Thực tế, chúng không phải là bản sao lưu của các thay đổi sổ đăng ký, thực ra, chúng là những thay đổi đối với sổ đăng ký trước khi chúng trở thành thay đổi đối với sổ đăng ký. Một loại .tmp
tập tin để thay đổi đăng ký, về bản chất.
Để bảo vệ chống tham nhũng đăng ký, vốn là một vấn đề khá phổ biến và rất khó chịu trong Windows, những phiên bản Windows mới hơn sẽ làm gì khi yêu cầu thay đổi sổ đăng ký, hãy ghi thay đổi được yêu cầu vào một tệp trước khi thực hiện bất kỳ điều gì. (Đối với các thay đổi trong tổ hợp người dùng, các tệp đó ở dạng NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms
và được đánh số tuần tự - quay lại đủ xa và bạn sẽ thấy một 00000000000000000001
tệp.) Một khi Windows đã xác định rằng "an toàn" để ghi thay đổi vào sổ đăng ký, nó làm như vậy và sau đó, nó sẽ xác minh rằng thay đổi đã được thực hiện, tại thời điểm đó nó sẽ xóa tệp và chuyển sang các tác vụ khác của HĐH. Khi một cái gì đó trong quá trình này không thành công, bạn sẽ tích lũy các tệp này.
Và rõ ràng, trong trường hợp của bạn, một cái gì đó, ở đâu đó trong quá trình đó không hoạt động đúng. Tôi đã đặt cược một xu khá lớn rằng nếu bạn xem qua máy chủ, Event Logs
bạn sẽ thấy cả tấn lỗi về điều này, dưới dạng các sự kiện về việc đăng ký bị khóa hoặc không thể ghi các thay đổi vào sổ đăng ký. (Có lẽ dọc theo dòng Unable to open registry for writing
hoặc Failed to update system registry
). Đây có thể là dấu hiệu của các vấn đề nghiêm trọng hoặc chúng có thể là dấu hiệu cho thấy một số chương trình PITA muốn viết thay đổi cho cơ quan đăng ký mỗi khi nó khởi chạy và không được phép.
Cũng có khả năng ít có khả năng thay đổi được ghi, nhưng các tệp không thể bị xóa, như sẽ xảy ra nếu khóa xử lý trên các tệp không được chấm dứt đúng cách hoặc nếu SYSTEM
có quyền ghi, nhưng thiếu quyền xóa những vị trí thư mục.
Có thể giúp theo dõi nguồn để thực hiện nhanh chóng tổng số md5 (hoặc tương tự) của các tệp này để xem liệu chúng có phải là tất cả hay không, giống hệt nhau (điều này cho thấy sự thay đổi tương tự không ghi vào sổ đăng ký nhiều lần), hoặc nếu có nhiều biến thể, có nhiều khả năng chỉ ra một vấn đề nghiêm trọng - rằng sổ đăng ký không thể được viết bởi nhiều quy trình, hoặc hồ sơ người dùng trong câu hỏi bị hỏng.
Khi bạn hoàn thành phân tích chúng, bất kỳ tệp nào trong số này .blf
hoặc .regtrans-ms
tệp được tạo trước lần khởi động hệ thống cuối cùng đều có thể bị xóa một cách an toàn. Không có cách nào họ sẽ (hoặc nên) được ghi vào sổ đăng ký, vì vậy chúng là rác.
Đối với những gì, chính xác là tạo ra chúng, đó là thứ bạn sẽ phải tự mình theo dõi, bởi vì nó có thể là hầu hết mọi thứ. Có thể có điều gì đó trong mã web đang cố gắng viết thay đổi sổ đăng ký mỗi khi trang web được truy cập, nhưng không có quyền (tôi chắc chắn đã nhìn thấy những thứ ngu ngốc), có thể chúng được tạo bởi đăng nhập của người dùng và sau đó hoạt động cố gắng ghi vào sổ đăng ký và thiếu quyền, và như đã nêu trước đó, thậm chí có khả năng chúng được tạo và thực thi bình thường, nhưng không thể bị xóa như dự định vì một số lý do.
Kiểm tra tất cả các nhật ký của bạn, đặc biệt là Event Logs
nhật ký IIS và các lỗi liên quan đến đăng ký để thu hẹp nó và tìm ra nguyên nhân gây ra điều này.