Woher weiß man, welches Programm die Registrierung unter Windows geändert hat?

926
vikram

In Windows Server 2016 Technical Preview 4 werden mehrere Einträge für die Kostenschätzung von MSI erstellt.

Bei HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall wird der EstimatedSize-Eintrag während der MSI-Ausführung erstellt. Nach einiger Zeit wird jedoch ein weiterer Eintrag "sEstimatedSize2" automatisch erstellt. Das Problem ist, dass während der Deinstallation die -Struktur bei dieser sEstimatedSize2-Registrierung verbleibt.

Gibt es eine Möglichkeit, herauszufinden, wer die Registrierung geändert hat? Ich kann herausfinden, wann dieser Schlüssel mit dem regscanner erstellt wurde.

1
Es gibt "Uninstaller" -Tools, die jede Änderung an der Registrierung und der Festplatte überwachen, damit sie diese wiederherstellen können. Jan Doggen vor 8 Jahren 0

1 Antwort auf die Frage

1
Jonno

Ich würde empfehlen, ProcMon zu verwenden - dies zeigt Ihnen, welche Prozesse Dateien, Ordner und Registrierungseinträge erstellen, lesen und ändern . Sie können nach Registrierungseinträgen filtern, die mit einer bestimmten Maske übereinstimmen (Sie müssen dies tun, da es sehr schnell mit allen auf Ihrem Computer vorkommenden Dingen spammt).

Hoffentlich hilft Ihnen das dabei, herauszufinden, wo Ihr Problem liegt.

Gibt es eine Möglichkeit, ** ProcMon ** zur Anzeige von Ergebnissen in einem bestimmten Datumsbereich zu verwenden, da ich das oben genannte Problem jetzt nicht replizieren kann? vikram vor 8 Jahren 0
Entschuldigung, bei Ihrer Frage klingt es so, als könnten Sie das Problem wiederherstellen. Mir ist nicht bekannt, dass diese Informationen irgendwo protokolliert werden. Jonno vor 8 Jahren 0
Es kann reproduziert werden, weil ich nicht weiß, wann es erstellt wird. Das erste Mal wurde es 4 Tage nach der Installation meines Produkts erstellt. Es wird für alle auf dem Computer installierten Produkte erstellt. Für mein Produkt habe ich den verbleibenden Registrierungseintrag entfernt und dann das Produkt erneut installiert. Bisher wurde dieser Schlüssel jedoch nicht erstellt. vikram vor 8 Jahren 0
Wenn Sie wissen, welcher Prozess den Schlüssel erstellt, können Sie ihn in den Filter aufnehmen und ProcMon weiter ausführen. spherical_dog vor 8 Jahren 0
Oder fügen Sie einen Filter für den Schlüsselnamen hinzu, den Sie suchen möchten (`sEstimatedSize2`), während er ausgeführt wird. Jonno vor 8 Jahren 0
Ja, das wäre viel besser, da ProcMon zu viel virtuellen Speicher verwendet, wenn zu viele Einträge protokolliert werden. spherical_dog vor 8 Jahren 0
Werde das tun und dich wissen lassen, wenn ich Informationen finde. vikram vor 8 Jahren 0
Gemäß [diesem Link] (https://social.msdn.microsoft.com/Forums/en-US/10cb99f9-c751-4298-8e1f-af135d9aafba/sstimatedsize2-registry-getting-created-inuninstallproductcode-hive?forum = windbg), zeigt die Stack-Ablaufverfolgung in Process Monitor, dass der Registrierungswert "sEstimatedSize2" von StorSvc.dll während eines eingehenden RPC erstellt wurde. Ich glaube nicht, dass es mit Windows Installer zusammenhängt. StorSvc.dll implementiert den "Storage Service" -Dienst, aber ich habe nicht getestet, ob die Deaktivierung dieses Dienstes die Erstellung des Werts verhindern würde. Windows Installer löscht den Registrierungswert bei der Deinstallation nicht vikram vor 8 Jahren 0

Verwandte Probleme