Файлы журналов C windows system32 wmi rtbackup в какой папке

Обновлено: 01.07.2024

Я думаю, что этот компьютер заражен, и буду признателен за помощь в избавлении от вредоносных программ.

(Извините, если я ошибаюсь в какой-либо части этой процедуры.)

Загрузка занимает много времени, а когда это происходит, требуется несколько минут, чтобы перейти к рабочему столу.
Панель задач запускается пустой, затем появляются пустые значки, после чего они выглядят так, как должны. Так было уже давно, но я думал, что это просто потому, что я прошу машину делать слишком много.

Я понимаю, что нажимаю на этот PB Easynote. Пока это удобно, пока я не смогу перейти на более совершенную систему.

Я использую avira premium, брандмауэр comodo, malwarebytes, spywareblaster, firefox, ccleaner. Я также поставил фильтр bluecoat k9, потому что дети иногда делают какую-то работу на этом компьютере.

У меня есть пара скриншотов без взлома a2, которые показывают, что присутствует много вредоносного ПО, но я не знаю, как их загрузить или как использовать кнопки выше. Ни одна другая антивирусная программа не выявляет признаков вредоносного ПО.

Мне нужно подписать сейчас, уже поздно. извините, если это неполное. Ниже приведены сведения о системе.

Я с удовольствием выполню все ваши рекомендации.

Заранее большое спасибо,

Название ОС Microsoft Windows 7 Home Premium
Версия 6.1.7600 Build 7600
Другое описание ОС недоступно
Производитель ОС Microsoft Corporation
Имя системы HD2-PC
Производитель системы Packard Bell BV
Модель системы 000000000000000000000000
Тип системы ПК на базе X86
Процессор Intel® Celeron® M CPU 410 @ 1,46 ГГц, 1466 МГц, 1 ядро(я), 1 логический процессор (s)
Версия/дата BIOS Insyde Software Corporation R106, 11/01/2006
SMBIOS версии 2.3
Каталог Windows C:\Windows
Системный каталог C:\Windows\system32
Загрузочное устройство \Device\HarddiskVolume1
Язык Великобритания
Версия уровня аппаратной абстракции = "6.1.7600.16385"
Имя пользователя HD2-PC\BARRY
Часовой пояс Roman Daylight Время
Установленная физическая память (ОЗУ) 1,00 ГБ
Общая физическая память 960 МБ
Доступная физическая память 161 МБ
Общая виртуальная память 1,94 ГБ
Доступная виртуальная память 825 МБ< br />Пространство для файла подкачки 1,00 ГБ
Файл подкачки C:\pagefile.sys

Редактировать: тема перемещена из раздела Антивирус, брандмауэр, продукты для обеспечения конфиденциальности и методы защиты в более подходящий форум. ~ Животное

--------------------------------
Здравствуйте еще раз. Извините за публикацию не в том форуме и спасибо, что переместили ее сюда.

Я понимаю, что люди заняты, поэтому я решил добавить информацию ниже, пока жду:

Проверка MalwareBytes только что завершилась и не обнаружила проблем.
Superantispyware все еще работает и обнаружила Trojan.Agent/Gen.

Вчера я также запустил What's Running, и в записях Tricky Startups есть масса материала.

Должен ли я попытаться удалить троян, обнаруженный SAS, или лучше дождаться помощи?

Берегите себя и еще раз благодарим вас за помощь.

Отредактировано Another Baz, 23 октября 2010 г., 18:29.

BC AdBot (войдите для удаления)

Ну, с самого начала я вижу здесь две ошибки:

Установленная физическая память (ОЗУ) 1,00 ГБ
Общая физическая память 960 МБ

Процессор Intel® Celeron® M CPU 410 @ 1,46 ГГц, 1466 МГц, 1 ядро(я), 1 логический процессор(ы)

Системные требования Windows 7 Обновление видеографических носителей для ПК

Прежде чем начать

Загрузите Советник по обновлению до Windows 7, чтобы получить более подробные сведения о том, может ли ваш компьютер работать под управлением Windows 7.

Загрузить сейчас
Если вы хотите запустить Windows 7 на своем ПК, вот что для этого нужно:

  • *1 гигагерц (ГГц) или более быстрый 32-разрядный (x86) или 64-разрядный (x64) процессор.
  • *1 гигабайт (ГБ) ОЗУ (32-разрядная версия) или 2 ГБ ОЗУ (64-разрядная версия).
  • *16 ГБ свободного места на жестком диске (32-разрядная версия) или 20 ГБ (64-разрядная версия).
  • *Графическое устройство DirectX 9 с драйвером WDDM 1.0 или более поздней версии.
  • *Доступ в Интернет (может взиматься плата).
  • *В зависимости от разрешения для воспроизведения видео может потребоваться дополнительная память и современное графическое оборудование.
  • *Для оптимальной производительности для некоторых игр и программ может потребоваться видеокарта, совместимая с DirectX 10 или выше.
  • *Для некоторых функций Windows Media Center может потребоваться ТВ-тюнер и дополнительное оборудование.
  • *Для Windows Touch и планшетных компьютеров требуется специальное оборудование.
  • *Для домашней группы требуется сеть и компьютеры под управлением Windows 7.
  • *Для авторинга DVD/CD требуется совместимый оптический привод.
  • *Для BitLocker требуется доверенный платформенный модуль (TPM) 1.2.
  • *Для BitLocker To Go требуется флэш-накопитель USB.
  • *Для режима Windows XP требуется дополнительно 1 ГБ ОЗУ и 15 ГБ свободного места на жестком диске.
  • *Для музыки и звука требуется аудиовыход.

Ваша система едва соответствует минимальным требованиям для запуска Windows 7.

В связи с этим, если вы думаете, что заражены, сделайте следующее:

  • Убедитесь, что вы подключены к Интернету.
  • Дважды щелкните файл mbam-setup.exe, чтобы установить приложение.
    Инструкции со снимками экрана см. в Руководстве по защите от вредоносных программ от Malwarebytes.
  • Когда начнется установка, следуйте инструкциям и не вносите никаких изменений в настройки по умолчанию.
  • По завершении установки не забудьте оставить оба флажка:
    • Обновите антивирус Malwarebytes
    • Запустить антивирус Malwarebytes
    • Если обновление будет найдено, программа автоматически обновится. Нажмите кнопку OK, чтобы закрыть это окно и продолжить.
    • Если у вас возникнут проблемы при загрузке обновлений определений, вручную загрузите их отсюда и просто дважды щелкните файл mbam-rules.exe для установки.
    • Убедитесь, что выбран параметр "Выполнить полное сканирование".
    • Затем нажмите кнопку "Сканировать".
    • Если вас попросят выбрать диски для сканирования, оставьте выбранными все диски и нажмите кнопку "Начать сканирование".
    • Начнется сканирование, и вверху появится сообщение " Выполняется сканирование ". Это может занять некоторое время, поэтому наберитесь терпения.
    • По завершении сканирования в окне сообщения появится сообщение " Сканирование успешно завершено. Нажмите "Показать результаты", чтобы отобразить все найденные объекты".
    • Нажмите "ОК", чтобы закрыть окно сообщения и продолжить процесс удаления.
    • Нажмите кнопку "Показать результаты", чтобы просмотреть список всех обнаруженных вредоносных программ.
    • Убедитесь, что все выбрано, и нажмите Удалить выбранное.
    • По завершении удаления отчет журнала откроется в Блокноте.
    • Журнал автоматически сохраняется, и его можно просмотреть, щелкнув вкладку "Журналы" в MBAM.
    • Скопируйте и вставьте содержимое этого отчета в свой следующий ответ. Обязательно опубликуйте полный журнал, чтобы включить верхнюю часть, в которой указана версия базы данных MBAM и ваша операционная система.
    • По завершении выйдите из MBAM.
    • Запустите программу и вернитесь на главный экран, в разделе "Сканирование на наличие вредоносных программ" нажмите Сканировать компьютер.
    • Слева убедитесь, что вы отметили C:\Fixed Drive.
    • Справа в разделе "Полное сканирование" выберите Выполнить полное сканирование и нажмите "Далее".
    • После завершения сканирования появится окно "Сводка сканирования" с обнаруженными потенциально опасными элементами. Нажмите "ОК".
    • Убедитесь, что рядом со всем стоит галочка, и нажмите "Далее".
    • Появится уведомление о том, что "Карантин и удаление завершены". Нажмите "ОК", а затем кнопку "Готово", чтобы вернуться в главное меню.
    • Если вас спросят, хотите ли вы перезагрузиться, нажмите "Да" и выполните перезагрузку в обычном режиме.
    • Чтобы получить информацию об удалении после перезагрузки, снова запустите SUPERAntispyware.
      • Нажмите «Настройки», затем перейдите на вкладку «Статистика/Журналы».
      • В разделе "Журналы сканера" ​​дважды щелкните Журнал сканирования SUPERAntiSpyware.
      • Если журналов несколько, щелкните текущий журнал с датой и нажмите Просмотреть журнал. Текстовый файл откроется в текстовом редакторе по умолчанию.
      • Скопируйте и вставьте результаты журнала сканирования в свой следующий ответ.

      GMER не работает в 64-битном режиме.


        Эта версия загрузит файл со случайным именем (рекомендуется)
        Эта версия загрузит zip-файл, который вам нужно будет распаковать в первую очередь. Если вы используете это зеркало, распакуйте ZIP-файл на рабочий стол.

      Привет, Криптодан. Спасибо за помощь.

      Приносим извинения за задержку из-за семейных и рабочих обстоятельств.

      Обратите внимание, что в журнале GMer я скрыл имена двух папок только на Gdrive для конфиденциальности.

      Вот запрашиваемые журналы:

      Версия базы данных: 5173

      Windows 6.1.7600
      Internet Explorer 8.0.7600.16385

      23.11.2010 2:11:43
      mbam-log-2010-11-23 (02-11-43).txt

      Тип проверки: Полная проверка (C:\|F:\|G:\|)
      Проверено объектов: 348800
      Прошедшее время: 1 час, 46 минут, 6 секунды

      Зараженные процессы памяти: 0
      Зараженные модули памяти: 0
      Зараженные ключи реестра: 0
      Зараженные значения реестра: 0
      Зараженные элементы данных реестра: 0
      Папки Заражено: 0
      Заражено файлов: 0

      Процессы памяти заражены:
      (вредоносные элементы не обнаружены)

      Модули памяти заражены:
      (вредоносные элементы не обнаружены)

      Ключи реестра заражены:
      (вредоносные элементы не обнаружены)

      Значения реестра заражены:
      (Вредоносные элементы не обнаружены)

      Элементы данных реестра заражены:
      (Вредоносные элементы не обнаружены)

      Папки заражены:
      (вредоносные элементы не обнаружены)

      Файлы заражены:
      (Вредоносные элементы не обнаружены)
      -----

      Создано 23.11.2010, 03:51

      Версия приложения: 4.45.1000

      Версия базы данных основных правил: 5903
      Версия базы данных правил трассировки: 3715

      Тип сканирования: полное сканирование
      Общее время сканирования: 01:17:56

      Просканировано элементов памяти: 319.
      Обнаружено угроз памяти: 0.
      Проверено элементов реестра: 8785.
      Обнаружено угроз реестра: 0. обнаружено : 6

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Здравствуйте! На прошлой неделе я написал здесь просьбу о помощи с моим
      жестким диском, который
      все время заполняется и требует перезагрузки ПК, чтобы восстановить потерянное пространство. Сегодня
      я обнаружил, что журнал WMI (\windows\system32\logfiles\WMI\trace.log)
      использует все доступное пространство в этом разделе, заполняя диск. перезапуск
      системы приводит к сбросу журнала! Что здесь происходит? Мне действительно
      нужен этот журнал? Могу ли я остановить это и как? Опять же, TIA.

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Вс, 28 августа 2005 г., 14:05:51 -04:00, "Лиза" написала:

      >Здравствуйте, На прошлой неделе я писал здесь с просьбой о помощи с заполнением моего жесткого диска
      >постоянно и необходимостью перезагрузки ПК, чтобы восстановить потерянное пространство. Сегодня
      >я обнаружил, что журнал WMI (\windows\system32\logfiles\WMI\trace.log)
      >использует все доступное пространство в этом разделе, заполняя диск. перезапуск
      >системы приводит к сбросу журнала! Что здесь происходит? Действительно ли мне
      >нужен этот журнал? Могу ли я остановить это и как? Опять ТИА.
      >

      Не знаю, нужно вам это или нет. Вы можете попробовать отключить и посмотреть,
      что произойдет.

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Обычные журналы регистрации WMI находятся в.
      %windir%\system32\wbem\logs
      или
      C:\WINDOWS\system32\wbem\logs

      Вы можете увидеть кучу журналов в этой папке.

      Вы когда-нибудь использовали bootvis.exe?
      Если да.

      [[После запуска утилиты MS Bootvis файл
      C:\WINDOWS\System32\LogFiles\WMI\trace.log сильно раздувается.

      Если это было не так, попробуйте это, он выведет список всех сеансов трассировки.
      Откройте командную строку.
      Старт | Беги | Тип: cmd | Щелкните ОК |
      Когда откроется командная строка, введите или вставьте:

      Нажмите клавишу Enter.

      Если что-то запускает трассировку, оно должно отображаться, в противном случае возвращается
      подсказка.

      --
      Надеюсь, это поможет. Дайте нам знать.

      Вес
      Оболочка Windows MS-MVP/Пользователь

      В новостях:%23%23KCks$qFHA.3736@TK2MSFTNGP10.phx.gbl,
      Лиза охотилась и клевала:
      > Привет, На прошлой неделе я писал здесь с просьбой о помощи с заполнением моего жесткого диска
      > все время и необходимо перезагрузить компьютер, чтобы восстановить потерянное пространство.
      > Сегодня я обнаружил, что журнал WMI
      > (\windows\system32\logfiles\WMI\trace.log) использует все доступное пространство
      > в этом разделе, заполняя диск . перезапуск системы приводит к сбросу журнала
      >! Что здесь происходит? Мне действительно нужен этот журнал? Могу ли я
      > остановить это и как? Опять же, TIA.

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Никогда не использовал bootvis! Даже не знаю, что это такое!

      Когда я пытаюсь запустить TRACELOG -L из командной строки, я получаю следующее:
      ['TRACELOG' не является внутренней или внешней командой, исполняемой
      программой или пакетным файлом.]

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      TRACELOG — это tracelog.exe (регистратор трассировки событий WMI).

      Я думал, что это часть XP. Это не так, это часть
      инструментов поддержки Windows. Я извиняюсь. Иногда я забываю, что с чем пришло или откуда я
      это взял.

      Все мои исследования показывают, что это...
      C:\windows\system32\logfiles\wmi\trace.log
      вызвано bootvis.exe.

      Откройте редактор реестра.
      Старт | Беги | Тип: regedit | Щелкните ОК |
      Перейдите к >>>
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger
      На правой панели вы можете увидеть Start в столбце Name.
      Если вы это сделаете, а данные равны 1, дважды щелкните Пуск и установите значение 0.

      Теперь, на всякий случай, выполните Поиск на вашем компьютере для bootvis.exe, если вы найдете
      его, удалите его. Это не вредоносно, но может вызвать проблемы. Bootvis – это инструмент
      Microsoft, но MS остановила его загрузку из-за проблем,
      с которыми сталкивается обычный пользователь.

      Если вас интересуют средства поддержки Windows.

      Инструменты поддержки Windows находятся на компакт-диске XP.

      Помимо множества полезных инструментов, встроенных в операционную систему Windows, более
      40 дополнительных инструментов поддержки находятся на компакт-диске Windows.

      --
      Надеюсь, это поможет. Дайте нам знать.

      Вес
      Оболочка Windows MS-MVP/Пользователь

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Это говорит о логах, хранящихся в
      C:\WINDOWS\system32\wbem\logs! В этом нет проблем, файлы журналов имеют размер
      всего около 24 КБ. Я могу жить с этим! Файл журнала, о котором я говорю
      , называется trace.log, и на данный момент его размер составляет 12 ГБ! Компьютеру потребовалось
      всего 4 часа, чтобы довести этот журнал до такого гигантского размера, и он увеличивается
      с каждой минутой!

      Еще раз спасибо, и я надеюсь, что кто-нибудь сможет пролить свет на это.

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      -Сделал трюк с regedit, но это не помогло! Файл trace.log по-прежнему
      активен и продолжает расти!

      -Выполнил поиск bootvis.exe, но его нет на моем ПК!

      -Я установил средства поддержки Windows и запустил TRACELOG -L, и вот что
      я получаю. Я надеюсь, что вы можете мне помочь! Большое спасибо.

      C:\Documents and Settings\M. Sabra>TRACELOG -L
      Имя регистратора: NT Kernel Logger
      Идентификатор регистратора: 1
      Идентификатор потока регистратора: 00000064
      Размер буфера: 64 КБ
      Максимальное количество буферов: 120 < br />Минимум буферов: 30
      Количество буферов: 93
      Свободных буферов: 89
      Записанных буферов: 4479
      Потерянных событий: 0
      Потерянных буферов журнала: 0 < br />Буферы реального времени потеряны: 0
      Возраст: 15
      Режим файла журнала: Последовательный
      Включена трассировка: Дисковый файл процесса HardFaults ImageLoad
      Имя файла журнала: C:\WINDOWS\ System32\LogFiles\WMI\trace.log

      C:\Documents and Settings\Лиза>

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Я понятия не имею, что запустило NT Kernel Logger. Судя по всему, он регистрирует каждую чертову
      вещь.

      У меня есть подозрение.

      Сначала обратите внимание на производительность.
      Старт | Беги | Тип: perfmon.msc | Щелкните ОК |
      Нажмите «Журналы производительности и оповещения» и осмотритесь.

      Хорошо, я только что нашел это.

      Из справки по производительности:

      [[Все существующие журналы будут перечислены на панели сведений. Зеленый значок
      показывает, что ведется журнал; красный значок означает, что журнал был
      остановлен.]]

      [[Чтобы просмотреть или изменить свойства журнала или предупреждения
      1. Открытое представление.
      2. Дважды щелкните Журналы производительности и оповещения.
      3. Щелкните Журналы счетчиков, Журналы трассировки или Оповещения.
      4. В области сведений дважды щелкните имя журнала или оповещения.
      5. Просмотрите или измените свойства журнала по мере необходимости.]]

      [[Чтобы определить параметры запуска или остановки для журнала или оповещения
      1. Открытое представление.
      2. Дважды щелкните Журналы производительности и оповещения, а затем щелкните Журналы счетчиков,
      Журналы трассировки или Оповещения.
      3. В области сведений дважды щелкните имя журнала или оповещения.
      4. Щелкните вкладку Расписание.
      5. Это для начала, мы этого не хотим.
      6. В разделе «Остановить журнал» выберите один из следующих вариантов:
      Чтобы остановить журнал или оповещение вручную, нажмите «Вручную». Если этот параметр
      выбран, чтобы остановить журнал или оповещение, щелкните правой кнопкой мыши имя журнала или оповещения в
      панели сведений и выберите Остановить.]]

      Службу адаптера производительности WMI можно отключить в службах.
      Старт | Беги | Тип: services.msc | Щелкните ОК |
      Прокрутите вниз и дважды щелкните Адаптер производительности WMI |
      Нажмите кнопку «Стоп» | Установите Тип запуска на Отключено | Щелкните Применить |
      Нажмите ОК | Закрыть Услуги | Может быть, вам нужно перезагрузить компьютер, чтобы он остановился, а не
      запустился снова, я не уверен. Прошло много времени с тех пор, как я отключил его, чтобы
      вспомнить.

      Если служба адаптера производительности WMI отключена, ведение журнала
      производительности невозможно. у меня он отключен. Например, если вы откроете Performance
      (perfmon.msc), Console1.msc или щелкните Журналы производительности и оповещения
      вы получите сообщение.

      [[Служба не может быть запущена либо потому, что она отключена, либо потому, что с ней
      не связаны активные устройства.]]

      Если вы обнаружите, что проблема связана с производительностью, отключите службу
      адаптера производительности WMI, чтобы она не повторилась.
      -----

      Если ничего не помогло, читайте дальше.

      Вы можете ввести это в командной строке для получения справки по журналу трассировки.

      Эта команда остановит все активные сеансы трассировки.

      Я не знаю, сработает ли эта команда, введите ее или вставьте в командную
      приглашение.

      tracelog -stop NT Kernel Logger

      Стоит попробовать, если ничего не помогло.

      tracelog — отключить NT Kernel Logger

      У меня достаточно информации, чтобы занять вас на некоторое время. ;-)

      --
      Надеюсь, это поможет. Дайте нам знать.

      Вес
      Оболочка Windows MS-MVP/Пользователь

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      <р>1. ты отличный человек, я очень и очень ценю потраченное время!

      <р>2. Служба адаптера производительности WMI уже отключена! Итак, я предполагаю, что этот
      регистратор ядра NT использует какой-то другой сервис для работы!

      <р>3. tracelog -x работает, но только для текущего сеанса. После перезагрузки
      файл TRACE.LOG растет как обычно! Но трюк с regedit работает,
      в конце концов, но вам нужно перезагрузить компьютер, чтобы он застрял. Я не перезагружала
      систему в первый раз, и поэтому файл журнала продолжал расти!

      Еще раз большое спасибо и прекрасной ночи!

      Гость

      Гость

      Архивировано из групп: microsoft.public.windowsxp.basics,microsoft.public.windowsxp.help_and_support (Подробнее?)

      Я так рад слышать, что у вас наконец получилось!

      Вы не поверите, сколько проблем можно решить с помощью перезагрузки. После попытки
      применить какое-либо «исправление», если оно не работает, перезагрузите компьютер. Если есть сомнения,
      перезагрузите компьютер.

      Обсудите и поддержите EtwRTDefenderApiLogger.etl в Windows 10 Support для решения проблемы; Что это за процесс: Windows\System32\LogFiles\WMI\Rtbackup\EtwRTDefenderApiLogger.etl Я вижу в диспетчере ресурсов, что иногда это появляется и пережевывает. Обсуждение в разделе «Поддержка Windows 10», начатое rivre, 16 мая 2019 г.

      EtwRTDefenderApiLogger.etl

      EtwRTDefenderApiLogger.etl — Похожие темы — EtwRTDefenderApiLogger etl

      6fc81bd2-7862-45c2-9e62-f1b1de7eba34 диагностика 0 etl

      D179042B-2806-4B1B-A327-29A65622DBD6.Repair.1.etl

      D179042B-2806-4B1B-A327-29A65622DBD6.Repair.1.etl: кто-нибудь может помочь с этим кодом? Что это значит? В моем компьютере появилась ошибка, которая хочет автоматически подключиться к "Sean's Cast.b". Это была единственная сеть, которую я мог видеть. Я не мог видеть свою собственную сеть или какие-либо заблокированные сети моих соседей, только "Sean's Cast.b".

      какая программа открывает файлы .etl в Windows temp

      Можно ли удалить этот файл ETL?

      Можно ли удалить этот файл ETL?: Я использую Windows 10 Home X64. У меня есть файл ETL в корне C:\ размером более 23 ГБ. Это файл "gemmauf.etl". Насколько важен этот файл? Безопасно ли удалять этот файл, особенно если он занимает много места на диске?

      45 гигабайт на моем диске Windows заняты этими журналами ETL. Что это такое и можно ли их удалить?

      SSD на 50 % занимает файлы ETL. Как освободить это место?

      SSD на 50 % занимает файлы ETL. Как освободить это место?: Мой жесткий диск отмечен красным цветом. Я скачал Windirstat, чтобы посмотреть, что происходит, и обнаружил, что половина моего SSD заполнена файлами ETL. Я исследовал его и обнаружил, что это файлы событий, которые накапливаются. Я не уверен, смогу ли я перейти на SSD большего размера с этой машиной. В любом.

      SSD на 50 % занимает файлы ETL. Как освободить это место?

      SSD на 50 % занимает файлы ETL. Как освободить это место?: Мой жесткий диск отмечен красным цветом. Я скачал Windirstat, чтобы посмотреть, что происходит, и обнаружил, что половина моего SSD заполнена файлами ETL. Я исследовал его и обнаружил, что это файлы событий, которые накапливаются. Я не уверен, смогу ли я перейти на SSD большего размера с этой машиной. В любом.

      ETL-файлы и журналы трассировки

      Файлы ETL и ведение журнала трассировки. Всем привет! Я хотел бы задать вопрос о файлах .ETL (журнал трассировки событий). Недавно я заметил в папке \System32\SleepStudy, что есть файл, который отслеживает, когда экран моего ноутбука включается или просыпается. В папке ScreenOn есть куча журналов ETL, каждый по порядку.

      Загрузка заархивированного файла .etl в Microsoft

      Загрузка заархивированного файла .etl в Microsoft. Может ли кто-нибудь рассказать мне, как загрузить заархивированный файл .etl в Microsoft с помощью OneDrive (уже установленного)? Я использую системные утилиты MS, чтобы сообщить о проблеме. Файл уже отмечен зеленым в OneDrive, но я не уверен, что MS его получит.

      В сценарии PowerShell в Windows 10 Pro 64 я получаю сообщения об отказе в доступе к нескольким папкам, например:

      • C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5
      • C:\Windows\System32\LogFiles\WMI\RtBackup

      Я посмотрел эти папки в Проводнике. Я в них так и не залез, но попутно на три папки:

      • C:\Windows\System32\config
      • C:\Windows\System32\config\systemprofile
      • C:\Windows\System32\LogFiles\WMI

      Я получил сообщение о том, что у меня нет разрешения на доступ к ним, но с предложением щелкнуть, чтобы получить постоянное разрешение. Я нажал это. Теперь я могу получить доступ к этим трем папкам, как и к любым другим. Чтобы проверить, что означает «навсегда», я перезагрузился. Я все еще могу получить доступ к этим папкам.

      • Представляет ли доступ к этим папкам угрозу безопасности (или плохую идею по любой другой причине)? Если да, то как вернуть это разрешение?
      • В папке «RtBackup» я получил такое же предложение предоставить мне постоянный доступ, но когда я щелкнул для этого, разрешение было отклонено, и мне сказали, что для его получения я должен перейти на вкладку «Безопасность». Предположительно, это означает свойства папки. Я думаю, что было бы плохой идеей возиться с настройками безопасности для системной папки. Это правильно? Чем это чревато?
      • Исследуя это, я наткнулся на DOS-команду TakeOwn. Интересно, может ли это позволить мне получить доступ ко всем этим неуловимым папкам и, возможно, устранить ошибки отказа в доступе в моем сценарии PowerShell. Будет ли это? И будет ли это опасно? Каковы риски запуска TakeOwn в недоступной папке?

      1 Ответ 1

      Права доступа к файлам действительно предназначены для многопользовательской системы. Если это так — несколько человек используют эту машину или она является частью корпоративной среды — то предоставление себе разрешений на запись в C:\Windows\System32\ означает, что вы (или загружаемое вами вредоносное ПО, работающее вместе с вами) можете что-то испортить. для других пользователей.

      Если это однопользовательская система, то различие между вами и администратором становится немного менее значимым. Как обычно, для этого есть идеальный XKCD:

      Комикс XKCD

      Стоит также отметить, что, предоставляя себе (и, следовательно, любому вредоносному ПО, запущенному от вашего имени) разрешение на запись в C:\Windows\System32\, вы увеличиваете вероятность того, что вредоносное ПО сможет повысить свой статус до уровня администратора, после чего его будет легче это скрыть от любого антивирусного программного обеспечения, которое вы можете использовать, потому что теперь вредоносное ПО не менее мощно, чем антивирус.

      Читайте также: