smoke_kz
26-02-2019, 19:01
Изучал набор программ от Nirsoft и запустил программу FileActivityWatch. Там всё понятно, кроме того что файл EtwRTNT Kernel Logger.etl записал/прочитал 2 523 031 168 байт ровно за 5 минут. Что за зверь такой? Как остановить/отключить? Поиск не дал результатов. Нашёл пару похожих случаев, там предлагали через реестр отключить автозапуск какого-то параметра. У меня он изначально стоит в "0". Ещё советовали переименовать папку в безопасном режиме. Сделал, не помогло. правда там советовали для Вин 8.1. У меня установлена Windows 10 Домашняя для одного языка версия 1809 сборка 17763.316. ОС лицензия.
Что сделал:
1. Поиск по реестру по имени файла результатов не дал.
2. В perfmon в свойствах задач "Сеансы отслеживаемых событий" нет ни одной задачи с таким именем файла.
3. Методом последовательной остановки сеансов, выяснилось что при остановки сразу же закрывается файл ему соответствующий. Название сеанса, отвечающий именно за файл EtwRTNT Kernel Logger.etl не нашёл. Часть сеансов нельзя остановить (perfmon запущен под администратором).
4. Этот нехороший файл за полчаса работы прочитал 10ГБ и записал 5ГБ и продолжает дальше.
5. В безопасном режиме у файла прочитано/записано 65 328 байт - проверял 3 раза.
6. В безопасном режиме не даёт присвоить этому файлу атрибут "только для чтения" (была мысля что поможет).
7. В реестре параметр Status=0 в ветках Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger и Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger
8. На каком-то польском форуме https://programyzadarmo.net.pl/threads/kernel-logger-zżera-ssd.37474/ аналогичная проблема у пользователя. Через переводчик нифига не понятно кроме того, что над ним прикалываются типа 60ГБ на запись в сутки - это не страшно.
ПС Тема на хоботе моя
Что сделал:
1. Поиск по реестру по имени файла результатов не дал.
2. В perfmon в свойствах задач "Сеансы отслеживаемых событий" нет ни одной задачи с таким именем файла.
3. Методом последовательной остановки сеансов, выяснилось что при остановки сразу же закрывается файл ему соответствующий. Название сеанса, отвечающий именно за файл EtwRTNT Kernel Logger.etl не нашёл. Часть сеансов нельзя остановить (perfmon запущен под администратором).
4. Этот нехороший файл за полчаса работы прочитал 10ГБ и записал 5ГБ и продолжает дальше.
5. В безопасном режиме у файла прочитано/записано 65 328 байт - проверял 3 раза.
6. В безопасном режиме не даёт присвоить этому файлу атрибут "только для чтения" (была мысля что поможет).
7. В реестре параметр Status=0 в ветках Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger и Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger
8. На каком-то польском форуме https://programyzadarmo.net.pl/threads/kernel-logger-zżera-ssd.37474/ аналогичная проблема у пользователя. Через переводчик нифига не понятно кроме того, что над ним прикалываются типа 60ГБ на запись в сутки - это не страшно.
ПС Тема на хоботе моя