Fehler bei XP-Start

Hallo,

ich schlage mich noch immer mit meinen Fehlermeldungen aus den Ereignisprotokollen herum. Noch immer weiß ich nicht, wie ich den Dingen beikommen soll, weil ich es nicht verstehe, was ich zur Abstellung tun kann.

Folgende Meldungen treten auf:

Unter Anwendungen:

Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1512
Datum: 01.04.2005
Zeit: 23:32:55
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: xxxxxxxxxx
Beschreibung:
Die Registrierungsdatei konnte nicht entladen werden. Der für die Registrierung verwendete Arbeitsspeicher wurde nicht freigegeben. Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie die Dienste entweder unter dem Konto LocalService oder NetworkService auszuführen. Wenden Sie sich an den Netzwerkadministrator, wenn das Problem weiterhin besteht.

Details - Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen.

Unter Sicherheit:

Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 02.04.2005
Zeit: 11:58:01
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: xxxxxxxxxx
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto:  xxxxxxxxxx
Arbeitsstation: xxxxxxxxxx
Fehlercode: 0xC000006A


Ereignistyp: Fehlerüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 529
Datum: 02.04.2005
Zeit: 11:58:01
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: xxxxxxxxxx
Beschreibung:
Fehlgeschlagene Anmeldung:
Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: xxxxxxxxxx
Domäne: xxxxxxxxxx
Anmeldetyp: 2
Anmeldevorgang: Advapi 
Authentifizierungspaket: Negotiate
Name der Arbeitsstation: SCHLEPPI

Computername ist dabei = Domänenname

Zusätzlich tritt unter Diensten folgendes auf:

Auf dem Notebook gibt es einen Dienst Eingabegerätezugang, der auf automatischen Start eingestellt ist, jedoch sich nicht starten lässt, weil die Datei C\Windows\System32\svchost.exe -k netsvcs angeblich nicht gefunden werden kann.
Die Datei svchost.exe ist in dem Ordner aber vorhanden und svchost wird im Taskmananger, unter Prozesse, angezeigt und zwar

- 3x als SYSTEM
- 2x als LOKALER DIENST
- 2x als NETZWERKDIENST.

Auf dem Desktop-Rechner gibt es einen gleichnamigen Dienst gar nicht. Von der gibt es aber einen Dienst mit Namen HID Input Service, der auch automatisch gestartet wird und auch tatsächlich nach dem Start von Windows als gestartet angezeigt wird.

Auf beiden Rechnern wird unter Abhängigkeiten der RPC-Dienst angezeigt und auf beiden Rechnern ist der RPC-Dienst auch tatsächlich gestartet.

Wer weiß Abhilfe für die Probleme?

Gruß, Wolfgang

BigWoelfi schrieb:

Auf dem Notebook gibt es einen Dienst Eingabegerätezugang, der auf automatischen Start eingestellt ist, jedoch sich nicht starten lässt, weil die Datei C\Windows\System32\svchost.exe -k netsvcs angeblich nicht gefunden werden kann.
Die Datei svchost.exe ist in dem Ordner aber vorhanden und svchost wird im Taskmananger, unter Prozesse, angezeigt und zwar

- 3x als SYSTEM
- 2x als LOKALER DIENST
- 2x als NETZWERKDIENST.

Auf dem Desktop-Rechner gibt es einen gleichnamigen Dienst gar nicht. Von der gibt es aber einen Dienst mit Namen HID Input Service, der auch automatisch gestartet wird und auch tatsächlich nach dem Start von Windows als gestartet angezeigt wird.

Wer weiß Abhilfe für die Probleme?

Zum Vergrößern anklicken....

ob ich abhilfe schaffen kann, weis ich nicht, aber ich versuch mal den sachverhalt zu erklären, vielleicht bringt dich das auf eine spur. die svchost.exe ist ja bekanntlich der hoster für dienste, die als dll datei zur laufzeit gestartet werden, also keine eigenständigen programme. die sachen die nun svchost starten soll, werden in der registry festgelegt. in deinem fall sind das netzdienste die zur laufzeit gestartet werden sollen. dieser zweig steht in der registry unter

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

die parameter die nun defaultmäßig gestartet werden sehen so aus

Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

das kannst du anhand von tasklist /svc überprüfen, dann sollte in einem cmd fenster zumindest diese zwei dienste auch auftauchen

440 svchost.exe     Svcs:  RpcSs
544 svchost.exe     Svcs:  EventSystem,Netman,RasMan,SENS,TapiSrv

die zahl ist die taskid, die sind bei deiner kiste natürlich andere. auch die dienste die da aufgeführt werden, sind bei deiner kiste eventuell andere. was mich wundert ist, daß du 7 svchost´s aufführst. das ist etwas viel, muß aber nichts schlimmes bedeuten. trotzdem poste mal ein hijackthis-log hier rein, damit wir prüfen können, ob da eventuell was schief läuft. der dienst Eingabegerätezugang bzw. HID Input Service stellt ja die zusatzfunktionen für eingabegeräte zur verfügung. wurde nun was über einen trojaner oder keylogger manipuliert, kann es eventuell zu fehlermeldungen kommen. wenn das nicht der fall sein sollte, könnte eine leseberechtigung der registry vorliegen. starte mal den regedt32 (nicht regedit) und überprüf mal die berechtigungen auf den oben geposteten zweig. und last but not least überprüf mal anhand von sfc /scannow die systemdateien. sollte eine system dll defekt sein oder ganz fehlen, wird die dann von der original-cd wieder hergestellt. solltest du sp2 installiert haben, wäre eine cd mit integriertem servicepack 2 nötig ... 

greetz

hugo

Hallo hp,

danke erst einmal für die ausführliche Erklärung.

Eintrag in der REgistry im angegebenen Zweig und unter Netsvcs lautet bei mir:
6to4 AppMgmt AudioSrv Browser CryptSvc DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation
Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi
WmdmPmSp winmgmt TermService wuauserv BITS ShellHWDetection helpsvc
WmdmPmSN xmlprov wscsvc

immens gegen Deinen Eintrag, würde ich meinen. Mit Sicherheit nicht alles notwendig, denke ich. Aber wo soll man ansetzen?

Bei RApcss :Reg_Multi_SZ: RpcSs heißt der Schlüssel bei mir auch nur Rpcss und nicht RApcss.

Bei  C:\>tasklist /svc im CMD-Fenster kommt:
Der Befehl tasklist ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

Hatte ich geschrieben, das sich Home Edition benutze?

Zweig in Regedt32:
Admins:                     Vollzugriff und Lesen angehakt, aber abgeblendet
Benutzer:                  nur Lesen, abgelendet
Ersteller/Besitzer:     nur spezielle Berechtigungen (dürfen aber alles), abgeblendet
System:                    Vollzugriff und Lesen, abgeblendet

Ich selbst tauche da mit meinem Benutzernamen gar nicht auf, habe aber Adminrechte und bin der einzige Nutzer des Notebook, hoffe ich jedenfalls. 

Alles, was abgeblendet ist, kann nicht bearbeitet werden.

Die Beechtigungen werden mir übrigens in Regedit gleichermaßen angezeigt.

Ich habe nur eine Recoveryversion von WinXP und habe gehört, dass damit cd mit integriertem servicepack 2 damit nicht gehen soll.
Geht dann auch sfc /scannow nicht?

hijackthis benutze ich gar nicht, muss aber an der Stelle hinzufügen, dass ich vor zwei Tagen dmserver.exe entfernen musste, weil adaware sie gefunden hatte. NAV hat das Teil nicht gemeldet, als es eingeflogen ist, hat es beim Systemscan aber angezeigt, den ich nach Adaware noch einmal gemacht habe.

Alles geputzt. Weder NAV, noch Adaware noch a² finden noch irgend etwas. Neuinstallation kommt deshalb erst einmal nicht in Frage.

Kann aber sicher sein, dass jetzt ein paar Einstellungen nicht stimmig sind.

Gruß, Wolfgang

Hallo,

muss das Thema noch mal aufgreifen mit dem langsamen Starten des Notebook.

Inzwischen ist das so, dass ich beim Neu(Warm)Start so etwa 15-20 Balkendurchläufe habe und beim Neu(Kalt)Start 40-60 Durchläufe.
Will heißen, das Teil wird allmählich immer langsamer.
Wenn das Anmeldepasswort eingegeben ist, geht es so mit der Geschwindigkeit, bis ich arbeiten kann.

Vor 2 Tagen habe ich mir mal das Programm PC-Booster bei t-Online heruntergeladen und installiert.
Das Programm habe ich mal automatisch konfigurieren lassen und da waren solche Dinge dabei, wie UDMA5-Modus für Festplatte einschalten, Netzwerkeinstellungen anpassen und so weiter.

Beim ersten Neustart ist der blaue Balken genau 7 mal durchgelaufen, bei späterem Neustart, nach ausgeschaltetem Notebook 9 mal.

Das ist gar nicht so übel, allerdings hat der Aufstart bis zur Anmeldung danach in beiden Fällen ewig und drei Tage gedauert und nach Passworteingabe habe ich gedacht, der Start endet nie, so dass ich die Veränderungen rückgängig gemacht und manuelle Einrichtungen vorgenommen habe.

Dabei bin ich auf die Option: Windows-Vorabruf-Leistung (Prefetcher) gestoßen, nach deren Aktivierung genau der schnellere Start eintritt. System bleibt danach aber auch wieder genau so langsam beim restlichen Start, wie beschrieben.

Kann damit jemand etwas anfangen bzw. mal einen Tipp geben?

Letztlich habe ich die Originaleinstellungen wieder herstellen lassen und das Programm erst einmal wieder deinstalliert.

Das mit dem UDMA5 wollte ich dann mal überprüfen und dazu auch unter anderem die Datenträgerverwaltung aufrufen. Hier kam aber der Fehler, dass ein Dienst fehlt. Ergibt sich dann auch aus der Ereignisanzeige und zwar wie folgt:

Ereignistyp: Fehler
Ereignisquelle: DCOM
Ereigniskategorie: Keine
Ereigniskennung: 10005
Datum: 22.04.2005
Zeit: 19:23:21
Benutzer: Computername\Registrierter Benutzername
Computer: Computername
Beschreibung:
Bei DCOM ist der Fehler Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden. aufgetreten, als der Dienst dmadmin mit den Argumenten /com gestartet wurde, um den folgenden Server zu verwenden:
{4FB6BB00-3347-11D0-B40A-00AA005FF586}

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7000
Datum: 22.04.2005
Zeit: 19:23:59
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung:
Der Dienst Verwaltung logischer Datenträger wurde aufgrund folgenden Fehlers nicht gestartet:
In dem ausführbaren Programm, in dem der Dienst ausgeführt wird, ist der Dienst nicht implementiert.

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7001
Datum: 22.04.2005
Zeit: 19:23:59
Benutzer: Nicht zutreffend
Computer: Computername
Beschreibung:
Der Dienst Verwaltungsdienst für die Verwaltung logischer Datenträger ist vom Dienst Verwaltung logischer Datenträger abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
In dem ausführbaren Programm, in dem der Dienst ausgeführt wird, ist der Dienst nicht implementiert.


Überprüfung des Notebook mit a² und AdAware findet nichts Verdächtiges.
Ich weiß echt nicht weiter mit dem Teil. Neuinstallation kommt nicht in Frage, weil viel zu viel Arbeit. Kann ich mir zurzeit echt nicht leisten.

Gruß, Wolfgang

http://support.microsoft.com/kb/314357/de könnte helfen.
Zum Thema Prefetching: http://www.helmrohr.de/Guides/Prefetching.htm

Bye,
Freudi

@Freudi

Danke für die Hilfe, aber

der erste Tipp geht offenbar nur mit der Professional-Version von XP. Den zweiten Tipp probiere ich erst, wenn ich den eigentlichen Fehler gefunden habe. Ich glaube nach der Beschreibung nicht dran, dass es das bei mir ist.


@all

Mir ist aber noch was eingefallen. Vor längerer Zeit habe ich mal Spyware gehabt und zwar irgend etwas mit DMSERVER. Da hatte ich manuell alle möglichen Einträge aus der Regsitry entfernt und später festgestellt, dass dmserver offenbar doch auch noch was anderes ist und auch benötigt wird.

Jetzt habe ich mal mit meinem anderen PC verglichen und die Einträge auf dem Laptop angepasst, wo ich das überall rausgeschmisen hatte, bzw. wo es bei dem anderen Rechner noch drin steht.

Nun sind die Fehlermeldungen erst mal verschwunden, die ich zuletzt mitgeteilt hatte, das Startproblem in Bezug auf den langen Balkendurchlauf bleibt aber bestehen.

Im Vergleich der beiden Registry ist mir aufgefallen, dass auf dem Notebook unter:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dmadmin]
Type=dword:00000120
Start=dword:00000002

eingetragen war. Das habe ich, wie auf dem anderen Rechner, auf
Type=dword:00000020
Start=dword:00000003

umstellen können. Danach waren die Fehlermeldungen dann beim nächsten Start weg.

Im Übrigen habe ich auf dem Notebook ControlSet002, ControlSet003 auch noch. Auf dem anderen Rechner sind CS001-CS004 vorhanden. Dazu auf beiden CurrentControlSet

Braucht man das alles tatsächlich oder kann da was weg einfach? Angepasst habe ich das jedenfalls in allen vorhanden CS.

Nicht anpassen kann ich unter
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMSERVER\0000]
ConfigFlags=dword:00000000
auf
ConfigFlags=dword:00000020

was aber auf dem anderen Rechner so eingetragen ist. Es wird zwar zunächst der Wert eingetragen. In Klammern erscheint dahinter dann 32, was auf dem anderen Rechner auch so ist.
Gleich, nachdem man den Eintrag bei geöffneter Registry lesen kann, erscheint die Fehlermeldung:

ConfigFlags kann nicht bearbeitet werden. Fehler bei Schreiben des Inhalts des Wertes.

Das ist auch bei Anmeldung im abgesicherten Modus als Administrator so und sowohl in regedit als auch in regedt32.

Muss man das anpassen und wenn ja, wie geht es?
Könnte das mein Geschwindigkeitsproblem sein?

Gruß, Wolfgang

BigWoelfi schrieb:

der erste Tipp geht offenbar nur mit der Professional-Version von XP.

Zum Vergrößern anklicken....

Methode 1 ja, die restlichen sollten auch mit der Home-Version funktionieren.

Den zweiten Tipp probiere ich erst, wenn ich den eigentlichen Fehler gefunden habe.

Zum Vergrößern anklicken....

Ähm, mich deucht, Du hättest Prefetching deaktiviert (sei es auch mit einem dieser unsäglichen Tuning-Tools)...

Zu den mehr oder weniger willkürlichen Registry-Manipulationen sag ich besser nichts :

Bye,
Freudi