イベント:ID3 ソース:Kernel-EventTracing

▼追記:9月16日
EppOobe.etlの機能自体を停止させる方法を追記しました。

▼追記:8月31日
id:4105は本当に謎ですがMicrosoft Security Client OOBEに関する情報を集めていたらレジストリーを削除するって方法もありました。
で、削除するのはいいけどこのプログラムは何なのかを調べていたら解決しました。
後日詳細は載せます。
レジストリーもEppOobe.etlの削除も必要がありません。


▼追記:8月27日
このイベントエラーは電源長押し等でWindowzを強制終了などさせると発生していました。
最近はEppOobe.etlを削除してセーフモードから再起動する時にフリーズするようになりました。
(最悪ブルースクリーン)
恐らくSSDかシステムへなんらかの影響が出ての結果だと思うのですが一応。
検査や調べられる範囲では何も異常はみられませんでした。

▼追記:8月28日
起動してイベントログをみたらid:4105 ソース:Winlogonが発生していました。
アクティべーション済みで正規購入品なのに海賊版と勘違いされたのかな?
この方法は推奨される方法ではなくこのエラー自体は問題ないものとされているようでEppOobe.etlを削除することにより何らかの影響が出ているようです。

※発生する状況が分かっている人は手動でシステムの復元を作成して警戒するかシステムイメージからの復元を実行した方がいいかもしれません。

(私の場合はPCゲームのModによるフリーズで強制終了させるとこのイベントIDが発生してしまいます。その度実行していたわけで、約4回削除してWinlogonが発生しました)



- System
- Provider
[ Name] Microsoft-Windows-Kernel-EventTracing
[ Guid] {B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}
EventID 3
Version 0
Level 2
Task 2
Opcode 14
Keywords 0x8000000000000010
- TimeCreated
[ SystemTime] 2015-08-19T23:17:11.147210000Z
EventRecordID 9
Correlation
- Execution
[ ProcessID] 4
[ ThreadID] 236
Channel Microsoft-Windows-Kernel-EventTracing/Admin
Computer 自分のPC名
- Security
[ UserID] S-1-5-18
- EventData
SessionName Microsoft Security Client OOBE
FileName C:\ProgramData\Microsoft\Microsoft Security Client\Support\EppOobe.etl
ErrorCode 3221225485
LoggingMode 5

解決方法

隠しフォルダーの中にあるEppOobe.etlの削除(自動生成されます)

隠しフォルダーを表示させる方法


  1. 「ドキュメント」を開く。
  2. 「整理」→「フォルダーと検索のオプション」
  3. 「表示」タブをクリック。
  4. 「詳細設定:」の一覧にある「ファイルとフォルダーの一覧」の下の「隠しファイル、隠しフォルダー、および隠しドライブを表示する」を選択。
  5. 「適用」させて「OK」で完了。


EppOobe.etlの削除方法

  1. PCを再起動。
  2. 「F8」で「セーフモード」を起動。
  3. C:\ProgramData\Microsoft\Microsoft Security Client\Support\EppOobe.etl
  4. EppOobe.etlを削除。
  5. PCを再起動させて完了。
※再起動すると管理イベントにイベントID:6000 ソース:Winllogonが警告として表示されます。
もう一度再起動すると警告で表示されなくなりました。


EppOobe.etlの機能自体を停止させる方法


この問題は「EppOobe.etl」を削除すれば解決するのは分かったのですがこのファイルはなんなのか。
「Oobe」で検索して頂ければヒットしますがインストーラーを実行させる為の初期設定を行う構成ファイルです。

ようするにインストールさえしてしまえば必要が無いもの。

それがWindowsを起動させる度に実行され、既にインストールされてファイルが構成されているのでエラーを記録していると思われる。

バグなのでレジストリーエディターで目的のファイルを検索し値を0にすればいいのですが、起動時に実行されるファイルということでそれらを設定する場所から停止が出来ないものかと手当たり次第に探していたらみつけました。


「コンピューターの管理」「パフォーマンス」「データコレクターセット」「スタートアップイベントトレースセッション」

「スタートアップイベントトレースセッション」「Microsoft Security Client OOBE」→右クリック(又はダブルクリック)から「プロパティ」を開く→タブ「トレース セッション」「有効のチェックを外す」「適用してOK」で完了です。

コメント