File NTUSER.DAT e UsrClass.dat accumulati a migliaia, perché e posso eliminare?

14

Ho notato che il mio server Web, Xen VM 2008, ha progressivamente perso spazio libero - più di quanto avrei pensato dall'uso normale e ho deciso di indagare.

Esistono due aree problematiche:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

E

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Da quanto ho capito, si tratta di backup in tempo delle modifiche al registro. In tal caso, non riesco a capire perché ci siano oltre 10000 modifiche. (Ecco quanti file ci sono per posizione della cartella, oltre 20.000 per cartella in totale.)

I file utilizzano quasi 15 GB di spazio e li voglio liberare, mi chiedo solo come posso rimuoverli. Tuttavia, devo capire perché sono stati creati in modo da poterlo evitare in futuro.

Qualche idea sul perché ce ne sarebbero così tanti? Esiste un modo per verificare cosa sta apportando le modifiche?

  • Vengono creati con tentativi di accesso?
  • Vengono creati in relazione all'utilizzo quotidiano del Web Server?
  • ecc. ecc
windows-server-2008  windows-registry  user-profile 
Anthony
fonte
1
Poiché non si ritiene che ci siano state così tante modifiche, il primo passo sarebbe quello di eseguire scansioni antivirus e antimalware e controllare i registri per attività sospette, come accessi che non avrebbero dovuto verificarsi.
John Gardeniers,

Risposte:

8

Non sono backup delle modifiche al registro, in realtà, sono le modifiche al registro prima che diventino modifiche al registro. Un tipo di .tmpfile per le modifiche al registro, in sostanza.

Come protezione dalla corruzione del registro, che era un problema abbastanza comune e molto brutto in Windows, ciò che fanno le versioni più recenti di Windows quando viene richiesta una modifica al registro, è scrivere la modifica richiesta in un file prima di fare qualsiasi cosa. (Per le modifiche nell'hive utente, questi file sono in forma di NTUSER.DAT{GUID}.TMContainer####################.regtrans-mse sono numerati in sequenza: tornare abbastanza lontano e dovresti vedere un 00000000000000000001file.) Una volta che Windows ha stabilito che è "sicuro" scrivere la modifica nel registro, lo fa e, successivamente, verificherà che la modifica sia stata apportata, a quel punto eliminerà il file e passerà ad altre attività del sistema operativo. Quando qualcosa in questo processo fallisce, si finisce per accumulare questi file.

E chiaramente, nel tuo caso, qualcosa, da qualche parte in quel processo non funziona correttamente. Scommetto un bel centesimo che se guardassi attraverso il server Event Logsvedrai un sacco di errori a riguardo, sotto forma di eventi sul blocco del registro o sull'incapacità di scrivere modifiche nel registro. (Probabilmente lungo le linee di Unable to open registry for writingo Failed to update system registry). Questi possono essere indicazioni di gravi problemi o possono indicare che alcuni programmi PITA vogliono scrivere una modifica nel registro ogni volta che viene avviato e non dispongono dell'autorizzazione.

Esiste anche la possibilità meno probabile che le modifiche vengano scritte, ma i file non possono essere eliminati, come accadrebbe se l'handle di blocco sui file non viene terminato correttamente o se SYSTEMdispone dell'autorizzazione di scrittura, ma non dispone delle autorizzazioni di eliminazione per quei percorsi delle cartelle.

Potrebbe essere utile rintracciare l'origine per fare una rapida somma md5 (o simile) di questi file per vedere se sono tutti, o per lo più identici (il che indicherebbe la stessa modifica che non riesce a scrivere più volte nel registro), o se ci sono molte variazioni, il che è più probabile che indichi un problema serio - che il registro non può essere scritto da molti processi o che i profili utente in questione sono corrotti.

Una volta terminato di analizzarli, è possibile eliminare in modo sicuro uno qualsiasi di questi .blfo .regtrans-msfile creati prima dell'ultimo avvio del sistema. Non è possibile che vengano (o dovrebbero) essere scritti nel registro, quindi sono spazzatura.

Per quanto riguarda ciò, precisamente li sta creando, è qualcosa che dovrai rintracciare te stesso, perché potrebbe essere quasi tutto. È possibile che qualcosa nel codice Web stia tentando di scrivere una modifica del registro ogni volta che si accede al sito, ma non riesce per mancanza di autorizzazioni (ho sicuramente visto cose più stupide), è possibile che siano generate dagli accessi degli utenti e successive attività che tenta di scrivere nel registro e prive di autorizzazioni e, come affermato in precedenza, è anche possibile che vengano create ed eseguite normalmente, ma non possano essere eliminate come previsto per qualche motivo.

Controlla tutti i tuoi registri, in particolare i tuoi Event Logsregistri e IIS per errori relativi al registro per restringerlo e capire cosa sta causando questo.

HopelessN00b
fonte
Ho pensato che sarebbe stato un ago nel pagliaio Jobby. Mi hai sicuramente dato molto da fare. Quando posso sedermi e rintracciarlo lo farò, ma per ora ho scelto di archiviarli ed eliminarli; da quello che stai dicendo però: non ho bisogno di archiviarli, basta cancellarli? Ho la sensazione che potrebbe essere in risposta ai tentativi di accesso effettuati su PSR. Il problema è che non riesco a bloccare l'accesso fino a un IP statico. Ho abilitato client RDP sicuri solo se ciò ha rallentato i tentativi. Tornerò quando avrò più informazioni in quanto potrebbe aiutare qualcun altro a trovare la causa.
Anthony,
L'altro nodo che ho è che il web server era un modello pre-creato e pre-installato di ciò che i provider creavano: potevano rovinarlo prima ancora che lo avessi avviato con la configurazione personalizzata. Chissà. Non sarebbe la prima volta che riscontro un problema che si è generato a causa di tecnici incompetenti.
Anthony,
1
@Anthony Beh, archiviarli sarebbe utile per analizzarli, ma davvero, no, puoi tranquillamente eliminarli. Potrebbe essere saggio eliminare solo quelli prima dell'ultimo riavvio o riavviare il sistema operativo in modo pulito, quindi eliminarli tutti, nel caso in cui alcuni siano ancora in attesa di essere scritti. Per quanto riguarda i tentativi di accesso su RDP ... Non credo, dato che non dovresti richiedere alcuna scrittura del registro fino a quando non accedi con successo ... poi di nuovo, questo è un caso abbastanza grave, quindi forse vale la pena considerare che questo comportamento potrebbe provenire anche da qualcosa di totalmente là fuori.
HopelessN00b,
Questi NON sono file di "recupero" o "journal". Questi sono piuttosto contenuti di transazioni di registro attive. Vedi ad esempio books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Questi file vengono creati quando viene ricreato o avviato un profilo. Sono anche fonte di problemi, perché sono "firmati" nel senso che sono residenti e quindi diventano al centro di intrusi o hacker, se lo desideri.

Seguendo le istruzioni, RT-CLK Risorse del computer, Proprietà, selezionare "Impostazioni di sistema avanzate" e quindi "Impostazioni" in Profili utente. Dovresti aspettarti un elenco di tutti i PROFILI, ovvero uno per ciascun UTENTE.

I rallentamenti invitano sempre gli ispettori e, a volte, trascurano qualcosa che potrebbe essere importante. Su una macchina qui, c'era un PROFILO chiamato "DefaultProfile", che ovviamente è falso ed è stato eliminato. Su un altro, c'era un PROFILO chiamato "Profilo predefinito", che è anche falso. Tuttavia, quest'ultimo non può essere rimosso facilmente.

Ciò indica che qualcuno ha violato e sta sviluppando un crescendo, che su una terza macchina, è diventato un PROFILO UTENTE di circa 231 GB (!!!), rendendo l'avvio inesorabile esperienza di attesa. Alla fine, l'utente tollerante si infastidì quando qualcosa che aveva sempre fatto, non stava accadendo.

Tutti gli account utente su quella macchina, incluso l'amministratore, sono stati cambiati in HOME USER e / o GUEST. Basta provare a ottenere un prompt dei comandi elevato da quello!

Quindi, se si elimina un PROFILO UTENTE e quindi si accede nuovamente, viene creato un nuovo profilo utilizzando DefaultProfile e in Win10, questo è evidente dal "ciao" baloney che lo rende migliore di Windows qualunque nel corso degli anni. Se dovessi accedere e quindi cercare in C: \ Users \ (qualunque cosa) \ Appdata \ Local (per i file nascosti) vedrai i file REGTRANS-MS offensivi, numerati e LUNGHEZZA ZERO.

Sono pieni di modifiche, che spesso si traducono in azioni intraprese sulle impostazioni sui file in uso, che è ancora un no-no. Una volta completata la sessione, le modifiche vengono invocate e i dati nel file diventano i registri delle cose di cui sono fatti i registri per la pubblicità / il monitoraggio e tutta una serie di cose di cui solo i "Genio" di Microsoft adesso.

Saluti.

Skew-T
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.