Файлы NTUSER.DAT и UsrClass.dat накапливаются тысячами, почему и что я могу удалить?

14

Я заметил, что мой веб-сервер, Xen VM 2008 года, постепенно теряет свободное место - больше, чем я мог бы ожидать от обычного использования, и решил исследовать.

Есть две проблемные области:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

И

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Из того, что я понимаю, это своевременное резервное копирование изменений в реестре. Если это так, я не могу понять, почему будет 10000+ изменений. (Это количество файлов на одну папку, всего более 20 000 на папку.)

Файлы занимают почти 15 ГБ места, и я хочу избавиться от них, мне просто интересно, могу ли я их удалить. Однако мне нужно понять, почему они создаются, чтобы я мог избежать этого в будущем.

Есть идеи, почему их будет так много? Есть ли способ проверить, что делает модификации?

  • Они созданы с попытками входа?
  • Созданы ли они в отношении повседневного использования веб-сервера?
  • и тд и тп
Энтони
источник
1
Поскольку вы не уверены, что было так много изменений, первым шагом будет запуск антивирусного и антивирусного сканирования, проверяющий журналы на наличие подозрительных действий, таких как входы в систему, которые не должны были произойти.
Джон Гарденье

Ответы:

8

Они не являются резервными копиями изменений в реестре, на самом деле это то, чем являются изменения в реестре, прежде чем они станут изменениями в реестре. Тип .tmpфайла для изменений реестра, по сути.

В качестве защиты от повреждения реестра, которая раньше была довольно распространенной и очень неприятной проблемой в Windows, новые версии Windows делают, когда запрашивается изменение в реестре, - записывают запрошенное изменение в файл, прежде чем что-либо делать. (Для изменений в пользовательском кусте эти файлы имеют форму NTUSER.DAT{GUID}.TMContainer####################.regtrans-msи нумеруются последовательно - вернитесь достаточно далеко, и вы увидите 00000000000000000001файл.) Как только Windows определила, что «безопасно» записать изменение в реестр, она делает это, и после этого он будет проверять, что изменение было внесено, в это время он удалит файл и перейдет к другим задачам ОС. Когда что-то в этом процессе дает сбой, вы в конечном итоге накапливаете эти файлы.

И ясно, что в вашем случае что-то где-то в этом процессе не работает должным образом. Бьюсь об заклад, что если вы посмотрите на сервер, Event Logsвы увидите массу ошибок по этому поводу в виде событий, связанных с блокировкой реестра или невозможностью записи изменений в реестр. (Вероятно, в соответствии с Unable to open registry for writingили Failed to update system registry). Это могут быть признаки серьезных проблем, или они могут быть признаками того, что некоторые программы PITA хотят вносить изменения в реестр при каждом запуске и не имеют разрешения.

Существует также менее вероятная вероятность того, что изменения будут записаны, но файлы не могут быть удалены, как это было бы, если бы дескриптор блокировки на файлах не был завершен должным образом, или если у SYSTEMнего есть разрешение на запись, но нет прав на удаление для эти папки

Это может помочь в отслеживании источника, чтобы сделать быструю сумму md5 (или аналогичную) этих файлов, чтобы увидеть, все ли они или почти одинаковые (что будет означать, что одно и то же изменение не может записываться в реестр снова и снова), или если есть много изменений, что, скорее всего, указывает на серьезную проблему - на то, что реестр не может быть записан многими процессами, или что профили пользователей повреждены.

Как только вы закончите анализировать их, любой из них .blfили .regtrans-msфайлов, созданных до последней загрузки системы, можно безопасно удалить. Там нет никакого способа, которым они будут (или должны) быть записаны в реестр, поэтому они мусор.

Что касается того, что именно создает их, это то, что вы должны будете отследить сами, потому что это может быть что угодно. Возможно, что-то в веб-коде пытается записать изменение реестра каждый раз, когда к сайту обращаются, но происходит сбой из-за отсутствия разрешений (я наверняка видел более тупые вещи), возможно, что они генерируются при входе пользователя в систему и последующих активность пытается записать в реестр и не имеет разрешений, и, как уже говорилось ранее, даже возможно, что они создаются и выполняются в обычном режиме, но по какой-то причине не могут быть удалены по назначению.

Проверьте все свои журналы, особенно Event Logsжурналы IIS и IIS, на наличие ошибок реестра, чтобы сузить их и выяснить, что является причиной этого.

HopelessN00b
источник
Я подумал, что это будет иголка в работе сена. Вы, конечно, дали мне много, чтобы продолжить. Когда я смогу сесть и отследить это, я сделаю это, но сейчас я решил заархивировать и удалить их; из того, что вы говорите, хотя - мне не нужно архивировать, просто удалить их? У меня такое ощущение, что это может быть в ответ на попытки входа в систему через RDP. Проблема в том, что я не могу заблокировать доступ к статическому IP. Я включил только безопасных клиентов RDP, что замедлило попытки. Я вернусь, когда у меня будет больше информации, так как это может помочь кому-то еще, если я найду причину.
Энтони
Другой недостаток, который я имею, состоит в том, что веб-сервер был предварительно созданным, предварительно установленным шаблоном того, что создали провайдеры - они могли испортить его, прежде чем я даже начал настраивать его. Кто знает. Это будет не первый раз, когда я сталкиваюсь с проблемой, которая возникла из-за некомпетентных технологий.
Энтони
1
@Anthony Хорошо, их архивирование было бы полезно для их анализа, но на самом деле нет, вы можете безопасно их удалить. Возможно, будет целесообразно удалить только те, которые были до последней перезагрузки, или аккуратно перезагрузить ОС, а затем удалить все из них, если некоторые из них еще не записаны. Что касается попыток входа в систему более РДП ... Я бы не думать так, как вы не должны побуждая никаких операций записи в реестре , пока успешно не войти ... опять же , это довольно серьезный крайний случай, поэтому , возможно , стоит рассмотреть что это поведение может быть от чего-то совершенно другого.
HopelessN00b
Это НЕ файлы "восстановления" или "журнала". Это скорее содержимое активных транзакций реестра. См., Например, books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Эти файлы создаются при воссоздании или запуске профиля. Они также являются источником неприятностей, потому что они «подписаны» в том смысле, что они являются резидентами и, таким образом, становятся объектом вмешательства или хакеров, если хотите.

Следуя инструкциям, RT-CLK «Мой компьютер», «Свойства», выберите «Дополнительные параметры системы», а затем «Настройки» в разделе «Профили пользователей». Вы должны ожидать список всех профилей, то есть один для каждого пользователя.

Замедление всегда приглашает инспекторов, а иногда они упускают из виду то, что может быть важным. На одной машине здесь был ПРОФИЛЬ с именем «DefaultProfile», который, конечно, является поддельным и был удален. С другой стороны, был ПРОФИЛЬ с именем «Профиль по умолчанию», который также является поддельным. Однако последнее не так легко удалить.

Это указывает на то, что кто-то взломал и готовится к крещендо, которое на третьей машине стало ПРОФИЛЕМ ПОЛЬЗОВАТЕЛЯ около 231 ГБ (!!!), что делает загрузку неумолимым процессом ожидания. В конце концов, толерантный пользователь стал раздражаться, когда чего-то, что он делал все время, не происходило.

Все учетные записи пользователей на этом компьютере, включая Администратора, были изменены на HOME USER и / или GUEST. Просто попробуйте получить командную строку с повышенными правами из этого!

Таким образом, если вы удалите ПРОФИЛЬ ПОЛЬЗОВАТЕЛЯ, а затем войдете в систему заново, новый профиль будет создан с использованием DefaultProfile и в Win10, это видно по «привету», который делает его лучше, чем Windows. Если вы войдете в систему, а затем загляните в C: \ Users \ (что угодно) \ Appdata \ Local (для скрытых файлов), вы увидите поврежденные файлы REGTRANS-MS, пронумерованные и ZERO LENGTH.

Они заполнены изменениями, которые часто приводят к действиям в настройках используемых файлов, что по-прежнему запрещено. После завершения сеанса изменения вызываются, и данные в файле становятся материалами, из которых сделаны журналы для рекламы / отслеживания, и целым рядом вещей, о которых сейчас говорят только «Гении» в Microsoft.

Приветствия.

Косые-Т
источник