Binlerce NTUSER.DAT ve UsrClass.dat dosyalarını oluşturuyor, neden ve silebilirim?


14

Web sunucumun 2008 Xen VM'nin yavaş yavaş boş alan kaybettiğini fark ettim - normal kullanımdan daha fazla ve araştırmaya karar verdim.

İki sorun alanı vardır:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

VE

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Anladığım kadarıyla bunlar kayıt defteri değişikliklerinin zamanında yedeklemeleridir. Bu durumda neden 10000'den fazla değişiklik olacağını anlayamıyorum. (Klasör konumu başına toplamda 20.000'den fazla dosya var.)

Dosyalar neredeyse 15GB alan kullanıyor ve onlardan kurtulmak istiyorum, sadece onları kaldırabilir miyim merak ediyorum. Ancak, neden yaratıldıklarını anlamalıyım ki gelecekte bundan kaçınabiliyorum.

Neden bu kadar çok olacağına dair bir fikrin var mı? Değişikliklerin ne yaptığını görmek için kontrol edebileceğim bir yol var mı?

  • Giriş denemeleriyle mi oluşturulmuşlar?
  • Her gün Web Sunucusu kullanımına göre mi oluşturuluyorlar?
  • vb.

1
Çok fazla değişiklik olduğuna inanmadığınız için ilk adım antivirüs ve kötü amaçlı yazılımdan koruma taramaları yapmaktır.
John Gardeniers

Yanıtlar:


8

Bunlar kayıt defteri değişikliklerinin yedekleri değildir, aslında kayıt defterinde değişiklik yapmadan önce kayıt defterinde yapılan değişikliklerdir. .tmpÖzünde, kayıt defteri değişiklikleri için bir dosya türü .

Windows'da oldukça yaygın ve çok kötü bir sorun olan kayıt defteri bozulmasına karşı bir koruma olarak, kayıt defterinde bir değişiklik istendiğinde Windows'un daha yeni sürümlerinin yaptığı şey, herhangi bir şey yapmadan önce istenen değişikliği bir dosyaya yazmaktır. (Kullanıcı kovanındaki değişiklikler için, bu dosyalar biçimindedir NTUSER.DAT{GUID}.TMContainer####################.regtrans-msve sıralı olarak numaralandırılmıştır - yeterince geriye gidin ve bir 00000000000000000001dosya görmelisiniz .) Windows, değişikliği kayıt defterine yazmanın "güvenli" olduğunu belirledikten sonra, bunu yapar ve bunu takiben, değişikliğin yapıldığını doğrular; bu sırada dosyayı siler ve diğer işletim sistemi görevlerine geçer. Bu işlemde bir şey başarısız olduğunda, sonunda bu dosyaları biriktirirsiniz.

Ve açıkça, sizin durumunuzda, bu sürecin bir yerinde bir şey düzgün çalışmıyor. Eğer sunucu üzerinden baktı Event Logs, bu kayıt defteri kilitli olaylar veya kayıt defterine değişiklikler yazamıyorum olayları şeklinde, bu konuda bir sürü hata göreceksiniz oldukça kuruş bahis . (Muhtemelen Unable to open registry for writingveya satırları boyunca Failed to update system registry). Bunlar ciddi sorunların göstergesi olabilir veya bazı PITA programlarının her başlatıldığında ve izinleri olmadığında kayıt defterinde bir değişiklik yazmak istediğinin göstergesi olabilir.

Değişikliklerin yazılma olasılığı daha azdır, ancak dosyalar üzerindeki kilitleme tutamacı düzgün şekilde sonlandırılmamışsa veya SYSTEMyazma iznine sahip değilse olduğu gibi dosyalar silinemez. bu klasör konumları.

Tümünün veya çoğunlukla aynı olup olmadığını görmek için bu dosyaların hızlı bir md5 toplamı (veya benzeri) yapmak için kaynağı izlemenize yardımcı olabilir (bu, aynı değişikliğin kayıt defterine tekrar tekrar yazılmadığını gösterir), veya ciddi bir sorunu gösterme olasılığı daha yüksek olan çok sayıda varyasyon varsa - kayıt defterinin çok fazla işlem tarafından yazılamaması veya söz konusu kullanıcı profillerinin bozuk olması.

Bunları analiz etmeyi bitirdikten sonra , son sistem önyüklemesinden önce oluşturulan tüm dosyalar .blfveya .regtrans-msdosyalar güvenle silinebilir. Kayıt defterine yazılmalarının (veya yazılmalarının) hiçbir yolu yoktur, bu yüzden önemsizdirler.

Tam olarak onları yaratıyorsa, bu kendinizi izlemeniz gereken bir şeydir, çünkü neredeyse her şey olabilir. Web kodundaki bir şey, siteye her erişildiğinde bir kayıt defteri değişikliği yazmaya çalışıyor, ancak izin eksikliği nedeniyle başarısız oluyor (kesinlikle daha az şey gördüm), kullanıcı oturum açma işlemleri ve daha sonra oluşturulmuş olmaları mümkündür. kayıt defterine yazmaya çalışan ve izinlerden yoksun ve daha önce de belirtildiği gibi, normal olarak oluşturulup yürütüldükleri, ancak herhangi bir nedenle amaçlandığı gibi silinemedikleri bile olabilir.

Tüm günlüklerinizi, özellikle de sizin Event Logsve IIS günlüklerinizi, kayıt defterini daraltmak için denetleyin ve buna neyin sebep olduğunu bulun .


Samanlık işinde bir iğne olacağını düşündüm. Bana kesinlikle devam etmem için çok şey verdin. Oturup izleyebildiğimde bunu yapacağım ama şimdilik onları arşivlemeyi ve silmeyi seçtim; Söylediklerinizden - Arşivlememe gerek yok, sadece silmek ister misiniz? RDP üzerinden yapılan oturum açma girişimlerine yanıt verebileceğini hissediyorum. Sorun, statik bir IP'ye erişimi kilitleyemem. Güvenli RDP istemcilerini yalnızca denemeleri yavaşlatmış olsa da etkinleştirdim. Sebebini bulursam başka birine yardımcı olabileceğinden daha fazla bilgi aldığımda geri döneceğim.
Anthony

Sahip olduğum diğer ilginçlik, web sunucusunun, sağlayıcıların oluşturduğu şeylerin önceden yapılmış, önceden yüklenmiş bir şablonu olmasıydı - özel yapılandırmaya bile başlamadan önce bunu mucked edebilirler. Kim bilir. Yeterli olmayan teknikler nedeniyle kendisini yeniden çeken bir sorunla ilk kez karşılaşmam.
Anthony

1
@Anthony Bunları arşivlemek onları analiz etmek için yararlı olacaktır, ama gerçekten hayır, onları güvenle silebilirsiniz. Bazılarının hala yazılmayı bekleyen durumda olması durumunda, yalnızca son yeniden başlatmadan önce olanları silmek veya işletim sistemini temiz bir şekilde yeniden başlatmak ve sonra hepsini silmek akıllıca olabilir. RDP üzerinde oturum açma denemelerine gelince ... Ben başarılı bir şekilde giriş yapana kadar herhangi bir kayıt defteri yazmasını istememelisiniz gibi düşünmüyorum ... o zaman, bu oldukça ciddi bir kenar durum, bu yüzden belki de dikkate değer bu davranışın tamamen dışarıdan bir şeyden gelmesi olabilir.
HopelessN00b

Bunlar "kurtarma" veya "günlük" dosyaları DEĞİLDİR. Bunlar daha çok aktif kayıt defteri işlemlerinin içeriğidir. Örneğin bkz books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev

-1

Bu dosyalar bir profil yeniden oluşturulduğunda veya başlatıldığında oluşturulur. Bunlar aynı zamanda bir sorun kaynağıdır, çünkü ikamet ettikleri ve böylece isterseniz davetsiz misafirlerin veya bilgisayar korsanlarının odağı haline geldikleri için 'imzalanmıştır'.

RT-CLK Bilgisayarım, Özellikler bölümündeki talimatları izleyerek 'Gelişmiş Sistem Ayarları'nı ve ardından Kullanıcı Profilleri altında' Ayarlar'ı seçin. Tüm PROFİLLER, yani her KULLANICI için bir liste beklemelisiniz.

Yavaş yavaşlar her zaman müfettişleri davet eder ve bazen önemli olabilecek bir şeyi göz ardı ederler. Buradaki bir makinede elbette sahte olan ve silinen "DefaultProfile" adlı bir PROFİL vardı. Bir diğerinde "Varsayılan Profil" adında ve aynı zamanda sahte olan bir PROFİL vardı. Ancak, ikincisi kolayca çıkarılamaz.

Bu, birisinin saldırıya uğradığını ve üçüncü bir makinede yaklaşık 231GB'lık (2) KULLANICI PROFİLİ haline gelen ve önyüklemeyi olağanüstü bir bekleme deneyimi haline getiren bir kreşendo oluşturduğunu gösterir. Sonunda, hoşgörülü kullanıcı, başından beri yaptığı bir şey gerçekleşmediğinde rahatsız oldu.

Yönetici dahil, o makinedeki tüm kullanıcı Hesapları HOME USER ve / veya GUEST olarak değiştirildi. Bundan yükseltilmiş bir komut istemi almaya çalışın!

Bu nedenle, bir KULLANICI PROFİLİ'ni silip yeniden giriş yaparsanız, DefaultProfile ve Win10'da yeni bir profil oluşturulur, bu, yıllar boyunca Windows'tan daha iyi görünmesini sağlayan 'Merhaba' baloney tarafından açıkça görülür. Oturum açıp C: \ Kullanıcılar \ (ne olursa olsun) \ Appdata \ Local (gizli dosyalar için) içine bakacak olursanız, sorunlu numaralı ve SIFIR UZUNLUĞU olan REGTRANS-MS dosyalarını görürsünüz.

Genellikle kullanımdaki dosyalarda ayarlara yapılan eylemlerle sonuçlanan ve hala hayır olan bir değişiklikle doludur. Oturum tamamlandıktan sonra, değişiklikler çağrılır ve dosyadaki veriler, reklam / izleme ve artık Microsoft'ta yalnızca 'Dahiler'in oluşturduğu bir sürü şey için günlüklerin yapıldığı şeyler haline gelir.

Şerefe.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.