Microsoft windows kernel eventtracing admin ошибка

Как исправить Microsoft-Windows-Kernel-EventTracing%4Admin.evtx (бесплатная загрузка)

Последнее обновление: 07/01/2022 [Время на прочтение статьи: 5 мин.]

Файлы Windows 7 Event Log, такие как Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, считаются разновидностью файла Система (Windows 7 Event Log). Они соотносятся с расширением EVTX, разработанным компанией eyeClaxton Software для Find Junk Files 1.51 build 1318.

Первая версия Microsoft-Windows-Kernel-EventTracing%4Admin.evtx для WindowBlinds 10.62 увидела свет 05/09/2017 в Windows 10. Последним обновлением версии [v1.51 build 1318] для Find Junk Files является 1.51 build 1318, выпущенное 07/10/2011. Файл Microsoft-Windows-Kernel-EventTracing%4Admin.evtx включен в Find Junk Files 1.51 build 1318, BullGuard Internet Security 2013 и Registry Repair Wizard 2012 6.72.

В этой статье приведены подробные сведения о Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, руководство по устранению неполадок с файлом EVTX и список версий, доступных для бесплатной загрузки.

Рекомендуемая загрузка: исправить ошибки реестра в WinThruster, связанные с Microsoft-Windows-Kernel-EventTracing%4Admin.evtx и (или) Find Junk Files.

Совместимость с Windows 10, 8, 7, Vista, XP и 2000

Средняя оценка пользователей

Обзор файла

✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.

Что такое сообщения об ошибках Microsoft-Windows-Kernel-EventTracing%4Admin.evtx?

Общие ошибки выполнения Microsoft-Windows-Kernel-EventTracing%4Admin.evtx

Ошибки файла Microsoft-Windows-Kernel-EventTracing%4Admin.evtx часто возникают на этапе запуска Find Junk Files, но также могут возникать во время работы программы. Эти типы ошибок EVTX также известны как «ошибки выполнения», поскольку они возникают во время выполнения Find Junk Files. К числу наиболее распространенных ошибок выполнения Microsoft-Windows-Kernel-EventTracing%4Admin.evtx относятся:

Программа: C:WindowsSystem32winevtLogsMicrosoft-Windows-Kernel-EventTracing%4Admin.evtx

Среда выполнения получила запрос от этого приложения, чтобы прекратить его необычным способом.
Для получения дополнительной информации обратитесь в службу поддержки приложения.

В большинстве случаев причинами ошибок в EVTX являются отсутствующие или поврежденные файлы. Файл Microsoft-Windows-Kernel-EventTracing%4Admin.evtx может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с Find Junk Files) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла Microsoft-Windows-Kernel-EventTracing%4Admin.evtx может быть вызвано отключением питания при загрузке Find Junk Files, сбоем системы при загрузке или сохранении Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Как исправить ошибки Microsoft-Windows-Kernel-EventTracing%4Admin.evtx — 3-шаговое руководство (время выполнения:

Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему Microsoft-Windows-Kernel-EventTracing%4Admin.evtx. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):

Если на этапе 1 не удается устранить ошибку Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, перейдите к шагу 2 ниже.

Шаг 2. Если вы недавно установили приложение Find Junk Files (или схожее программное обеспечение), удалите его, затем попробуйте переустановить Find Junk Files.

Чтобы удалить программное обеспечение Find Junk Files, выполните следующие инструкции (Windows XP, Vista, 7, 8 и 10):

После полного удаления приложения следует перезагрузить ПК и заново установить Find Junk Files.

Если на этапе 2 также не удается устранить ошибку Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, перейдите к шагу 3 ниже.

Find Junk Files 1.51 build 1318

Шаг 3. Выполните обновление Windows.

Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках Microsoft-Windows-Kernel-EventTracing%4Admin.evtx может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:

Если Центр обновления Windows не смог устранить сообщение об ошибке Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.

Если эти шаги не принесут результата: скачайте и замените файл Microsoft-Windows-Kernel-EventTracing%4Admin.evtx (внимание: для опытных пользователей)

Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.

Источник

Microsoft windows kernel eventtracing admin ошибка

Этот форум закрыт. Спасибо за участие!

Спрашивающий

Вопрос

Пожалуйста объясните что это

Имя журнала: Microsoft-Windows-Kernel-EventTracing/Admin
Источник: Microsoft-Windows-Kernel-EventTracing
Дата: 14.02.2013 22:59:56
Код события: 2
Категория задачи:Сеанс
Уровень: Ошибка
Ключевые слова:Сеанс
Пользователь: LOCAL SERVICE
Компьютер: 1-ПК
Описание:
Не удалось запустить сеанс «» со следующей ошибкой: 0xC000000D
Xml события:

2
0
2
2
12
0x8000000000000010

81

Microsoft-Windows-Kernel-EventTracing/Admin
1-ПК

3221225485
285212677

Все ответы

На Вашем ПК случайно не Windows Home Server установлен, а в частности, продукт Windows Media Centre Connector?

У меня Win 7 проф, дополнительно ничего не устанавливал

Windows Media Centre есть,а коннектор это так понимаю нечто другое?

На англоязычном форуме есть обсуждение такой-же ошибки, и есть предложения по ее устранению (Посмотреть обсуждение можете по этой гиперссылке).

Там есть рекомендация перевести службу «Общих сетевых ресурсов проигрывателя Windows Media» (Windows Media Player Network Sharing Service) в ручной запуск, участник форума сообщает, что таким способом он устранил данную ошибку.

Источник

Microsoft windows kernel eventtracing admin ошибка

Сообщения: 540
Благодарности: 32

Профиль | Цитировать

Сообщения: 52182
Благодарности: 15073

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 540
Благодарности: 32

Сообщения: 52182
Благодарности: 15073

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Error: «Session «ReadyBoot» stopped due to the following error: 0xC0000188″ in Windows 7 »

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 540
Благодарности: 32

Microsoft windows kernel eventtracing admin ошибка

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

I am getting this error which I see in my Event Viewer on my Windows 8.1 machine. This error happens only once every time I restart or boot the computer. Can someone tell me what is causing this issue? I am not noticing any issues with my PC but just wondering what is this error caused by? I googled other people have the same problem but I cannot find a fix for this.

Error: 0xC0000011 Event ID: 2

ErrorCode » > 3221225489 Data > LoggingMode » > 276824069 Data >

I am unable to post the entire error code as your stupid forum keep saying that I am not allowed to post links.

I have just identified what is causing this error to happen! However, I still do not know how to fix the problem.

Whenever I go to Control PanelNetwork and InternetNetwork Connections and right click on the Ethernet Adaptor and press anything whether it be Status or Properties, immediately I get the Kernel-EventTracing Event ID 2 and there is a long delay up to 6 seconds when the properties box launches. Definitely something is not right there! It should launch immediately.

This is probably what is causing the problem on PC boot. It is something related to Network Adaptor. I uninstalled it and reinstalled it again, same issue happens. I think it is some Windows corruption. I would be grateful if someone tell me how to fix this problem.

Just made another experiment as I am writing this. Tested from Device Manager. I can confirm something related to Network. When I right click on Network Adapter this triggers the Event Tracing Kernel Event ID 2 error. Nothing else causes it.

According to my experience, this event message are harmless and can be safely ignored.

To fix it, you could try the following:

1. Install the latest updates to keep machine up-to-date.

2. Update the Network Adapter and check if it helps.

3. Try to delete the following file: C:WindowsLogsNetSetupservice.0.etl

4. R un SFC /scannow command to scan the integrity of operating system files.

5. We could create a Custom View without Event ID 2:

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

When I go to Ethernet Properties there’s a long delay when it launches. This is triggering this Event ID 2 error.
I also cannot find C:WindowsLogsNetSetupservice.0.etl folder. It doesn’t exist. Before I never witnessed this kind of error.

SFC /scannow found corruptions that are unable to fix. But I did the exact same test via F11 yesterday and it didn’t find any corruption.

I tried to use SFCFix and it couldn’t find corrupt files and even inserted my Windows 8.1 DVD.

I think this issue happened after I installed VPN software in February the 7th. Then first time I noticed the error in 14th of February this year. Since then this error keeps being triggered. I haven’t reformatted windows in 4 years since installing Windows 8.1 64-bit Pro.

I already uninstalled the software long ago. I also can’t find a Windows System Restore point before 16 of March.

Even after creating a Custom View without Event ID 2: the error is still showing up. The latest network drivers for my Realtek PCIe GBE Family Controller shows as 2013. I can’t find later drivers for that.

I think I might need to reformat Windows finally to see if the error will go away.

Edit: I solved the problem partially. I went to Registry Editor and deleted all the folders that contained this code as shown in the error in bold below. Now the error is no longer showing up in Event Viewer or being triggered. However, what I did was probably not wise. I don’t know how to restore this now once deleted. I want to see if this error will go away after those registries are restores.

Источник

Microsoft windows kernel eventtracing admin ошибка

How to Filter Log Events

To filter log events, follow these steps:

Only events that match your filter criteria are displayed in the details pane.

To return the view to display all log entries, click Filter on the View menu, and then click Restore Defaults.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

The error comes in two flavors, which seem only to differ in terms of the User being either SYSTEM or the Domain Admin:

Log Name: Microsoft-Windows-Kernel-EventTracing/Admin
Source: Microsoft-Windows-Kernel-EventTracing
Date: 9/9/2011 10:36:38 AM
Event ID: 2
Task Category: Session
Level: Error
Keywords: Session
User: XXXDOM1Administrator
Computer: XXXSERVER.xxxdom1.local
Description:
Session «WBCommandletInBuiltTracing» failed to start with the following error: 0xC0000035
Event Xml:

2
0
2
2
12
0x8000000000000010

17670

Microsoft-Windows-Kernel-EventTracing/Admin
XXXSERVER.xxxdom1.local

WBCommandletInBuiltTracing

3221225525
2

Log Name: Microsoft-Windows-Kernel-EventTracing/Admin
Source: Microsoft-Windows-Kernel-EventTracing
Date: 9/8/2011 1:00:18 PM
Event ID: 2
Task Category: Session
Level: Error
Keywords: Session
User: SYSTEM
Computer: XXXSERVER.xxxdom1.local
Description:
Session «WBCommandletInBuiltTracing» failed to start with the following error: 0xC0000035
Event Xml:

2
0
2
2
12
0x8000000000000010

17505

Microsoft-Windows-Kernel-EventTracing/Admin
XXXSERVER.xxxdom1.local

WBCommandletInBuiltTracing

3221225525
2

I am getting exactly the same error. Newly built SBS2011 box.

Description:
Session «WBCommandletInBuiltTracing» failed to start with the following error: 0xC0000035
Event Xml:

2
0
2
2
12
0x8000000000000010

1194

Microsoft-Windows-Kernel-EventTracing/Admin
server.domain.local

WBCommandletInBuiltTracing

3221225525
2

I am getting the same error «De sessie WBCommandletInBuiltTracing is niet gestart met de volgende fout: 0xC0000035» in dutch sbs 2011

does anyone have a solution yet, i know its save to ingnore and i know how to set filters but A error i A error and needs to be solved.

Session «WBCommandletInBuiltTracing» failed to start with the following error: 0xC0000035

I’m getting the same error too, it occurs every three minutes. Has anyone found a solution?

Session «WBCommandletInBuiltTracing» failed to start with the following error: 0xC0000035

I’m getting the same error too, it occurs every three minutes. Has anyone found a solution?

I agree as well. I am seeing this issue on several production boxes. Why are we having to resolve this when these are fresh builds?

Scott M. Phoenix, AZ

I too have a fresh SBS 2011 box with hundreds of these a day. I don’t accept the answer «Don’t worry about it» I’m tired of purchasing a retail product and becoming a beta tester. If I wanted to beta test I’d get a technet subscription. Microsoft! FIX THIS!!

Have you guys tried this?

Robert Pearman SBS MVP (2011) | www.titlerequired.com | www.itauthority.co.uk

Mine is related to SBS Console. If I don’t open it and no more auto start up of SBS Console when log on, then there is no more error. Make sure no one is using it. See if it helps to stop this forever error flooding message.

TO MICROSOFT> Safe to ignore is NOT the solution. We need to know the cause and a real solution. Every single warning means something and it uses the server resource to track the warning and display the warning!

So Microsoft wrote this neat little report that my customer gets every morning that says «Microsoft, you can’t write a server product that works».

Fix this on the next update!

I went, I saw and I read. But the links led nowhere to the little program or script that would solve all my problems.

That’s another 23 minutes of my life wasted on Microsoft trying to fix a «crtical» error.

If I counted up all the time I spend doing these things and multiplied it by the rate I charge people for my time, I think I can justify the difference between a PC and a Mac?

I’m unsure that I understand you. The link provided, http://blogs.technet.com/b/sbs/archive/2012/01/16/managing-event-alerts-in-your-reports-an-sbs-monitoring-feature-enhancement.aspx, provides a means of dropping events which have little meaning in the context of an SBS server from the summary and detailed reports. If you or your customers receive these reports, that’s less noise in them. The events are still logged and, if you read the event logs you will need to keep a crib sheet of these and others which you needn’t spend any time investigating and diagnosing. While it’s not the same as a fix for the cause of the log being generated, it’s not nothing.

And there may be good reason for not being able to readily provide a «fix» for everything that seems to show up in SBS logs, not the least of which is the complexity of the product combination, coupled with the fact that the combinations are unsupported outside SBS environment. I refer to running Exchange on a DC, having databases on a SharePoint server, and so on. Fixes may be worse than the original complaint, and expensive beyond the value of the remedy. If you don’t want to use the workaround then I’m sorry to have wasted yet more of your time with this reply, but I found the workaround to have at least some value in trimming out events which aren’t worth any of my time at all.

..the folks who have made it this far. are bright. persistant. and knowledgable as to thier individual scenearios. and as it is less than a perfect world. well as for me. a do not worry is sufficient on this one.

The entire context of this thread and of this entire forum is Small Business Server. It has no applicability or relevance to a DC that isn’t a Small Business Server. Any problem with a DC that isn’t SBS needs to go to http://social.technet.microsoft.com/Forums/en-US/winservergen/. If you are asking a question about SBS please make it a new post and provide full details. You can link back to this thread if you think it might be relevant. This way we keep each question associated with a specific answer, in case your question requires a different answer than the original poster’s question.

Well YOU were the one who brought up DC in the first place with your other post. Besides It doesn’t matter whether its DC or SBS the event continues to happen in both as well as others with NO FIX TO DATE: JULY 2013! Only been going on for 5 years as far as I can tell. Guess thats not long enough for Microsoft.

I’m so frustrated with these canned answers from the MS Windows volunteer camp. If it doesn’t work just ignore it. In the meantime your hardware becomes more and more degraded because of these errors.

Of course, it’s just my opinion. I could be wrong!

This is the SBS Forum, not the Windows Server Forum; we don’t do non-SBS systems here. The ability of those who post on this forum to understand, diagnose, and replicate issues reported is limited by the fact that we may not have a repro environment or significant current experience with non-SBS systems. So if you’re reporting something not involving an SBS server, you’re in the wrong place. We’ve seen a number of postings regarding Event 2 Kernel Event Tracing errors in the SBS forum and elsewhere. We’ve been told that this specific Event 2, Session «WBCommandletInBuiltTracing» failed to start with the following error: 0xC0000035, is benign if not meaningless in the context of an SBS server. In this forum some reports seem to correlate the Event 2 the SBS Console being open. My own experience is that the specific Event 2 that’s the subject of this post isn’t logged when the SBS Console isn’t open on the server. More to the point, I’ve not found any issue with the server related to Event 2 being logged other than its presence in the log itself. In short, SBS appears to work the same whether or not Event 2 is logged. Event 2 logged with different parameters or for a non-SBS system, including Windows 7, are not necessarily benign and would require diagnosis to determine the cause and remedy.

At any rate, posting to someone else’s issue, particularly one that is old and closed, is counterproductive and confusing, particularly for those researching current problems. If you are reporting this event for an SBS, and the parameters are different, please open a new thread and post the log and any diags.

Источник

Adblock
detector

Источник

Последнее обновление: 07/01/2022
[Время на прочтение статьи: 5 мин.]

Файлы Windows 7 Event Log, такие как Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, считаются разновидностью файла Система (Windows 7 Event Log). Они соотносятся с расширением EVTX, разработанным компанией eyeClaxton Software для Find Junk Files 1.51 build 1318.

Первая версия Microsoft-Windows-Kernel-EventTracing%4Admin.evtx для WindowBlinds 10.62 увидела свет 05/09/2017 в Windows 10.

Последним обновлением версии [v1.51 build 1318] для Find Junk Files является 1.51 build 1318, выпущенное 07/10/2011.

Файл Microsoft-Windows-Kernel-EventTracing%4Admin.evtx включен в Find Junk Files 1.51 build 1318, BullGuard Internet Security 2013 и Registry Repair Wizard 2012 6.72.

В этой статье приведены подробные сведения о Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, руководство по устранению неполадок с файлом EVTX и список версий, доступных для бесплатной загрузки.

Что такое сообщения об ошибках Microsoft-Windows-Kernel-EventTracing%4Admin.evtx?

В большинстве случаев причинами ошибок в EVTX являются отсутствующие или поврежденные файлы. Файл Microsoft-Windows-Kernel-EventTracing%4Admin.evtx может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с Find Junk Files) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла Microsoft-Windows-Kernel-EventTracing%4Admin.evtx может быть вызвано отключением питания при загрузке Find Junk Files, сбоем системы при загрузке или сохранении Microsoft-Windows-Kernel-EventTracing%4Admin.evtx, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Как исправить ошибки Microsoft-Windows-Kernel-EventTracing%4Admin.evtx — 3-шаговое руководство (время выполнения: ~5-15 мин.)

Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему Microsoft-Windows-Kernel-EventTracing%4Admin.evtx. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Шаг 2. Если вы недавно установили приложение Find Junk Files (или схожее программное обеспечение), удалите его, затем попробуйте переустановить Find Junk Files.

Шаг 3. Выполните обновление Windows.

Если эти шаги не принесут результата: скачайте и замените файл Microsoft-Windows-Kernel-EventTracing%4Admin.evtx (внимание: для опытных пользователей)

Если ни один из предыдущих трех шагов по устранению неполадок не разрешил проблему, можно попробовать более агрессивный подход (примечание: не рекомендуется пользователям ПК начального уровня), загрузив и заменив соответствующую версию файла Microsoft-Windows-Kernel-EventTracing%4Admin.evtx. Мы храним полную базу данных файлов Microsoft-Windows-Kernel-EventTracing%4Admin.evtx со 100%-ной гарантией отсутствия вредоносного программного обеспечения для любой применимой версии Find Junk Files . Чтобы загрузить и правильно заменить файл, выполните следующие действия:

1. Найдите версию операционной системы Windows в нижеприведенном списке «Загрузить файлы Microsoft-Windows-Kernel-EventTracing%4Admin.evtx».
2. Нажмите соответствующую кнопку «Скачать», чтобы скачать версию файла Windows.
3. Скопируйте этот файл в соответствующее расположение папки Find Junk Files:
   

   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   
   Показать на 204 каталогов больше +

   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs
   Windows 10: C:WindowsSystem32winevtLogs

4. Перезагрузите компьютер.

Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.

СОВЕТ ОТ СПЕЦИАЛИСТА: Мы должны подчеркнуть, что переустановка Windows является достаточно длительной и сложной задачей для решения проблем, связанных с Microsoft-Windows-Kernel-EventTracing%4Admin.evtx. Во избежание потери данных следует убедиться, что перед началом процесса вы создали резервные копии всех важных документов, изображений, установщиков программного обеспечения и других персональных данных. Если вы в настоящее время не создаете резервных копий своих данных, вам необходимо сделать это немедленно.

Скачать файлы Microsoft-Windows-Kernel-EventTracing%4Admin.evtx (проверено на наличие вредоносного ПО — отсутствие 100 %)

ВНИМАНИЕ! Мы настоятельно не рекомендуем загружать и копировать Microsoft-Windows-Kernel-EventTracing%4Admin.evtx в соответствующий системный каталог Windows. eyeClaxton Software, как правило, не выпускает файлы Find Junk Files EVTX для загрузки, поскольку они входят в состав установщика программного обеспечения. Задача установщика заключается в том, чтобы обеспечить выполнение всех надлежащих проверок перед установкой и размещением Microsoft-Windows-Kernel-EventTracing%4Admin.evtx и всех других файлов EVTX для Find Junk Files. Неправильно установленный файл EVTX может нарушить стабильность работы системы и привести к тому, что программа или операционная система полностью перестанут работать. Действовать с осторожностью.

Файлы, относящиеся к Microsoft-Windows-Kernel-EventTracing%4Admin.evtx

Файлы EVTX, относящиеся к Microsoft-Windows-Kernel-EventTracing%4Admin.evtx

Другие файлы, связанные с Microsoft-Windows-Kernel-EventTracing%4Admin.evtx

Вы скачиваете пробное программное обеспечение. Для разблокировки всех функций программного обеспечения требуется покупка годичной подписки, стоимость которой оставляет 39,95 долл. США. Подписка автоматически возобновляется в конце срока (Подробнее). Нажимая кнопку «Начать загрузку» и устанавливая «Программное обеспечение», я подтверждаю, что я прочитал (-а) и принимаю Лицензионное соглашение и Политику конфиденциальности компании Solvusoft.

Перейти к контенту

Перед Новым годом установил на ПК новый SSD (Goodram Iridium Pro), а вместе с этим в голове родилась идея установки долгожданной Windows 10 x64 (Корпоративная). Терабайтный жёсткий диск, разумеется, решил использовать для файлов.

На первый взгляд, всё было бы хорошо, если бы не одно НО. При нажатии на кнопку завершения работы, компьютер иногда выключался, а иногда перезагружался. Перечитав форумы, я настроил электропитание в ПУ, накатил последние обновления Windows, обновил BIOS, обновил драйверы, а также поменял значение в ветке: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerReadyBoot на «4».

Теперь при нажатии кнопки выключения, компьютер выключается, но недавно в журнале ошибок Windows увидел ежедневную ошибку: Сеанс «ReadyBoot» остановлен из-за следующей ошибки: 0xC0000188

Может быть кто-то с подобным уже сталкивался? Буду рад помощи от профессионалов! 🙂

Discus and support Microsoft-Windows-Kernel-EventTracing/Admin in Windows 10 BSOD Crashes and Debugging to solve the problem; Hello I have a difficulty with the «Kernel-EventTracing» or that is what the event viewer displays. The thing is, my screen freezes for 3-5 seconds. Discussion in ‘Windows 10 BSOD Crashes and Debugging’ started by MuhamedHodžić, Jul 10, 2019 .

В предыдущих статьях про сниффер на PowerShell и сбор данных о загрузке с удаленного сервера я уже немного писал про возможности ETW (Event Tracing for Windows). Сегодня я хочу подробнее рассказать про эту технологию.

Заодно покажу на примере разбора HTTPS и создания кейлоггера на PowerShell, как ее можно использовать во благо. Или не совсем во благо.

Event Tracing for Windows собирает и передает сообщения от системных компонентов Windows и сторонних приложений. Появился он еще во времена Windows 2000, но если в те времена системных провайдеров было несколько десятков, то сейчас их счет идет уже на сотни. Сообщения удобно использовать для диагностики ошибок и решения проблем с производительностью софта.

Часть системных провайдеров по умолчанию уже пишет в журнал событий Windows, а часть включается отдельно. Так что даже если вы не знаете про ETW, наверняка им пользуетесь. Познакомиться с журналами и включить часть из них при необходимости можно в стандартном просмотре событий в журналах приложений и служб. Немного о журнале и о работе с ним можно почитать в статье «Вертим логи как хотим ― анализ журналов в системах Windows».

Посмотреть список существующих провайдеров, которые только и рады поведать нам, что с ними происходит, можно командой logman query providers.

Посмотреть список провайдеров, которые подключены к определенному процессу Windows (а значит, и узнать что-то про него), можно при помощи команды logman query providers -pid

Список провайдеров, подключенных к обычному блокноту.

Подписку на события определенного провайдера или на трассировку можно включить через PowerShell при помощи командлета New-NetEventSession. А можно и вовсе накликать мышкой по пути «Управление компьютером» — «Производительность» — «Группы сборщиков данных». Здесь в сеансах отслеживания событий видно, какие трассировки запущены, и при желании можно создать свой сборщик.

Просматривать результат можно при помощи утилит и наборов утилит типа Microsoft Message Analyzer, Windows Performance Toolkit или вовсе командлетом PowerShell Get-WinEvent.

С особенностями работы ETW я рекомендую ознакомиться в документации Microsoft, начать можно с раздела About Event Tracing. Также могу порекомендовать неплохой материал «Изучаем ETW и извлекаем профиты».

Поскольку ETW работает на уровне ядра, то его отличает скорость передачи сообщений и отсутствие необходимости устанавливать какие-либо драйверы или инжекты в приложения. Обычно ETW используют для диагностики производительности и проблем с приложениями. Например, в статье «Ускорение загрузки Windows for fun and profit» анализируются факторы, влияющие на замедление загрузки, а в материале 24-core CPU and I can’t move my mouse — причины торможения Windows на рядовых операциях. Приведу пример — анализ запуска командлетов PowerShell.

Предположим, что вы каким-то образом (например, через аудит запуска процессов) обнаружили, что на компьютере запускаются невнятные процессы и скрипты PowerShell. Одной из методик будет использование ETW для анализа их активности. Например, посмотрим на провайдера PowerShell. Включим трассировку командой:

Теперь подождем, пока непонятные скрипты отработают, остановим трассировку командой:

Теперь можно посмотреть трассировку, например, через Microsoft Message Analyzer.

Подозрительный clean.ps1 явно что-то ищет и удаляет.

Если выбрать нужную строку, то в нижней панели будет расширенная информация о событии.

А, это же скрипт для очистки кэша 1С!

В этот раз все оказалось банально. Но в более сложных случаях можно запустить трассировку и для проверки других активностей:

• сетевая активность;
• разрешение DNS;
• обращение к диску;
• работа с памятью;
• активность WMI;
• и многое другое.

Таким образом, ETW может помочь поймать зловреда и разобраться в работе приложений. Местами это информативнее, чем привычный Process Monitor. Но помимо дел добрых, у механизма есть и «темная» сторона.

Разумеется, и молотком можно убить, и ружьем спасти. Моральную оценку механизмов делать я, конечно же, не буду, но в любом случае возможности открываются интересные.

Приведу пару примеров в качестве Proof-of-Concept

В этом примере я покажу, как легко узнать, что же ищет пользователь в интернете, даже по HTTPS. Посмотреть можно и без PowerShell — только мышка, только хардкор. В нашей задаче будет пользователь, будет Windows, Internet Explorer и журнал событий.

Начнем с того, что включим журнал событий Wininet. Делается это так: открываем журнал событий, на вкладке «Вид» включаем отображение аналитических и отладочных журналов.

Добавляем отображение нужных журналов.

После этого включаем UsageLog в контекстном меню, и этого достаточно для получения нужной информации. Попользуемся IE и посмотрим лог:

Собственно, в журнале видны заголовки и непосредственный запрос в поисковую систему.

Помимо заголовков при помощи журнала можно вытащить и cookie, а заодно посмотреть POST-запросы — например, для вытаскивания учетных данных. Методика работает на любых приложениях, использующих wininet.dll для работы с интернетом. К примеру, браузер Edge.

То же самое запросто реализуется и на PowerShell, и даже на cmd. Приведу пример реализации последним.

Для начала создадим трассировку:

Теперь поработаем в браузере, проверим почту. Трассировку можно после этого остановить командой:

Простейший анализ можно провести при помощи командной утилиты wevtutil.exe. Например, для просмотра POST-запросов команда будет такой:

Можно даже наудачу попробовать поискать по слову password и получить результат.

Пароли открытым текстом. Очень напрягает.

Стоит отметить, что антивирус при этом молчал. Действительно, ведь это обычный процесс трассировки.

Разумеется, события WinInet можно использовать и для диагностики неполадок вроде «почему этот сайт не открывается и что вообще происходит». Но тем не менее, возможности довольно интересны. Перейду к еще более закрученному примеру.

В Windows есть два интересных провайдера ETW:

Microsoft-Windows-USB-UCX (36DA592D-E43A-4E28-AF6F-4BC57C5A11E8) — работает с USB 2.0.

Microsoft-Windows-USB-USBPORT (C88A4EF5-D048-4013-9408-E04B7DB2814A) — работает с USB 3.0.

С их помощью можно получить данные HID, которые передает такое устройство USB, как клавиатура или мышь. Данные захватываются в сыром виде, но благодаря спецификации HID их вполне можно привести к читаемому виду.

Для начала трассировки достаточно выполнить следующие команды:

А данные можно получить командлетом PowerShell:

Приведу пример простого скрипта, который читает данные трассировки и преображает их в читаемые значения. Преобразование делается только для английских букв и исключительно в заглавные.

При запуске скрипт включает трассировку на 10 секунд, затем показывает результат.

Результат работы скрипта.

Конечно же, разобравшись с данными HID, можно доработать скрипт до полноценного кейлоггера, который записывал бы данные с клавиатуры и мыши. Стоит отметить и ограничения этого механизма:

• работает только с USB, а PS2 (как порой встречается в ноутбуках) не поддерживается;
• поддержка USB 3.0 заявлена только в Windows 8 и выше;
• требуются права администратора (UAC).

Зато никаких драйверов и перехватчиков. Ну, и конечно, помимо зловредного использования такой кейлоггер может помочь в диагностике проблем с клавиатурой. Теоретически.

Даже встроенные механизмы в руках злодея могут натворить бед. Методы защиты остаются те же самые: блокировать исполняемые файлы не из системных каталогов, не работать под пользователем с правами администратора, а если и работать — то хотя бы не отключать UAC. И, конечно же, встроенные браузеры Windows по части безопасности вызывают вопросы.

Здравствуйте.

Перед Новым годом установил на ПК новый SSD (Goodram Iridium Pro), а вместе с этим в голове родилась идея установки долгожданной Windows 10 x64 (Корпоративная). Терабайтный жёсткий диск, разумеется, решил использовать для файлов.

На первый взгляд, всё было бы хорошо, если бы не одно НО. При нажатии на кнопку завершения работы, компьютер иногда выключался, а иногда перезагружался. Перечитав форумы, я настроил электропитание в ПУ, накатил последние обновления Windows, обновил BIOS, обновил драйверы, а также поменял значение в ветке: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWMIAutologgerReadyBoot на «4».

Теперь при нажатии кнопки выключения, компьютер выключается, но недавно в журнале ошибок Windows увидел ежедневную ошибку: Сеанс «ReadyBoot» остановлен из-за следующей ошибки: 0xC0000188

- System 

  - Provider 

   [ Name]  Microsoft-Windows-Kernel-EventTracing 
   [ Guid]  {B675EC37-BDB6-4648-BC92-F3FDC74D3CA2} 
 
   EventID 3 
 
   Version 1 
 
   Level 2 
 
   Task 2 
 
   Opcode 14 
 
   Keywords 0x8000000000000010 
 
  - TimeCreated 

   [ SystemTime]  2017-01-05T10:39:11.649771400Z 
 
   EventRecordID 159 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  4 
   [ ThreadID]  176 
 
   Channel Microsoft-Windows-Kernel-EventTracing/Admin 
 
   Computer pc-pavel 
 
  - Security 

   [ UserID]  S-1-5-18 
 

- EventData 

  SessionName ReadyBoot 
  FileName C:WindowsPrefetchReadyBootReadyBoot.etl 
  ErrorCode 3221225864 
  LoggingMode 276824064 
  FailureReason 0

Может быть кто-то с подобным уже сталкивался? Буду рад помощи от профессионалов!