petenicker
Goto Top

Windows läßt sich nicht mehr beenden

Hallo zusammen,

seit zwei Tagen läßt sich mein Laptop nicht mehr herunterfahren. Es hilft nur noch das Ausschalten über den Power-Knopf. Ich habe mal in der Ereignisanzeige nachgeschaut:

Ereignistyp: Warnung
Ereignisquelle: USER32
Ereigniskategorie: Keine
Ereigniskennung: 1073
Datum: 21.10.2006
Zeit: 13:54:33
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: FRANKFURT
Beschreibung:
Der Versuch, Ausschalten auf FRANKFURT durchzuführen ist fehlgeschlagen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 ....

Die Recherche bei Event-ID.net hat mir nicht wirklich weitergeholfen. Weiß einer von euch einen Rat?

Content-Key: 42738

Url: https://administrator.de/contentid/42738

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: geTuemII
geTuemII 22.10.2006 um 14:16:27 Uhr
Goto Top
Sieh dir mal die Eintäge von EventID.net an: http://eventid.net/display.asp?eventid=1073&eventno=1960&source ...

geTuemII
Mitglied: petenicker
petenicker 22.10.2006 um 14:49:36 Uhr
Goto Top
Die hatte ich bereits gelesen, ich hab mir auch den KB-Artikel bei Microsoft durchgelesen. Brachte mich aber auch nicht weiter.
Mitglied: petenicker
petenicker 22.10.2006 um 15:46:51 Uhr
Goto Top
Nachtrag:

Weitere Recherche im EventLog:
1. "Der Zeitanbieter "NtpClient" konnte keinen Domänencontroller als Zeitquelle finden. Der Vorgang wird in 15 Minuten wiederholt." Das ist aber logisch, da ich von zu Hause mit einem lokalen Benutzerkonto arbeite und somit auch keinen Zugriff auf den Domänencontroller haben kann.
2. "Das Sicherheitssystem hat einen versuchten Herunterstufungsangriff für den Server DNS/ns.nameserver7.de festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
(0xc000005e)"." Ich habe niemals einen solchen Angriff gestartet.

Ich habe danach mal den ntp-Dienst gestoppt. War ja eine tolle Idee, weil Windows den Steuerbefehl zum Beenden genau an diesen Dienst sendet. Logische Folge, Rechner läßt sich erst recht nicht runterfahren.

Bin langsam echt verzweifelt. Was ist mit meinem Rechner los?!? SpyBot und mein Virenscanner finden auch nichts!
Mitglied: DaSam
DaSam 22.10.2006 um 17:21:24 Uhr
Goto Top
Hi,

zu 1:

Wenn Windows keinen Domänencontroller findet für NTP, dann findet er auch keinen. IMO prüft NTP keine Benutzer, lässt sich somit von jedem Aufrufen, also auch, wenn man lokal angemeldet ist. Alles andere wäre auch Schwachsinn, weil sonst die Rechneruhrzeit evtl. nicht mit dem Domaincontroller synchron waäre und aus Zeitdifferenz-Gründen eine Anmeldung wegen des Kerberos-Protokolles fehlschlagen würde.

Viel wahrscheinlicher ist, dass zu diesem Zeitpunkt dein Netzwerk nicht verfügbar war oder dass dein DNS schlampig konfiguriert ist und er den DC (sprich: NTP) nicht finden kann.

Windows schickt einen Befehl zum runterfahren an den NTP Dienst ??? Houston schickt einen Befehl zum Andocken der Raumstation an McDonalds ???

Habt Ihr in letzter Zeit Rechner gecloned (Ghost, Acronis oder ähnliches)? Mir scheint, dass da was mit den Computer-SID's durcheinandergekommen ist ...

cu,
Alex
Mitglied: petenicker
petenicker 22.10.2006 um 21:14:30 Uhr
Goto Top
Hallo DaSam,

ich habe mich da wohl etwas unglücklich ausgedrückt: der Domänencontroller befindet sich in meiner Firma im Büro. Das Problem besteht aber bei mir zu Hause (Ich nutze den Laptop auch privat). Dass er da keinen DC findet, ist vollkommen logisch. Aber deshalb sollte der Laptop doch Windows beenden können. Ging ja jahrelang auch. Das beschriebene Phänomen taucht erst seit zwei Tagen auf.

Der DNS schlampig konfiguriert?!? Das wird die Telekom als mein DSL-Provider aber nicht freuen zu hören, schließlich ist es deren Server face-wink

Ja, Windows schickt den Befehl zum Herunterfahren an den NTP-Dienst:
"Ereignistyp: Informationen
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7035
Datum: 22.10.2006
Zeit: 15:36:00
Benutzer: FRANKFURT\xxxxxxxxxx
Computer: FRANKFURT
Beschreibung:
Der Steuerbefehl "beenden" wurde erfolgreich an den Dienst "Windows-Zeitgeber" gesendet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.;


Moment, ich bekomme gerade, als ich den Windows Explorer öffnen will eine Meldung des Virenscanners:
"Die Anwendung "Windows Explorer" versucht
die Registrierungsdatenbank zu ändern.

Möchten Sie die Änderung zulassen?

Eintrag: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Schlüssel: {CE000992-A58C-4441-8938-744CD72AB27F}

Information:
Dieser Eintrag fügt ein neues Browser-Hilfsobjekt für den Internet Explorer ein."

Vielleicht hängt es damit zusammen. Ich melde mich morgen nochmal.

Danke erstmal für eure bisherige Hilfe.
Mitglied: DaSam
DaSam 22.10.2006 um 21:43:20 Uhr
Goto Top
Der Steuerbefehl "beenden" wurde erfolgreich an den Dienst "Windows-Zeitgeber" gesendet.  

Das heisst, dass Windows den Dienst gnädig bittet, sich als Dienst zu beenden. Das ist nicht die Herunterfahr-Anweisung für den Rechner, sondern das Resultat dessen. Windows schickt an alle laufenden Processe diese Meldung - wenn nur ein einziges Programm diese negativ bestätigt, wird Windows nicht heruntergefahren (z.B. in Word ist eine Datei noch ungesichert - es erscheint die Abfrage, ob man die Datei speichern möchte oder nicht oder abbrechen - bei abbrechen wird der Shutdown nicht weiter durchgeführt. Inwieweit Windows dann noch zuverlässig arbeitet, ist eine andere Frage. Es wurden ja schon etliche Dienste und Applikationen beendet).

Was passiert denn, wenn Du

shutdown -f -s -t 1

Auf Deinem Rechner machst (evtl. zwei- oder dreimla eingeben)?

cu,
Alex
Mitglied: petenicker
petenicker 23.10.2006 um 10:17:11 Uhr
Goto Top
shutdown -f -s -t 1
Wenn ich diesen Befehl ausführe fährt der Laptop normal runter. Wie kann ich denn die Anwendung, die bisher Zicken macht, lokalisieren?
Mitglied: DaSam
DaSam 23.10.2006 um 14:15:12 Uhr
Goto Top
Hi,

der Schalter -f bedeutet, dass das Herunterfahren erzwungen wird, egal ob noch Dateien zu speichern sind o.ä.
Schau mal,was "shutdown -s -t 1" macht und wie oft Du es aufrufen musst, damit Dein Rechner herunterfährt. Zwischen den Ausrufen kannst Du mittels "tasklist" eine Liste der laufenden Prozesse machen und die dann entsprechend vergleichen, welcher Prozess sauber beendet wurde und welcher nach dem nicht erfolgreichen normalen runterfahren noch läuft.

Ist halt eine Sch**ss-Arbeit face-wink

cu,
Alex
Mitglied: petenicker
petenicker 23.10.2006 um 14:49:02 Uhr
Goto Top
Ok, ich habe den Befehl 4mal ausführen müssen, bevor er runtergefahren ist. Ich habe mir die Tasklist nach jedem Ausführen in eine Textdatei schreiben lassen. Leider sind die letzten 3 Dateien identisch. Sind aber "nur" 39 Prozesse, die übrig bleiben. Meine Suche geht also erst mal weiter.

Dir erst mal vielen Dank! Hast mir sehr geholfen.
Mitglied: petenicker
petenicker 23.10.2006 um 15:10:30 Uhr
Goto Top
Ok, der Übeltäter ist ausgemacht. Es handelt sich um den Web.de-E-Mail-Alarm, der den Benutzer über neue E-Mails benachrichtigt. Der wollte sich am Samstag aktualisieren, scheint aber nicht ganz geklappt zu haben.

Alex, nochmals vielen Dank für deine Hilfe.
Mitglied: DaSam
DaSam 23.10.2006 um 18:07:08 Uhr
Goto Top
Hi peteneicker,

siehste, war's noch nicht NTP face-wink
Freut mich, dass es jetzt geklappt hat.

Grüße,
Alex
Mitglied: petenicker
petenicker 23.10.2006 um 19:13:31 Uhr
Goto Top
Ich lasse mich ja immer wieder gerne eines Besseren belehren face-smile

Jetzt hoffe ich noch, dass Web.de das in den Griff kriegt, weil ich das Tool eigentlich nicht mehr missen möchte, und dann ist alles gut. So lange, beende ich das Ding halt manuell.

Dank dir noch mal.

Gruß
petenicker