Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird eine Methode zum Umbenennen oder Verschieben dieser Dateien für Problembehandlungszwecke beschrieben.
Ursprüngliche KB-Nummer: 172156
Symptome
Wenn Sie Windows Ereignisanzeige starten, kann eine der folgenden Fehlermeldungen auftreten, wenn eine der *.evt-Dateien beschädigt ist:
Das Handle ist ungültig.
Dr. Watson Services.exe
Ausnahme: Zugriffsverletzung (0xc0000005), Adresse: 0x76e073d4
Wenn Sie in der Fehlermeldung "Dr. Watson" "OK" auswählen oder abbrechen, wird möglicherweise auch die folgende Fehlermeldung angezeigt:
Ereignisanzeige
Remoteprozeduraufruf fehlgeschlagen
Der services.exe Prozess kann einen hohen Prozentsatz der CPU-Auslastung verbrauchen.
Ursache
Die Ereignisanzeige Protokolldateien (Sysevent.evt, Appevent.evt, Secevent.evt) werden immer vom System verwendet und verhindern, dass die Dateien gelöscht oder umbenannt werden. Der EventLog-Dienst kann nicht angehalten werden, da er von anderen Diensten benötigt wird, daher sind die Dateien immer geöffnet.
Lösung
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows
NTFS-Partition
Wählen Sie die Schaltfläche "Start" aus, zeigen Sie auf "Einstellungen", wählen Sie Systemsteuerung aus, und doppelklicken Sie dann auf "Dienste".
Wählen Sie den EventLog-Dienst und dann den Start aus. Ändern Sie den Starttyp in "Deaktiviert", und wählen Sie dann "OK" aus. Wenn Sie sich nicht anmelden können, aber remote auf die Registrierung zugreifen können, können Sie den Startwert im folgenden Registrierungsschlüssel in 0x4 ändern:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventlogStarte Windows neu.
Notiz
Wenn das System gestartet wird, können mehrere Dienste fehlschlagen; eine Meldung, die den Benutzer informiert, Ereignisanzeige zum Überprüfen von Fehlern zu verwenden, kann angezeigt werden.
Benennen Sie die beschädigte *.evt-Datei von folgendem Speicherort um, oder verschieben Sie sie:
%SystemRoot%\System32\ConfigAktivieren Sie in Systemsteuerung Services-Tool den EventLog-Dienst erneut, indem Sie ihn wieder auf den Standardwert für den automatischen Start festlegen oder den Registrierungsstartwert wieder in 0x2 ändern.
FAT-Partition (Alternative Methode)
Starten Sie mit einer MS-DOS-Eingabeaufforderung mit einem DOS-Startdatenträger.
Benennen Sie die beschädigte *.evt-Datei von folgendem Speicherort um, oder verschieben Sie sie:
%SystemRoot%\System32\ConfigEntfernen Sie den Datenträger, und starten Sie Windows neu.
Wenn Windows neu gestartet wird, wird die Ereignisprotokolldatei neu erstellt.