Anzeige

Am Puls von Microsoft

Anzeige

Frage Kernel-General: Event-ID 16 / 15

Nils

Herzlich willkommen
Moin,

ich schaute gestern aufgrund eines anderen Themas in meinen Event-Log und sah dort ein Event, welches ich bisher noch nie gesehen habe (ich schaue öfter mal in meine Logs).

Es handelt sich um ein Kernel-General Event mit der ID 16 sowie ID 15.

KERNEL-GENERAL EVENT-ID 15: Hive \??\C:\Users\USERNAME\AppData\Local\Microsoft\Windows\UsrClass.dat was reorganized with a starting size of 4767744 bytes and an ending size of 4583424 bytes.

KERNEL-GENERAL EVENT-ID 16: The access history in hive \??\C:\Users\USERNAME\AppData\Local\Packages\Microsoft.LockApp_cw5n1h2txyewy\Settings\settings.dat was cleared updating 3 keys and creating 1 modified pages.

Nicht nur die Settings.dat, sondern auch noch andere sind "betroffen".

Ich wollte fragen, ob eventuell jemand weiß, was diese Events zu bedeuten haben. Sie scheinen seit dem Feature-Update 1703 (04/17) aufzutreten und erscheinen immer kurz nachdem hochfahren des Rechners.
Mein PC scheint rund zu laufen, ich frage nur aus Interesse :).

Vielen Dank und Gruß,

Nils

Edit: ich habe natürlich bereits Google bemüht, konnte aber keine brauchbaren Informationen finden.
 
Anzeige
Hallo @Nils! Willkommen im Forum ! :)
Die Event-ID 15 und 16 sind tatsächlich noch nicht im Netz bekannt, noch nicht mal bei Event-ID.Net. Es werden zwar einige Hilfen für ID 5 und 6 beshcrieben, aber die beziehen sich auf die Registry von Windows 8(.1).
Diese beiden Event-ID signalisieren, dass das Benutzerprofil, speziell die dort genannte Datei, beschädigt ist.
In ähnlichen Situationen wird im Netz empfohlen, einen neuen Benutzer anlegen. Ich finde das allerdings nicht die beste Lösung, da dann auch alle anderen Einstellungen weg sind.
Bei diesem Event
KERNEL-GENERAL EVENT-ID 15: Hive \??\C:\Users\USERNAME\AppData\Local\Microsoft\Windows\UsrClass.dat was reorganized with a starting size of 4767744 bytes and an ending size of 4583424 bytes.
hätte ich aber eine Lösung.
Von der UserClass.Dat legt Windows in der Regel eine Sicherung an. Diese Sicherung (UserClass.Bak) kann man reaktivieren. Allerdings geht das nicht unter Windows, weil da diese Datei in Benutzung ist und man keinen Zugriff hat.
Fein raus ist man, wenn man ein Dualboot-System hat. Ich habe die Änderungen von meinen Windows 8 aus in Windows 10 vorgenommen und es funktioniert.
Ansonsten muss man das von einer Live-CD aus machen, zB Linux, Knoppix o.ä.
Ich habe mal die UserClass.Dat in .Dat_old umbenannt und Windows 10 gestartet. Die Datei wurde in einer Minimalausführung neu angelegt. Besser ist, nach dem Umbenennen in .Dat_old die .Bak in Dat um zu benennen.
Win10_UserClass_Dat.jpg
Noch ein Hinweis: wenn man die Umbenennung von einem 2. Windows aus macht, muss man die versteckten Dateien und Ordner anzeigen, sonst scheitert man schon am Verzeichnis *\AppData.

Für den 2. Fehler habe ich noch keine Lösung. Da muss ich erst noch testen.
 
@Ari
Wo steht denn bei den beiden Ereignissen "Fehler"?
Ich lese aus den Beschreibungen der Event IDs lediglich, dass Windows die betreffenden Dateien reorganisiert bzw. upgedatet hat. Eben weil wohl an den Einstellungen in HKCU\Classes und der LockApp (Sperrbildschirm) Änderungen vorgenommen wurden und Windows diese auch in den beiden Dateien entsprechend abgeändert hat.

Also was ganz normales das Windows ständig vornimmt, damit "Letzte als funktionierend bekannte Konfiguration" auch den aktuellen Stand besitzt und nicht auf "Vorvorletzte als funktionierend bekannte Konfiguration" stehen bleibt.

Der TE sollte bei solchen Anfragen entweder einen Screenshot machen, oder zumindest die Meldungsebene (Fehler, Warnung, Information) nennen, dann sind die Leute schnell schlauer um was es genau geht.
 
Sorry, Alex, du hast Recht. Ich habe mich von der Beschreibung des ID5 und ID6 leiten lassen, weil da ähnliche Fehler sind, nur auf die Registry bezogen.
 
Hallo,

vielen Dank für eure Antworten. @areiland hat natürlich Recht, ich hätte angeben müssen, dass es sich um eine Information und nicht um einen Fehler handelt.
Was ich noch dazu sagen kann ist, dass während des Events sich für einen kurzen Augenblick ein CMD-Fenster öffnet und sofort wieder schließt. Dieses Verhalten ist mir neu.

Ich fand die Information "The access history in hive [...] was cleared updating 3 keys and creating 1 modified pages" zugegebenermaßen etwas beunruhigend und habe dabei nicht an ein Update o.ä. der entsprechenden Daten gedacht.
Diese Meldung war/ist mir völlig unbekannt, da dachte ich: lieber mal Fragen, vielleicht ist da was im Argen.

Vielen Dank noch einmal!
 
Anzeige
Oben