Hallo danke für die Info.
Ich habe auch so ein Tool LockHunter, er löscht das auch aber bei einem Neustart ist es wieder da.
Gehe mal davon aus,dass es mit dem Unlocker das selbe wäre.
Okay habe es wieder versucht mit angehaltenen Dienste, 2 malneugestartet bis jetzt scheint es weg zu sein.

minien88 hat geschrieben: 22.08.2023, 19:10 Mein prblem besteht leider weiterhin.

Und wenn du nichts unternimmst, wird sich das auch nicht ändern.

Wenn du mit Unlocker Portable klarkommst, kannst du auch das nehmen, wenn es nicht funktionieren würde, hätte ich es nicht empfohlen.

https://unlocker-portable.de.softonic.com/

Nach dem Umbenennen erscheint dieser Text:
Das Objekt konnte nicht umbenannt werden.
Soll das Umbenennen beim nächsten Neustart durchgeführt werden?

Mit "ja" bestätigen und den PC neu starten.

Hallo ja Unlocker, hatte ich auch bei XP aber bei Win 11?

1. Windows-Ereignisprotokoll auf Automatisch
2. Windows-Ereignissammlung auf Manuell

"C:\Windows\System32\LogFiles\WMI\RtBackup"

"RtBackup" löschen oder umbenennen.
Das funktioniert entweder über WinPE (löschen) oder mit Unlocker (umbenennen).

https://unlocker.de.softonic.com/

Nach einem Neustart wird der "RtBackup"-Ordner mit den richtigen Berechtigungen neu erstellt.

Sorry, ich hatte Probleme mit dem Login und musste mich nun neu Registrieren unter minien88.
Mein prblem besteht leider weiterhin.
Ich hatte nur die Empfohlene Batch Dateien genutzt danach geht nun nichts mehr mit Ereignisanzeige.
Und 2 sachen in den diensten deaktiviert:

Irgendetwas essentielles an den Diensten verändert? Sollte funktionieren.

Ereignisanzeige funktioniert?

Ja das habe ich versucht Fehler 1068 der Ahängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
Der Startyp steh auf Manuell.

Der kann nur starten, wenn der Dienst "Windows-Ereignisprotokoll" läuft. Ansonsten kann er nichts laufen.

Starte erst "Windows-Ereignisprotokoll", danach sollte sich "Windows-Ereignissammlung" auch starten lassen.

Wenn ich nun auf Ereignisanzeige gehe bekomme ich diese Meldung:
Der Ereignisprotokolldienst ist nicht verfügbar überprüfen sie ob der Dienst ausgeführt wird.
Also wo genau ist der Dienst unter Dienste habe ich nach gesehen Windows Ereignisprotokoll und Windows Ereignissammlung ist Autom.

Weißnicht was bei mir nicht stimmt.
Hier mal die Ausgabe von dem Befehl:
Microsoft Windows [Version 10.0.22621.2134]
(c) Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\System32>net stop EventLog
Windows-Ereignisprotokoll ist nicht gestartet.

Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 3521 eingeben.

C:\Windows\System32>

-------------------------------------------
C:\Windows\System32>net stop EventLog
Der Dienst wird gerade gestartet oder beendet. Versuchen Sie es später erneut.


C:\Windows\System32>

-----------------------------------------------------------
C:\Windows\System32\winevt\Logs\Setup.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\SMSApi.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\State.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\System.evtx
Zugriff verweigert
C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx
Zugriff verweigert

C:\Windows\System32>

minien hat geschrieben: 18.08.2023, 00:26 Das habe ich versucht den einen Eintrag im Ereignisprotokoll habe ich da reingeholt und auch gelöscht.
Doch als danach ins winevt logs geschaut habe war er immer noch drin.

Im Taskmanager Windows-Ereignisprotokoll beenden und einzelne Einträge in winevt logs löschen.

Hätte ich vielleicht etwas ausführlicher schreiben sollen.
Warten, bis der Dienst beendet wurde erst jetzt eingeben
es dauert ein wenig, bis der Dienst beendet wird.
Was mich bei Dir aber wundert, sind die Abhängigkeiten von der Ereignisanzeige. Die habe ich bei mir nicht. Könnte aber damit zusammenhängen, dass ich keine "Ereignissammlungen" eingerichtet habe und dieses "Microsoft Update Health Tools" zwar installiert sind, aber deaktiviert. Aber sollten auch nicht stören, da die dann mit beendet werden. Dauert dann halt nur länger, bis alle drei Dienste beendet wurden.

Übrigens wie hast du den Dienst gestoppt?
Kannst du das mal genau erklären?
Danke dir!

Manu hat geschrieben: 17.08.2023, 23:20 Oder im Taskmanager Windows-Ereignisprotokoll beenden und einzelne Einträge auch ohne Admin löschen. Aber wie @DK2000 schrieb, warum?

Das habe ich versucht den einen Eintrag im Ereignisprotokoll habe ich da reingeholt und auch gelöscht.
Doch als danach ins winevt logs geschaut habe war er immer noch drin.

Hat bei mir nicht funktioniert.getestet.