Windows Me Registry

Hallo,
ich hatte bis vor kurzem ein Programm mit dem Namen Startupmonitor im Gebrauch.
Da ich dieses nicht mehr benötige, habe ich es deinstalliert.
Leider ist der Eintrag in der Registry nach wie vor vorhanden (unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Immer wenn ich diesen Schlüssel lösche, mit Msconfig oder direkt in der Registry oder mit Programmen wie TuneUP passiert folgendes:
Der Schlüssel ist momentan nicht mehr zu sehen. Wenn ich aber die Registry Sekunden später wieder ansehe, ist dieser wieder da.
Gibt es womöglich schreibgeschützte Bereiche in der Registry?
Wer kann mir helfen den Eintrag zu löschen.
Das Programm selbst kann sich nicht selbst wieder eintragen, da ich dieses deinstalliert habe und alle Spuren in Ordnern und Dateien gelöscht habe.
mfg,
Franz Rockinger

 

Der Startupmonitor überwacht die Autostarteinträge und damit wahrscheinlich auch sich selbst.

Poste mal den betreffenden Registry-Run-Schlüssel.

 

Man kann mit Spybot S&D unter Werkzeuge/System-Start nachgucken, ob ein Treiber bereits mittels WinLogon geladen wird und den Probeweise deaktivieren vor dem endgültigen löschen.

 

Aus dem Schlüssel kann man wahrscheinlich wenig sehen. Er lautet:
Name: Run Startupmonitor
Daten: "Startupmonitor.exe"
Größe: 19
Dadas Programm selbst aber auf meinem PC nicht mehr existiert, ist mir unerklärlich, wie es immer wieder in der Registry auftaucht.
Gruß
Franz

 

Wenn es das Ding ist http://www.wintotal.de/softw/index.php?rb=29&id=542 muss es vor allen anderen Autostarteinträgen starten, um den Autostart überwachen zu können. Demnach könnte es ein WinLogon-Eintrag sein. Kenne das von win2k her. Bei Me hatte ich darauf nicht geachtet.
Aber guck doch mal in Spybot nach, wie ich es schon beschrieben habe.

 

@rc1

Damit kann ich nichts anfangen. Ich möchte den kompletten Inhalt des Schlüssels sehen. Man kann den exportieren.

 

Hallo,

bei WinME gibt es keine Dienste wie bei WinNT-Systemen über die dort z.B. das WinLogon gesteuert werden kann.

Hier gibt es nur noch die MSDos.sys und die IO.sys über die das Starten bestimmt wird. Selbst Autoexec.bat und Config.sys bleiben hier außen vor.

Das starten von Fremdprogrammen wird ausschließlich über die Registry bestimmt.

D.h. Dein Programm muß im gleichen Registryschlüssel oder in einem anderen run-Registry-Schlüssel noch einen Eintrag haben, der diesen Schlüssel wieder neu schreibt. Dazu gehört dann aber auch eine Programm- oder Scriptdatei, die dies durchführt und diese muß ständig aktiv. sein. Dein Programm ist also nicht sauber gelöscht.

Welche Programme aktiv sind kannst du mit den Tasten Strg+Alt+Enf testen. Es könnte aber auch eine .dll-Datei sein und die kannst Du nur mit einem Fremdprogramm wie "procexp.exe" von Sysinternals oder ähnlichen Programmen ausfindig machen. Also alle laufenden Prozesse und Dateien anzeigt.

In der Registry ober-/unterhalb des von Dir angegebenen run-Schlüssels findest Du noch weitere run-Schlüssel. Auch unter

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curr entVersion\

findest Du noch weitere run-Schlüssel. Diese solltest Du alle überprüfen nach Einträgen, die zu keinem dir bekannten anderen Programm passen. Da hier dann auch immer die Adresse der angesprochenen Datei mit angegeben ist, kannst Du mit Rechtsklick und Eigenschaften auf die jeweilige Datei meist feststellen, wozu diese gehört.

Bei solchen Controllprogrammen ist das so eine Sache, oftmals installieren sie noch eine Datei - meist eine .dll - deren Bezug auf das Programm nicht erkennbar ist.

Kommst du allein nicht weiter, exportiere mal alle run-Schlüssel in eine Textdatei und pack sie mal hier rein. Die erste Zeile "Regedit4" kannst Du dabei vergessen.

MfG maneich

 

Wenn in HKLM was immer wieder auftaucht, ist es wohl eher unwahrscheinlich, dass unter HKCU was zu finden ist. Und eine Überwachung der Autostarteinträge erst nach der Useranmeldung wäre wohl auch ziemlich überflüssig. Nur mal so am Rande.

 

Hallo NickNack,

wenn der Wert im Run-Schlüssel unter HKLM sofort nach dem Löschen wieder geschrieben wird, kann das nur über eine im Hintergrund laufende ausführbare Datei vorgenommen werden.

Dabei ist es völlig egal über welches Autostart-Schlüssel diese Datei gestartet wird. Theoretisch sollte man davon ausgehen, daß diese Datei vor den Einträgen im Run-Schlüssel gestartet wird und das wäre RunServices unter HKLM.

Man sollte aber alle Möglichkeiten in Betracht ziehen.

MfG maneich

 

Vielelicht sollte man aber auch vor weiteren Vermutungen einfach mal das Programm neu installieren und wieder deinstallieren.
Und dabei sollten nicht solche Sachen, wie Antivirenscanner, Personal-Firewall oder gleich eine ganze Armada an Sicherheitstools im Hintergrund laufen.
Man kann auch mal im abgesicherten Modus versuchen zu säubern.

 

Und schau dir im Windows-Ordner mal die System.ini und besonders die Win.ini an. Dort kann auch etwas 'gerunt' werden.
Gruß Eljot

 

Hallo maneich,
habe inzwischen alles was nach dem Hersteller des Programms aussieht in der Registry gelöscht.
Hat nichts geholfen.
in HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftßWindows\CurrentVersion\Run befinden sich nur folgende Einträge:
LoadPowerProfile "Rundll32.exe pwrprof.dll,LoadCurrentPwrScheme"
Run StartupMonitor "Startupomonitor.exe" ----Das ist mein Problem---
SystemTray "Systray.exe"
Wenn ich mit Ctrl+Alt+Del die laufenden Tasks ansehe, sehe ich auch nichts Aussergewöhnliches.
Vermutlich liegt es, wie Du vermutest an einer DLL. Aber wie soll ich die rauskriegen?
mfg,
Franz

 

Danke für den Tipp. Habe ich natürlich auch schon gemacht, d. h. Neuinstallation des Programms und dann sorgfältig deinstalliert. Hat leider auch nicht geholfen.
mfg,
Franz

 

Offenbar ist die deutsche Sprache eine sehr schwere Sprache. Da du offensichtlich keine Lust hast, wie beschrieben vorzugehen, hört meine mögliche Hilfe hier auf.

 

Hallo RC1,

also eigentlich muß ich NickNack recht geben, Du hast mehrere sehr ausführliche Möglichkeiten angeboten bekommen, Dein Problem einzugrenzen, was Du aber nicht genutzt hast.

Stell doch mal alle Schlüssel mit run, wie in meinem ersten Thread erläutert hier rein, dann sehen wir weiter.

Ein Thread stellte auch die Möglichkeit eines entsprechenden Eintrags in Win- oder Sytem.ini in den Raum. Das könnte natürlich auch möglich sein.

In der Win.ini könnte ein entsprechender Eintrag oben unter "load=" oder "run=" zu finden sein und in der System.ini ganz oben bei [boot] hinter "shell=explorer.exe" durch Komma getrennt könnte auch ein für Dein Problem möglicher Eintrag stehen.

MfG maneich