Файли NTUSER.DAT і UsrClass.dat збираються тисячами, чому я можу видалити?

14

Я помітив, що мій веб-сервер, 2008 Xen VM, поступово втрачає вільний простір - більше, ніж я хотів би від звичайного використання, і вирішив дослідити.

Є дві проблемні області:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

І

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Як я розумію, це своєчасні резервні копії змін у реєстрі. Якщо це так, я не можу зрозуміти, чому буде 10000+ змін. (Ось скільки файлів у кожному папці, понад 20 000 на папку.)

У файлах використовується майже 15 Гб місця, і я хочу їх позбутися, мені просто цікаво, чи можна їх видалити. Однак мені потрібно зрозуміти, чому вони створюються, щоб уникнути цього в майбутньому.

Будь-які ідеї, чому їх було б так багато? Чи є спосіб я перевірити, щоб побачити, що вносить зміни?

  • Чи створені вони з спробами входу?
  • Чи створені вони стосовно щоденного використання веб-сервера?
  • тощо
windows-server-2008  windows-registry  user-profile 
Ентоні
джерело
1
Оскільки ви не вірите, що відбулося так багато змін, першим кроком було б запустити антивірусні та антивірусні скани і перевірити журнали на наявність підозрілих дій, наприклад, логотипів, які не повинні відбуватися.
Джон Гарденєр

Відповіді:

8

Насправді вони не створюють резервні копії змін у реєстрі, вони є змінами в реєстрі до того, як вони стануть змінами в реєстрі. Тип .tmpфайлу для зміни реєстру, по суті.

Як захист від пошкодження реєстру, яка раніше була досить поширеною і дуже неприємною проблемою в Windows, новіші версії Windows роблять, коли потрібна зміна реєстру, - це запитувати зміни у файл, перш ніж робити що-небудь. (Для змін у вулику користувача ці файли мають форму NTUSER.DAT{GUID}.TMContainer####################.regtrans-msта нумеруються послідовно - поверніться досить далеко, і вам слід побачити 00000000000000000001файл.) Після того, як Windows визначила, що "безпечно" написати зміни в реєстр, вона робить це, і, слідуючи за цим, потім перевірить, чи були внесені зміни, і тоді він видалить файл і перейде до інших завдань ОС. Якщо щось у цьому процесі не вдається, ви накопичуєте ці файли.

І зрозуміло, у вашому випадку щось, десь у цьому процесі працює неналежним чином. Я б покладав гроші, що якщо ви переглянете сервер, Event Logsви побачите про це цілу кількість помилок у вигляді подій щодо блокування реєстру або неможливості внесення змін до реєстру. (Мабуть, по лінії Unable to open registry for writingабо Failed to update system registry). Це можуть бути вказівками на серйозні проблеми, або вони можуть бути ознаками того, що деякі програми PITA хочуть писати зміни до реєстру кожного разу, коли він запускається і не має дозволу.

Існує також менша ймовірність того, що зміни записуються, але файли неможливо видалити, як це могло б статися, якщо ручка блокування файлів не закінчується належним чином, або якщо SYSTEMдозвіл на запис, але не має дозволу на видалення місця розташування цих папок.

Це може допомогти відстежувати джерело, щоб зробити швидку суму md5 (або подібну) цих файлів, щоб побачити, чи вони всі, або здебільшого однакові (що вказувало б на те, що однакові зміни не вдалося записати в реєстр знову і знову), або якщо існує велика кількість варіацій, що скоріше вказує на серйозну проблему - те, що реєстр не може бути записаний багатьма процесами, або що ці користувацькі профілі є пошкодженими.

Після того, як ви закінчите їх аналіз, будь-який із цих файлів .blfабо .regtrans-msфайлів, створених до останнього завантаження системи, можна буде безпечно видалити. Вони не можуть (або повинні) записуватись до реєстру, тому вони стають непотрібними.

Щодо того, що саме їх створює, то вам доведеться самостійно відстежувати, адже це може бути майже все. Можливо, що щось у веб-коді намагається написати зміну реєстру щоразу, коли доступ до сайту, але не вдається через відсутність дозволів (я, звичайно, бачив більш тонкі речі), можливо, вони генеруються за допомогою логотипів користувачів та наступних діяльність, яка намагається записати в реєстр і не має дозволів, і, як було сказано раніше, навіть можливо, що вони створюються та виконуються нормально, але їх неможливо видалити за призначенням.

Перевірте всі ваші журнали, зокрема ваш Event Logsі IIS-журнали, на наявність реєстрів, пов'язаних з помилками, щоб звузити його та з’ясувати, що викликає це.

БезнадійноN00b
джерело
Я начебто подумав, що це буде голка в сінозаводі. Ви, безумовно, дали мені багато чого продовжувати. Коли я можу сісти і відстежувати це, я зроблю це, але поки що я вирішив архівувати та видаляти їх; з того, що ви говорите, хоча - мені не потрібно архівувати, просто видалити їх? У мене є відчуття, що це може бути у відповідь на спроби входу, зроблені через RDP. Проблема в тому, що я не можу заблокувати доступ до статичного IP-адреси. Я ввімкнув захищених клієнтів RDP, хоча це спроби сповільнити. Я повернуся, коли отримаю більше інформації, оскільки це може допомогти іншому, якщо я знайду причину.
Ентоні
Інший виклик, який я маю, - це те, що веб-сервер був заздалегідь зробленим, заздалегідь встановленим шаблоном того, що створили провайдери - вони могли його вимкнути, перш ніж я навіть запустив його на налаштування. Хто знає. Це було б не вперше, коли я зіткнувся з проблемою, яка відрослася через некомпетентні технології.
Ентоні
1
@Anthony Ну, архівування їх було б корисно для їх аналізу, але насправді ні, ви можете їх безпечно видалити. Може бути розумним видалити лише ті, які були до останньої перезавантаження або чисто перезавантажити ОС, а потім видалити їх усі, якщо деякі ще не очікуються на запис. Що стосується спроб входу через RDP ... Я б не вважав, що так, як вам не слід спонукати жодного запису до реєстру, поки ви успішно не ввійдете в систему ... то знову ж таки, це досить серйозний крайній випадок, тому, можливо, варто задуматися що така поведінка може бути випливає і з чогось там, що зовсім там.
HopelessN00b
Це НЕ файли "відновлення" або "журнал". Це скоріше зміст активних транзакцій реєстру. Перегляньте, наприклад, books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Ці файли створюються, коли профіль відтворюється або ініціюється. Вони також є джерелом неприємностей, оскільки вони "підписуються" в тому сенсі, що вони є резидентом, і, таким чином, стають центром уваги зловмисників або хакерів, якщо вам це подобається.

Дотримуючись інструкцій, RT-CLK Мій комп'ютер, Властивості, виберіть "Розширені налаштування системи", а потім "Налаштування" в розділі Профілі користувачів. Вам слід очікувати переліку всіх ПРОФІЛЬ, тобто по одному для кожного ПОТРІБНИКА.

Повільні падіння завжди запрошують інспекторів, а часом вони ігнорують щось, що може бути важливим. На одній машині тут був ПРОФІЛ з назвою "DefaultProfile", який, звичайно, є хибним і був видалений. З іншого боку, був ПРОФІЛ з назвою "Профіль за замовчуванням", який також є хибним. Однак останнє не легко видалити.

Це вказує на те, що хтось увірвався і створює кресендо, який на третьому апараті став ПРОФІЛЮВАННЯМИ КІЛЬКІВ близько 231 ГБ (!!!), що робить завантаження невблаганним досвідом очікування. Врешті-решт, толерантному користувачеві стало роздратовано, коли щось, що він робив весь час, не відбувалося.

Усі облікові записи користувачів на цьому пристрої, включаючи адміністратора, були змінені на ДОМАШНЯ КОРИСТУВАЧУ та / або ГОСТ. Просто спробуйте отримати підвищений командний рядок від цього!

Отже, якщо ви видалите ПРОФІЛЬ КОРИСТУВАЧА, а потім увійдете заново, новий профіль будується за допомогою DefaultProfile і в Win10, це видно з балончика "Привіт", який дозволяє виглядати краще, ніж Windows Що б не робили. Якщо ви ввійшли в систему, а потім подивіться на C: \ Users \ (що завгодно) \ Appdata \ Local (для прихованих файлів), ви побачите файли REGTRANS-MS, які мають правопорушення, пронумеровані та ZERO LENGTH.

Вони заповнені змінами, які часто призводять до дій, зроблених до налаштувань файлів, які використовуються, що все ще є ні-ні. Після завершення сеансу зміни викликаються, і дані у файлі стають журналами матеріалів для реклами / відстеження та цілого ряду речей, про які зараз говорять лише "Генії" в Microsoft.

Ура.

Skew-T
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.