Các tệp NTUSER.DAT và UsrClass.dat được xây dựng bởi hàng ngàn, tại sao và tôi có thể xóa?


14

Tôi đã nhận thấy rằng máy chủ web của tôi, Xen VM 2008, dần dần mất dung lượng trống - nhiều hơn so với tôi sử dụng thông thường và quyết định điều tra.

Có hai lĩnh vực vấn đề:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Từ những gì tôi hiểu đây là những bản sao lưu kịp thời của những thay đổi đăng ký. Nếu đó là trường hợp tôi không thể hiểu tại sao sẽ có hơn 10000 thay đổi. (Đó là tổng số tệp có trên mỗi vị trí thư mục, tổng cộng hơn 20.000 tệp.)

Các tệp đang sử dụng gần 15 GB dung lượng và tôi muốn loại bỏ chúng, tôi chỉ tự hỏi liệu tôi có thể xóa chúng không. Tuy nhiên, tôi cần hiểu lý do tại sao chúng được tạo ra để tôi có thể tránh điều này trong tương lai.

Bất cứ ý tưởng tại sao sẽ có rất nhiều? Có cách nào tôi có thể kiểm tra để xem những gì đang thực hiện các sửa đổi?

  • Chúng được tạo ra với các nỗ lực đăng nhập?
  • Chúng có được tạo liên quan đến việc sử dụng Máy chủ Web hàng ngày không?
  • v.v.

1
Bởi vì bạn không tin rằng đã có quá nhiều thay đổi, bước đầu tiên sẽ là chạy phần mềm chống vi-rút và chống phần mềm độc hại để kiểm tra nhật ký cho hoạt động đáng ngờ, chẳng hạn như đăng nhập không nên xảy ra.
John Gardeniers

Câu trả lời:


8

Thực tế, chúng không phải là bản sao lưu của các thay đổi sổ đăng ký, thực ra, chúng là những thay đổi đối với sổ đăng ký trước khi chúng trở thành thay đổi đối với sổ đăng ký. Một loại .tmptập tin để thay đổi đăng ký, về bản chất.

Để bảo vệ chống tham nhũng đăng ký, vốn là một vấn đề khá phổ biến và rất khó chịu trong Windows, những phiên bản Windows mới hơn sẽ làm gì khi yêu cầu thay đổi sổ đăng ký, hãy ghi thay đổi được yêu cầu vào một tệp trước khi thực hiện bất kỳ điều gì. (Đối với các thay đổi trong tổ hợp người dùng, các tệp đó ở dạng NTUSER.DAT{GUID}.TMContainer####################.regtrans-msvà được đánh số tuần tự - quay lại đủ xa và bạn sẽ thấy một 00000000000000000001tệp.) Một khi Windows đã xác định rằng "an toàn" để ghi thay đổi vào sổ đăng ký, nó làm như vậy và sau đó, nó sẽ xác minh rằng thay đổi đã được thực hiện, tại thời điểm đó nó sẽ xóa tệp và chuyển sang các tác vụ khác của HĐH. Khi một cái gì đó trong quá trình này không thành công, bạn sẽ tích lũy các tệp này.

Và rõ ràng, trong trường hợp của bạn, một cái gì đó, ở đâu đó trong quá trình đó không hoạt động đúng. Tôi đã đặt cược một xu khá lớn rằng nếu bạn xem qua máy chủ, Event Logsbạn sẽ thấy cả tấn lỗi về điều này, dưới dạng các sự kiện về việc đăng ký bị khóa hoặc không thể ghi các thay đổi vào sổ đăng ký. (Có lẽ dọc theo dòng Unable to open registry for writinghoặc Failed to update system registry). Đây có thể là dấu hiệu của các vấn đề nghiêm trọng hoặc chúng có thể là dấu hiệu cho thấy một số chương trình PITA muốn viết thay đổi cho cơ quan đăng ký mỗi khi nó khởi chạy và không được phép.

Cũng có khả năng ít có khả năng thay đổi được ghi, nhưng các tệp không thể bị xóa, như sẽ xảy ra nếu khóa xử lý trên các tệp không được chấm dứt đúng cách hoặc nếu SYSTEMcó quyền ghi, nhưng thiếu quyền xóa những vị trí thư mục.

Có thể giúp theo dõi nguồn để thực hiện nhanh chóng tổng số md5 (hoặc tương tự) của các tệp này để xem liệu chúng có phải là tất cả hay không, giống hệt nhau (điều này cho thấy sự thay đổi tương tự không ghi vào sổ đăng ký nhiều lần), hoặc nếu có nhiều biến thể, có nhiều khả năng chỉ ra một vấn đề nghiêm trọng - rằng sổ đăng ký không thể được viết bởi nhiều quy trình, hoặc hồ sơ người dùng trong câu hỏi bị hỏng.

Khi bạn hoàn thành phân tích chúng, bất kỳ tệp nào trong số này .blfhoặc .regtrans-mstệp được tạo trước lần khởi động hệ thống cuối cùng đều có thể bị xóa một cách an toàn. Không có cách nào họ sẽ (hoặc nên) được ghi vào sổ đăng ký, vì vậy chúng là rác.

Đối với những gì, chính xác là tạo ra chúng, đó là thứ bạn sẽ phải tự mình theo dõi, bởi vì nó có thể là hầu hết mọi thứ. Có thể có điều gì đó trong mã web đang cố gắng viết thay đổi sổ đăng ký mỗi khi trang web được truy cập, nhưng không có quyền (tôi chắc chắn đã nhìn thấy những thứ ngu ngốc), có thể chúng được tạo bởi đăng nhập của người dùng và sau đó hoạt động cố gắng ghi vào sổ đăng ký và thiếu quyền, và như đã nêu trước đó, thậm chí có khả năng chúng được tạo và thực thi bình thường, nhưng không thể bị xóa như dự định vì một số lý do.

Kiểm tra tất cả các nhật ký của bạn, đặc biệt là Event Logsnhật ký IIS và các lỗi liên quan đến đăng ký để thu hẹp nó và tìm ra nguyên nhân gây ra điều này.


Tôi hình dung nó sẽ là một cây kim trong công việc haystack. Bạn chắc chắn đã cho tôi rất nhiều để tiếp tục. Khi tôi có thể ngồi xuống và theo dõi nó, tôi sẽ làm như vậy nhưng bây giờ tôi đã chọn lưu trữ và xóa chúng; từ những gì bạn đang nói - tôi không cần lưu trữ, chỉ cần xóa chúng? Tôi có cảm giác nó có thể đáp ứng với những nỗ lực đăng nhập được thực hiện qua RDP. Vấn đề là tôi không thể khóa truy cập vào một IP tĩnh. Tôi đã kích hoạt các máy khách RDP an toàn mặc dù điều này đã làm chậm các nỗ lực. Tôi sẽ hoàn nguyên khi tôi có thêm thông tin vì nó có thể giúp đỡ người khác nếu tôi tìm ra nguyên nhân.
Anthony

Một điều khó khăn khác mà tôi có là máy chủ web là một mẫu được cài đặt sẵn, được cài đặt sẵn về những gì các nhà cung cấp đã tạo - họ có thể làm hỏng nó trước khi tôi bắt đầu cấu hình tùy chỉnh. Ai biết. Đây không phải là lần đầu tiên tôi gặp phải một vấn đề do chính công nghệ không đủ năng lực.
Anthony

1
@Anthony Vâng, lưu trữ chúng sẽ hữu ích cho việc phân tích chúng, nhưng thực sự, không, bạn có thể xóa chúng một cách an toàn. Có thể là khôn ngoan khi chỉ xóa những cái trước lần khởi động lại cuối cùng, hoặc khởi động lại sạch hệ điều hành, sau đó xóa tất cả chúng, trong trường hợp một số vẫn đang chờ xử lý để viết. Khi đăng nhập cố gắng qua RDP ... Tôi không nghĩ vậy, vì bạn không nên nhắc bất kỳ đăng ký nào viết cho đến khi bạn đăng nhập thành công ... sau đó, đây là một trường hợp cạnh khá nghiêm trọng, vì vậy có lẽ nó đáng để xem xét rằng hành vi này có thể là từ một cái gì đó hoàn toàn ngoài đó là tốt.
HoplessN00b

Đây không phải là tập tin "phục hồi" hoặc "tạp chí". Đây là nội dung khá của các giao dịch đăng ký hoạt động. Xem ví dụ books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev

-1

Những tập tin này được tạo khi một hồ sơ được tạo lại hoặc bắt đầu. Chúng cũng là nguồn gây rắc rối, bởi vì chúng được 'ký' theo nghĩa là chúng là cư dân và do đó trở thành tâm điểm của những kẻ xâm nhập hoặc tin tặc nếu bạn muốn.

Làm theo hướng dẫn, RT-CLK Máy tính của tôi, Thuộc tính, chọn Settings Cài đặt hệ thống nâng cao 'và sau đó' Cài đặt 'trong Cấu hình người dùng. Bạn nên mong đợi một danh sách tất cả HỒ SƠ, nghĩa là một danh sách cho mỗi NGƯỜI DÙNG.

Chậm lại luôn mời các thanh tra viên và đôi khi, họ bỏ qua một cái gì đó có thể quan trọng. Trên một máy ở đây, có một HỒ SƠ có tên "DefaultProfile", tất nhiên là không có thật và đã bị xóa. Mặt khác, có một HỒ SƠ tên là "Hồ sơ mặc định", cũng là không có thật. Tuy nhiên, sau này không dễ dàng loại bỏ.

Điều này cho thấy rằng ai đó đã xâm nhập và đang xây dựng một bản nâng cấp, mà trên máy thứ ba, đã trở thành HỒ SƠ NGƯỜI DÙNG khoảng 230 GB (!!!), khiến việc khởi động trở thành một trải nghiệm chờ đợi không thể bỏ qua. Cuối cùng, người dùng khoan dung trở nên khó chịu khi điều gì đó anh ta đã làm tất cả cùng xảy ra.

Tất cả Tài khoản người dùng trên máy đó, bao gồm Quản trị viên, đã được đổi thành HOME USER và / hoặc GUEST. Chỉ cần cố gắng để có được một dấu nhắc lệnh nâng cao từ đó!

Vì vậy, nếu bạn xóa HỒ SƠ NGƯỜI DÙNG, sau đó đăng nhập lại, một cấu hình mới được xây dựng bằng DefaultProfile và trong Win10, điều này thể hiện rõ qua baloney 'Hi' giúp nó trông đẹp hơn Windows dù trong nhiều năm qua. Nếu bạn đã đăng nhập và sau đó xem xét C: \ Users \ (sao cũng được) \ Appdata \ Local (đối với các tệp bị ẩn), bạn sẽ thấy các tệp REGTRANS-MS vi phạm, được đánh số và ZERO LENGTH.

Chúng chứa đầy những thay đổi, thường dẫn đến các hành động được thực hiện đối với cài đặt trên các tệp đang sử dụng, điều này vẫn là không. Sau khi phiên hoàn tất, các thay đổi sẽ được gọi và dữ liệu trong tệp sẽ trở thành nhật ký nội dung được tạo cho quảng cáo / theo dõi và toàn bộ những thứ mà chỉ có 'Thiên tài' tại Microsoft hiện nay.

Chúc mừng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.