Hallo,

Inzwischen hat sich Windows dazu entschlossen, auch wieder Ereignisse im Protokoll festzuhalten (sowohl System als auch Anwendungen). Keine Ahnung, was vorher los war. Von Winlogon-Einträgen jedoch nach wie vor keine Spur.

unter anderem diese Beobachtung, dass oft Ereignisse im Protokoll fehlen, die ich eigentlich für erwähnenswert halte, während die vorhandenen Einträge meist wenig wirklich neue Information hergeben, hat mich im Lauf der Jahre dazu gebracht, den Ereignisprotokollierdienst unter Windows zu deaktivieren. Die Ressourcen, die der sonst belegt, kann ich sinnvoller nutzen.

Ehrlich gesagt vermute ich inzwischen auch, daß, wenn die gesuchten Einträge dort auftauchen sollten, sie auch bloß die Meldungen enthalten, die ich ohnehin schon von chkdsk bekomme ...

Genau das meine ich. ;-)

Ich hab vorhin mal den File Monitor von Sysinternals angeworfen, um chkdsk bei einem manuell gestarteten Durchlauf über die Schulter schauen zu können – der bricht übrigens ebenfalls mit der bereits erwähnten Meldung ab. Allerdings erkenne ich dort nur, daß in 4kB-Blöcken nacheinander von unterschiedlichen Offsets direkt auf dem Laufwerk C: gelesen wird. Alle Leseoperation – einschließlich der letzten vor dem Abbruch – werden als erfolgreich protokolliert.

Natürlich. Schließlich sind die Leseoperationen vom Laufwerk ja - physikalisch betrachtet - erfolgreich. Der eigentliche Knackpunkt ist, dass chkdsk den *Inhalt* der meist 4k großen Datenblöcke untersucht und vor allem logische Fehler sucht.

Allein aus den Speicheradressen auf dem Laufwerk bekomme ich bisher leider auch keine Anhaltspunkte, woran chkdsk sich stört ...

Du könntest höchstens nachsehen, welchen Block chkdsk als letzten gelesen hat, dann nachsehen, was es ist. Wahrscheinlich ein Teil eines Verzeichnisses, und einer der Einträge darin ist dann derjenige, der das Problem auslöst. So würde ich jedenfalls vorgehen.

So long,
 Martin