor aufzurufen, wird nat\u00fcrlich abgewiesen (auch wenn man als Administrator unterwegs ist). Also habe ich den Registrierungs-Editor mit:<\/p>\n

SysinternalsSuite\\PsExec.exe -s -i regedit<\/em><\/p>\n

gestartet. PsExec <\/em>stammt aus den Sysinternals-Tools und f\u00fchrt den Registrierungs-Editor unter dem Systemkonto aus. Mir ist allerdings die Kinnlade runtergefallen, als ich den obigen Zweig inspizieren wollte. Im Schl\u00fcssel Tree\\Microsoft\\Windows\\<\/em> ist alles m\u00f6gliche eingetragen. Nur taucht kein Schl\u00fcssel AfterRecovery <\/em>auf.<\/p>\n

\"\"<\/p>\n

Gut, dachte ich, vielleicht haben Microsofts Entwickler da ein Nullbyte mit reingehauen, um die Inspektion im Registrierungs-Editor zu verhindern (wird von Malware gerne genutzt). Also mal das Sysinternals Tool RegDelNull<\/em> mit \u2013s aufgerufen, um die Registrierung auf Eintr\u00e4ge mit Nullbytes scannen zu lassen.<\/p>\n

\"\"<\/p>\n

Das Tool durchl\u00e4uft die Registrierung, meldet aber keine Eintr\u00e4ge mit Nullbytes.<\/p>\n

Und nun komme ich nicht weiter bzw. bin mit meinem Latein wieder am Ende. Der Process Explorer meldet Zugriffe auf Dateien, die es nicht gibt und f\u00fchrt Schl\u00fcssel in der Registrierung auf, die nicht vorhanden sind. Ich warte jetzt mal, ob \u00fcber das Technet-Forum noch was sinnvolles zur\u00fcck kommt \u2013 und werde mein Pferd vor der Apotheke losbinden. Denn was kann das arme Tier daf\u00fcr, dass die MS-Entwickler solche undokumentierten Schweinereien veranstalten. Oder bin ich einfach nur gr\u00e4sslich betriebsblind und sehe die offensichtliche L\u00f6sung nicht?<\/p>\n

Update: einige Teilerkenntnisse<\/h3>\n

Ein klitzekleines St\u00fcckchen bin ich wohl weitergekommen. Mein Thread im Technet-Forum [1] hat dazu gef\u00fchrt, dass sich Miya Yao (MSFT CSG \u2013 wohl Community Service Group) des Problems angenommen hat und nun mit mir rumr\u00e4tselt, wie man dem Thema beikommen k\u00f6nnte. Weiter geht es in Teil 4<\/a>.<\/p>\n

Links:
\n<\/strong>1: Diskussion im Technet-Forum<\/a> (Englisch)<\/p>\n

Artikel:
\n<\/strong>a: Meldung \"Die Wiederherstellung wurde abgeschlossen\" Teil 1<\/a>
\nb: Meldung \"Die Wiederherstellung wurde abgeschlossen\" Teil 2<\/a>
\nc: Meldung \"Die Wiederherstellung wurde abgeschlossen\" Teil 3<\/a>
\nd: Meldung \"Die Wiederherstellung wurde abgeschlossen\" Teil 4<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Langsam w\u00e4chst sich das Ganze zur \"unendlichen Geschichte\" aus. In Teil 1 hatte ich das Problem skizziert, dass nach dem Zur\u00fccklesen einer Systemabbildsicherung nach jedem Neustart immer ein Dialogfeld der Wiederherstellung erscheint, in dem gefragt wird, ob die Benutzerdateien wiederherzustellen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[398,11],"tags":[4327,1322,474,1299,4294],"class_list":["post-4296","post","type-post","status-publish","format-standard","hentry","category-backup","category-problemlosung","tag-backup","tag-benutzerdaten","tag-process-explorer","tag-process-monitor","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/4296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=4296"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/4296\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=4296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=4296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=4296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}