Jump to content

Event 1530 bei Win7 Client

aldisachen

Von aldisachen
in Windows 7 Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

aldisachen Experienced

aldisachen   11

Geschrieben
Geschrieben

Hallo zusammen,

bei einem Client erscheint in unregelmassigen Abständen folgender Eintrag in der Ereignisanzeige:

 

Log Name:      Application
Source:        Microsoft-Windows-User Profiles Service
Date:          10.11.2015 10:09:30
Event ID:      1530
Task Category: None
Level:         Warning
Keywords:      
User:          SYSTEM
Computer:      COMPUTERNAME.DOMÄNE.LOCAL (umbenannt)
Description:
Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.  

 DETAIL -
 2 user registry handles leaked from \Registry\User\S-1-5-21-1343024091-1767777339-839522115-2917:
Process 1736 (\Device\HarddiskVolume1\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2917\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Process 1736 (\Device\HarddiskVolume1\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2917\Software\Microsoft\Windows\CurrentVersion\Policies

Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-11-10T09:09:30.470442900Z" />
    <EventRecordID>39707</EventRecordID>
    <Correlation />
    <Execution ProcessID="988" ThreadID="3424" />
    <Channel>Application</Channel>
    <Computer>COMPUTERNAME.DOMÄNE.LOCAL</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">2 user registry handles leaked from \Registry\User\S-1-5-21-1343024091-1767777339-839522115-2917:
Process 1736 (\Device\HarddiskVolume1\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2917\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Process 1736 (\Device\HarddiskVolume1\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2917\Software\Microsoft\Windows\CurrentVersion\Policies
</Data>
  </EventData>
</Event>

 

Der Benutzer vermisst nach dem Anmelden einige Icons und Verknüpfungen auf seinem Desktop.

 

Wenn ich nach der ID 1530 suche, stosse ich immer wieder auf "UHPClean". Kann mir jemand sagen, ob das auch noch für Win7 (64-Bit) gültig ist ?

Wenn ja, würde ich das Programm bei dem Anwender installieren. Vielen Dank für Eure Hilfe im Voraus.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   806

Geschrieben
Geschrieben

Der Verursacher steht ja groß im Log, Avira sitzt auf den Keys und gibt sie nicht raus. Dort solltest Du anrufen und das Problem eskalieren.

 

UPHClean war nur für XP/W2003 und darunter. Mit VISTA kam ein eigener Dienst dazu. In W7 ist das der Benutzerprofildienst. Hast Du eigentlich bei einer Recherche nach UPHClean auch entdecken müssen.

Link zu diesem Kommentar
aldisachen Experienced

aldisachen   11

Geschrieben
  • Autor
Geschrieben

Hallo Sunny61,

das es Avira ist, was da Probleme macht habe ich schon gesehen. Avira ist kontaktiert und warte nun auf Antwort. Ja, ich habe gelesen, das es für ältere Versionen ist. Trotzdem wollte ich fragen, ob es auch für WIn7 seine gültigkeit hat. Danke Deiner Aussage, das es nun einen eigenen Dienst (Benutzprofildienst) gibt, hat sich das ja auch erledigt. Mal schauen, wann sich Avira meldet.

Link zu diesem Kommentar
  • 2 Wochen später...
aldisachen Experienced

aldisachen   11

Geschrieben
  • Autor
Geschrieben

Hallo, nachdem ich Avira mal deinstalliert habe und den Rechner neu gestartet habe, ist das problem leider nicht verschwunden. Es erfogt immernoch ein Eintrag in der Ereignisanzeige. Diesmal ist es aber nicht Avira. Nun ist die Meldung wie folgt:

 

Log Name:      Application
Source:        Microsoft-Windows-User Profiles Service
Date:          11.11.2015 12:51:49
Event ID:      1530
Task Category: None
Level:         Warning
Keywords:      
User:          SYSTEM
Computer:      COMPUTERNAME.DOMAENE.LOCAL
Description:
Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.  

 DETAIL -
 5 user registry handles leaked from \Registry\User\S-1-5-21-1343024091-1767777339-839522115-2737:
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737\Software\Microsoft\SystemCertificates\Disallowed
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737\Software\Microsoft\SystemCertificates\My
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737\Software\Microsoft\SystemCertificates\CA

Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" />
    <EventID>1530</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2015-11-11T11:51:49.811317300Z" />
    <EventRecordID>39756</EventRecordID>
    <Correlation ActivityID="{0330FC40-F800-0000-1923-EDDB5B1CD101}" />
    <Execution ProcessID="284" ThreadID="3960" />
    <Channel>Application</Channel>
    <Computer>COMPUTERNAME.DOMAENE.LOCAL</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="EVENT_HIVE_LEAK">
    <Data Name="Detail">5 user registry handles leaked from \Registry\User\S-1-5-21-1343024091-1767777339-839522115-2737:
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737\Software\Microsoft\SystemCertificates\Disallowed
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737\Software\Microsoft\SystemCertificates\My
Process 496 (\Device\HarddiskVolume1\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-1343024091-1767777339-839522115-2737\Software\Microsoft\SystemCertificates\CA
</Data>
  </EventData>
</Event>

 

Leider kann ich mit LSASS.EXE nichts anfangen. Kann es sein, dass die Festplatte einen defekt aufweist? Vielen Dank für Eure Hilfe im Voraus.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...