none
udetrc.etl.001 Datei wird ständig geschrieben in c:\windows\system32\Logfiles\wmi\ RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    schon vor Windows 10 Version 2004 schreibt Windows 10 ständig in diese Datei und das mit 10-15MB/s

    Kennt das jemand? Ich finde keine Dienst der das auslöst

    Donnerstag, 4. Juni 2020 06:49
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Logfiles sind i.d.R. lesbar, somit sollte da zumindes ein Hinweis stehen.

    Mittels ProcessMonitor kann man u.U. herausfinden, welcher Prozess diese Datei verwendet:
    https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

    Donnerstag, 4. Juni 2020 08:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Explorer.exe greift drauf zu. Kann aber auch daran liegen, das ich im Explorer in dem Pfad bin.

    in der Datei steht:

    ’ZèžGåõ  lh     UdeHandleRequestUnmarkCancelableFromCompletion         ;  P ª ÷¦z?û©ú0¨Ðo?<.§êžGåõ  lh     IpcEvtFunctionWake romPa8  M ª ÷¦z?û©ú0¨Ðo?<.§ìžGåõ  lh     IpcFunctionWake 8  O ª ÷¦z?û©ú0¨Ðo?<.§îžGåõ  lh     IpcFunctionWake ;  R ª ÷¦z?û©ú0¨Ðo?<.§ðžGåõ  lh     IpcEvtFunctionWake quest8  1 ª ˆ2P’ötñ;ý–ñÞr¡¨óžGåõ  lh     H–ÿ~T    À    ;  2 ª ˆ2P’ötñ;ý–ñÞr¡¨)ŸGåõ  lh     UrbCompleteRequest ion  N  ¬ ª W‘Q'$ö?c¾>‹‹Á',ŸGåõ  lh     CdcCompleteRequestFromPassiveWorkItem ª (    ª ˆ2P’ötñ;ý–ñÞr¡¨.ŸGåõ  lh     (   ª ˆ2P’ötñ;ý–ñÞr¡¨ï¢Gåõ  lh     D   ª ˆ2P’ötñ;ý–ñÞr¡¨ó¢Gåõ  lh     @mïϏ«ÿÿ   دx'pT  H–ÿ~T  vtFu,   ª ˆ2P’ötñ;ý–ñÞr¡¨ö¢Gåõ  lh        õ  (   ª ˆ2P’ötñ;ý–ñÞr¡¨ø¢Gåõ  lh     N  ¨ ª W‘Q'$ö?c¾>‹‹Á'û¢Gåõ  lh     CdcCompleteRequestFromPassiveWorkItem   (  © ª W‘Q'$ö?c¾>‹‹Á'ý¢Gåõ  lh     ;  0 ª ˆ2P’ötñ;ý–ñÞr¡¨ÿ¢Gåõ  lh     UrbCompleteRequest ’ötñ;W  P ª ÎxàLK¢<Ÿ
    ’Z£Gåõ  lh     UdeHandleRequestUnmarkCancelableFromCompletion ÿ[  Q ª ÎxàLK¢<Ÿ
    ’Z£Gåõ  lh     UdeHandleRequestUnmarkCancelableFromCompletion         ;  P ª ÷¦z?û©ú0¨Ðo?<.§£Gåõ  lh     IpcEvtFunctionWake romPa8  M ª ÷¦z?û©ú0¨Ðo?<.§£Gåõ  lh     IpcFunctionWake 8  O ª ÷¦z?û©ú0¨Ðo?<.§ £Gåõ  lh     IpcFunctionWake ;  R ª ÷¦z?û©ú0¨Ðo?<.§
    £Gåõ  lh     IpcEvtFunctionWake quest8  1 ª ˆ2P’ötñ;ý–ñÞr¡¨£Gåõ  lh     H–ÿ~T    À    ;  2 ª ˆ2P’ötñ;ý–ñÞr¡¨D£Gåõ  lh     UrbCompleteRequest ion  N  ¬ ª W‘Q'$ö?c¾>‹‹Á'G£Gåõ  lh     CdcCompleteRequestFromPassiveWorkItem ª (    ª ˆ2P’ötñ;ý–ñÞr¡¨I£Gåõ  lh     (   ª ˆ2P’ötñ;ý–ñÞr¡¨ù¦Gåõ  lh     D   ª ˆ2P’ötñ;ý–ñÞr¡¨ý¦Gåõ  lh     @mïϏ«ÿÿ   دx'pT  H–ÿ~T  vtFu,   ª ˆ2P’ötñ;ý–ñÞr¡¨ §Gåõ  lh        õ  (   ª ˆ2P’ötñ;ý–ñÞr¡¨§Gåõ  lh     N  ¨ ª W‘Q'$ö?c¾>‹‹Á'§Gåõ  lh     CdcCompleteRequestFromPassiveWorkItem   (  © ª W‘Q'$ö?c¾>‹‹Á'§Gåõ  lh     ;  0 ª ˆ2P’ötñ;ý–ñÞr¡¨    §Gåõ  lh     UrbCompleteRequest ’ötñ;W  P ª ÎxàLK¢<Ÿ




    • Bearbeitet schrippe Donnerstag, 4. Juni 2020 13:02
    Donnerstag, 4. Juni 2020 12:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielleicht hat da jemand mit WMI-Trace rungespielt:

    https://docs.microsoft.com/en-us/windows/win32/wmisdk/tracing-wmi-activity
    https://docs.microsoft.com/en-us/windows/win32/wmisdk/logging-wmi-activity

    Ggf. kann man da Funktionen abschalten oder die Dateigrößen beschränken (so wie bei den Systemevents).

    Freitag, 5. Juni 2020 08:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Danke! Habe beides überprüft, aber da steht immer der Logpfad Wbem und eben nicht wmi in der Registy

    Daher ist es das nciht.

    WMI Tracing war auch abgeschaltet

    Freitag, 5. Juni 2020 11:58
    |