Файлы NTUSER.DAT и UsrClass.dat накапливаются тысячами, почему и что я могу удалить?

Question

Файлы NTUSER.DAT и UsrClass.dat накапливаются тысячами, почему и что я могу удалить?

Я заметил, что мой веб-сервер, виртуальная машина Xen 2008 года, постепенно теряет свободное пространство - больше, чем я мог бы ожидать от обычного использования, и решил провести расследование.

Есть две проблемные области:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

А ТАКЖЕ

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Из того, что я понимаю, это своевременное резервное копирование изменений реестра. Если это так, я не могу понять, почему будет 10000+ изменений. (Это количество файлов на одну папку, всего более 20000 на папку.)

Файлы занимают почти 15 ГБ места, и я хочу избавиться от них, мне просто интересно, могу ли я удалить их. Однако мне нужно понять, почему они создаются, чтобы я мог избежать этого в будущем.

Есть идеи, почему их так много? Есть ли способ проверить, что делает модификации?

Они созданы с попытками входа?
Созданы ли они в связи с каждодневным использованием веб-сервера?
и тд и тп

14

windows-server-2008 windows-registry user-profile

Источник

Anthony 22 авг '12 в 20:03

2 ответа

Другие вопросы по тегам windows-server-2008 windows-registry user-profile

HopelessN00b 23 авг '12 в 23:04 2012-08-23 23:04 · Answer 1 · 2012-08-23 23:04

Они не являются резервными копиями изменений реестра, на самом деле это то, чем являются изменения в реестре до того, как они станут изменениями в реестре. Тип .tmp файл для изменений реестра, по сути.

В качестве защиты от повреждения реестра, которая раньше была довольно распространенной и очень неприятной проблемой в Windows, новые версии Windows делают, когда запрашивается изменение в реестре, - записывают запрошенное изменение в файл, прежде чем что-либо делать. (Для изменений в кусте пользователя эти файлы имеют вид NTUSER.DAT{GUID}.TMContainer####################.regtrans-msи пронумерованы последовательно - вернитесь достаточно далеко, и вы должны увидеть 00000000000000000001 файл.) Как только Windows определила, что запись изменений в реестр "безопасна", она делает это, и после этого она проверит, что изменение было внесено, и в этот момент она удалит файл и перейдет к другому. Задачи ОС. Когда что-то в этом процессе дает сбой, вы в конечном итоге накапливаете эти файлы.

И ясно, что в вашем случае что-то где-то в этом процессе не работает должным образом. Я бы поспорил довольно копейки, что если вы посмотрели через сервер Event Logs вы увидите массу ошибок по этому поводу, в виде событий о блокировке реестра или невозможности записи изменений в реестр. (Возможно, в соответствии с Unable to open registry for writing или же Failed to update system registry). Это могут быть признаки серьезных проблем, или они могут быть признаками того, что некоторые программы PITA хотят вносить изменения в реестр при каждом запуске и не имеют разрешения.

Существует также менее вероятная вероятность того, что изменения будут записаны, но файлы не могут быть удалены, как это было бы, если бы дескриптор блокировки на файлах не был завершен должным образом, или если SYSTEM имеет разрешение на запись, но не имеет прав на удаление этих папок.

Это может помочь в отслеживании источника, чтобы сделать быструю сумму md5 (или аналогичную) этих файлов, чтобы увидеть, все ли они или почти одинаковые (что будет означать, что одно и то же изменение не может записываться в реестр снова и снова), или если есть много изменений, что, скорее всего, указывает на серьезную проблему - на то, что реестр не может быть записан многими процессами, или что профили пользователей повреждены.

Как только вы закончите анализировать их, любой из них .blf или же .regtrans-ms файлы, созданные до последней загрузки системы, можно безопасно удалить. Там нет никакого способа, которым они будут (или должны) быть записаны в реестр, поэтому они мусор.

Что касается того, что именно создает их, это то, что вы должны будете отследить сами, потому что это может быть что угодно. Возможно, что-то в веб-коде пытается записать изменение реестра каждый раз, когда к сайту обращаются, но происходит сбой из-за отсутствия разрешений (я, конечно, видел более тупые вещи), возможно, что они генерируются при входе пользователя в систему и последующем активность пытается записать в реестр и не имеет разрешений, и, как уже говорилось ранее, даже возможно, что они создаются и выполняются в обычном режиме, но по какой-то причине не могут быть удалены по назначению.

Проверьте все ваши журналы, особенно ваши Event Logs и IIS регистрирует ошибки, связанные с реестром, чтобы сузить его и выяснить, что является причиной этого.

Skew-T 06 июн '17 в 20:53 2017-06-06 20:53 · Answer 2 · 2017-06-06 20:53

Эти файлы создаются при воссоздании или запуске профиля. Они также являются источником неприятностей, потому что они "подписаны" в том смысле, что они являются резидентами и, таким образом, становятся объектом вмешательства или хакеров, если хотите.

Следуя инструкциям, RT-CLK "Мой компьютер", "Свойства", выберите "Дополнительные параметры системы", а затем "Настройки" в разделе "Профили пользователей". Вы должны ожидать список всех профилей, то есть один для каждого пользователя.

Замедление всегда приглашает инспекторов, а иногда они упускают из виду то, что может быть важным. На одной машине здесь был ПРОФИЛЬ с именем "DefaultProfile", который, конечно, является поддельным и был удален. С другой стороны, был ПРОФИЛЬ с именем "Профиль по умолчанию", который также является поддельным. Однако последнее не так легко удалить.

Это указывает на то, что кто-то взломал и готовится к крещендо, которое на третьей машине стало ПРОФИЛЕМ ПОЛЬЗОВАТЕЛЯ около 231 ГБ (!!!), что делает загрузку неумолимым процессом ожидания. В конце концов, толерантный пользователь стал раздражаться, когда чего-то, что он делал все время, не происходило.

Все учетные записи пользователей на этом компьютере, включая Администратора, были изменены на HOME USER и / или GUEST. Просто попробуйте получить командную строку с повышенными правами из этого!

Таким образом, если вы удалите ПРОФИЛЬ ПОЛЬЗОВАТЕЛЯ, а затем снова войдете в систему, новый профиль будет создан с использованием DefaultProfile и в Win10, это видно по "привету", который делает его лучше, чем Windows. Если вы войдете в систему, а затем загляните в C:\Users\ (что угодно)\Appdata\Local (для скрытых файлов), вы увидите поврежденные файлы REGTRANS-MS, пронумерованные и ZERO LENGTH.

Они заполнены изменениями, которые часто приводят к действиям в настройках используемых файлов, что по-прежнему запрещено. После завершения сеанса изменения вызываются, и данные в файле становятся материалами, из которых сделаны журналы для рекламы / отслеживания, и целым рядом вещей, о которых сейчас говорят только "Гении" в Microsoft.

Приветствия.