[Nobody]

Писанием файла AutoLogger-Diagtrack-Listener.etl занимается не служба (процесс usermode), а само ядро.
Служба diagtrack принудительно включает разрешение на логгинг в реестре, так что ее тоже надо отключать. Она же отсылает отчеты в MS, если судить по многочисленным импортам из winhttp.dll и строкам внутри DLL.
Вот такая таблетка нарисовывается :

Код:

set F=%TEMP%\al.reg
set F2=%TEMP%\al2.reg
regedit /e "%F%" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\AutoLogger-Diagtrack-Listener
powershell -Command "Select-String -Pattern "\"Enabled\"", "\[HKEY", "Windows\sRegistry" -Path \"%F%\" | ForEach-Object {$_.Line} | Foreach-Object {$_ -replace '\"Enabled\"=dword:00000001', '\"Enabled\"=dword:00000000'} | Out-File \"%F2%\"" 
regedit /s "%F2%"
del "%F%" "%F2%"
del "%ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\*.etl" "%ProgramData%\Microsoft\Diagnosis\ETLLogs\ShutdownLogger\*.etl"
reg add HKLM\SYSTEM\CurrentControlSet\Control\WMI\AutoLogger\AutoLogger-Diagtrack-Listener /v Start /t REG_DWORD /d 0 /f
sc config diagtrack start= disabled
sc stop diagtrack

Много провел всяких исследований против плохих функций windows 10.
Вот тут полное собрание сочинений :
удалено администрацией