Pliki NTUSER.DAT i UsrClass.dat gromadzone przez tysiące, dlaczego i czy mogę je usunąć?

14

Zauważyłem, że mój serwer internetowy, Xen VM 2008, stopniowo traci wolne miejsce - więcej niż myślałem z normalnego użytkowania i postanowiłem to zbadać.

Istnieją dwa obszary problemowe:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

I

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Z tego, co rozumiem, są to kopie zapasowe zmian rejestru w czasie. W takim przypadku nie mogę zrozumieć, dlaczego wprowadzono by ponad 10000 zmian. (To tyle plików na lokalizację folderu, łącznie ponad 20 000 na folder).

Pliki zajmują prawie 15 GB miejsca i chcę się ich pozbyć. Zastanawiam się, czy mogę je usunąć. Muszę jednak zrozumieć, dlaczego są tworzone, abym mógł tego uniknąć w przyszłości.

Jakieś pomysły, dlaczego byłoby ich tak wiele? Czy mogę sprawdzić, co powoduje modyfikacje?

  • Czy są tworzone przy próbach logowania?
  • Czy są tworzone w związku z codziennym użytkowaniem serwera WWW?
  • itd. i tak dalej
windows-server-2008 windows-registry user-profile Anthony
źródło
1
Ponieważ nie wierzysz, że wprowadzono tak wiele zmian, pierwszym krokiem byłoby uruchomienie programu antywirusowego i anty-malware skanuje dzienniki w poszukiwaniu podejrzanych działań, takich jak logowanie, które nie powinno nastąpić.
John Gardeniers

Odpowiedzi:

8

Nie są kopiami zapasowymi zmian w rejestrze, w rzeczywistości są zmianami w rejestrze, zanim staną się zmianami w rejestrze. Zasadniczo rodzaj .tmppliku do zmian rejestru.

W celu ochrony przed uszkodzeniem rejestru, który kiedyś był dość powszechnym i bardzo nieprzyjemnym problemem w systemie Windows, nowsze wersje systemu Windows robią, gdy wymagana jest zmiana rejestru, przed zrobieniem jakiejkolwiek czynności należy zapisać żądaną zmianę w pliku. (W przypadku zmian w gałęzi użytkownika pliki te mają postać NTUSER.DAT{GUID}.TMContainer####################.regtrans-msi są kolejno ponumerowane - cofnij się wystarczająco daleko i powinieneś zobaczyć 00000000000000000001plik.) Gdy system Windows ustali, że „bezpieczne” jest zapisanie zmiany w rejestrze, zrobi to, a następnie sprawdzi, czy zmiana została wprowadzona, w tym czasie usunie plik i przejdzie do innych zadań systemu operacyjnego. Gdy coś w tym procesie się nie powiedzie, gromadzisz te pliki.

I oczywiście w twoim przypadku coś gdzieś w tym procesie nie działa poprawnie. Założę się, że jeśli przejrzysz serwer Event Logs, zobaczysz mnóstwo błędów na ten temat, w postaci zdarzeń związanych z zablokowaniem rejestru lub niemożnością zapisania zmian w rejestrze. (Prawdopodobnie wzdłuż linii Unable to open registry for writinglub Failed to update system registry). Mogą to wskazywać na poważne problemy lub mogą wskazywać, że niektóre programy PITA chcą zapisywać zmiany w rejestrze przy każdym uruchomieniu i nie mają pozwolenia.

Istnieje również mniej prawdopodobna możliwość, że zmiany są zapisywane, ale plików nie można usunąć, co miałoby miejsce, gdyby uchwyt blokujący pliki nie został poprawnie zakończony lub jeśli SYSTEMma uprawnienia do zapisu, ale brakuje uprawnień do usunięcia te lokalizacje folderów.

Pomocne może być wyśledzenie źródła, aby wykonać szybką sumę md5 (lub podobną) tych plików, aby sprawdzić, czy wszystkie są w większości lub w większości identyczne (co oznaczałoby, że ta sama zmiana nie zapisuje się w rejestrze w kółko), lub jeśli istnieje duża różnorodność, która może wskazywać na poważny problem - że rejestr nie może zostać zapisany przez wiele procesów lub że profile użytkowników są uszkodzone.

Po zakończeniu ich analizy każdy z tych plików .blflub .regtrans-msplików utworzonych przed ostatnim uruchomieniem systemu można bezpiecznie usunąć. Nie ma możliwości, aby (lub powinny) zostać zapisane w rejestrze, więc są śmieciami.

Jeśli chodzi o to, co dokładnie je tworzy, musisz to sam wytropić, ponieważ może to być prawie wszystko. Możliwe, że coś w kodzie sieciowym próbuje zapisać zmianę rejestru przy każdym dostępie do witryny, ale nie udaje się to z powodu braku uprawnień (z pewnością widziałem głupsze rzeczy), możliwe, że są one generowane przez loginy użytkownika i później aktywność próbuje zapisać do rejestru i nie ma uprawnień, a jak wspomniano wcześniej, możliwe jest nawet, że są one tworzone i wykonywane normalnie, ale z jakiegoś powodu nie można ich usunąć zgodnie z przeznaczeniem.

Sprawdź wszystkie swoje dzienniki, w szczególności dzienniki Event Logsi dzienniki IIS pod kątem błędów związanych z rejestrem, aby je zawęzić i dowiedzieć się, co to powoduje.

Beznadziejny
źródło
Pomyślałem, że będzie to igła w stogu siana. Z pewnością dałeś mi wiele do zrobienia. Kiedy będę mógł usiąść i śledzić, zrobię to, ale na razie zdecydowałem się je zarchiwizować i usunąć; z tego, co mówisz - nie muszę archiwizować, wystarczy je usunąć? Mam wrażenie, że może to być odpowiedź na próby logowania w ramach RDP. Problem polega na tym, że nie mogę zablokować dostępu do statycznego adresu IP. Włączyłem tylko bezpiecznych klientów RDP, co spowolniło próby. Cofam się, gdy będę mieć więcej informacji, ponieważ może to pomóc komuś innemu, jeśli znajdę przyczynę.
Anthony
Innym problemem, jaki mam, jest to, że serwer WWW był gotowym, wstępnie zainstalowanym szablonem tego, co stworzyli dostawcy - mogli go zepsuć, zanim nawet zacząłem konfigurować niestandardowo. Kto wie. To nie byłby pierwszy raz, kiedy wystąpił problem, który pojawił się z powodu niekompetentnych technologii.
Anthony
1
@Anthony Cóż, ich archiwizacja byłaby przydatna do ich analizy, ale tak naprawdę nie, możesz je bezpiecznie usunąć. Rozsądne może być usunięcie tylko tych przed ostatnim ponownym uruchomieniem komputera lub czystego zrestartowania systemu operacyjnego, a następnie usunięcie ich wszystkich, na wypadek, gdyby niektóre nadal czekały na napisanie. Jeśli chodzi o próby logowania przez RDP ... nie sądzę, ponieważ nie powinieneś monitować żadnego zapisu w rejestrze, dopóki nie zalogujesz się pomyślnie ... to znowu dość poważny przypadek, więc może warto rozważyć że takie zachowanie może wynikać również z czegoś zupełnie innego.
HopelessN00b
NIE są to pliki „odzyskiwania” ani „kroniki”. Są to raczej treści aktywnych transakcji rejestru. Patrz np books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Pliki te są tworzone podczas odtwarzania lub inicjowania profilu. Są również źródłem kłopotów, ponieważ są „podpisani” w tym sensie, że są rezydentami, a tym samym stają się celem intruzów lub hakerów, jeśli chcesz.

Postępując zgodnie z instrukcjami, RT-CLK Mój komputer, Właściwości, wybierz „Zaawansowane ustawienia systemu”, a następnie „Ustawienia” w obszarze Profile użytkownika. Powinieneś spodziewać się listy wszystkich PROFILI, to znaczy jednej dla każdego UŻYTKOWNIKA.

Zwolnienia zawsze zapraszają inspektorów, a czasem przeoczają coś, co może być ważne. Na jednej maszynie tutaj był PROFIL o nazwie „DefaultProfile”, który oczywiście jest fałszywy i został usunięty. Na innym był PROFIL o nazwie „Profil domyślny”, który również jest fałszywy. To ostatnie nie jest jednak łatwe do usunięcia.

Wskazuje to, że ktoś włamał się i buduje crescendo, które na trzeciej maszynie stało się PROFILEM UŻYTKOWNIKA o pojemności około 231 GB (!!!), dzięki czemu rozruch jest nieuchronnym doświadczeniem oczekiwania. W końcu tolerancyjny użytkownik zirytował się, gdy coś, co robił przez cały czas, nie działo się.

Wszystkie konta użytkowników na tym komputerze, w tym Administrator, zostały zmienione na UŻYTKOWNIK DOMOWY i / lub GOŚĆ. Po prostu spróbuj uzyskać z tego podniesiony wiersz polecenia!

Tak więc, jeśli usuniesz PROFIL UŻYTKOWNIKA, a następnie zaloguj się ponownie, nowy profil zostanie utworzony przy użyciu DefaultProfile oraz w Win10, jest to widoczne przez baloney Hi, który sprawia, że ​​wygląda lepiej niż Windows Cokolwiek przez lata. Jeśli zalogujesz się, a następnie zajrzysz do C: \ Users \ (cokolwiek) \ Appdata \ Local (dla ukrytych plików), zobaczysz obrażające pliki REGTRANS-MS, ponumerowane i ZERO DŁUGOŚĆ.

Są wypełnione zmianami, które często wynikają z działań podjętych w ustawieniach używanych plików, co wciąż jest nie-nie. Po zakończeniu sesji zmiany są wywoływane, a dane w pliku stają się materiałem, z którego zapisywane są logi reklamowe / śledzące i cała masa rzeczy, o których teraz mówią tylko „Geniusze” w Microsoft.

Twoje zdrowie.

Skew-T
źródło