File NTUSER.DAT dan UsrClass.dat bertambah ribuan, mengapa dan bisa saya hapus?

14

Saya telah memperhatikan bahwa server web saya, 2008 Xen VM, secara bertahap kehilangan ruang kosong - lebih dari yang saya kira dari penggunaan normal dan memutuskan untuk menyelidiki.

Ada dua bidang masalah:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

DAN

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Dari apa yang saya pahami ini adalah cadangan perubahan registri dalam waktu. Jika itu masalahnya saya tidak bisa mengerti mengapa akan ada 10.000 perubahan. (Jumlah file yang ada per lokasi folder, total lebih dari 20.000 folder).

File menggunakan hampir 15GB ruang dan saya ingin menyingkirkannya, saya hanya ingin tahu apakah saya bisa menghapusnya. Namun, saya perlu memahami mengapa mereka diciptakan sehingga saya dapat menghindari ini di masa depan.

Ada ide mengapa akan ada begitu banyak? Apakah ada cara saya dapat memeriksa untuk melihat apa yang membuat modifikasi?

  • Apakah mereka dibuat dengan upaya login?
  • Apakah mereka dibuat sehubungan dengan penggunaan Web Server setiap hari?
  • dll dan seterusnya
Anthony
sumber
1
Karena Anda tidak percaya ada begitu banyak perubahan, langkah pertama adalah menjalankan pemindaian antivirus dan anti-malware dan memeriksa log untuk aktivitas mencurigakan, seperti login yang seharusnya tidak terjadi.
John Gardeniers

Jawaban:

8

Mereka bukan cadangan perubahan registri, sebenarnya, perubahan apa yang ada di registri sebelum berubah menjadi registri. Jenis .tmpfile untuk perubahan registri, pada dasarnya.

Sebagai perlindungan terhadap kerusakan registri, yang dulunya merupakan masalah yang cukup umum, dan sangat buruk di Windows, apa yang dilakukan versi Windows yang lebih baru ketika perubahan ke registri diminta, adalah menulis perubahan yang diminta ke file sebelum melakukan apa pun. (Untuk perubahan dalam sarang pengguna, file-file itu dalam bentuk NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms, dan diberi nomor urut - kembali cukup jauh dan Anda akan melihat 00000000000000000001file.) Setelah Windows telah menentukan bahwa itu "aman" untuk menulis perubahan ke registri, itu melakukannya, dan setelah itu, itu akan memverifikasi bahwa perubahan telah dilakukan, pada saat itu akan menghapus file dan pindah ke tugas OS lainnya. Ketika sesuatu dalam proses ini gagal, Anda akhirnya mengumpulkan file-file ini.

Dan jelas, dalam kasus Anda, sesuatu, di suatu tempat dalam proses itu tidak berfungsi dengan baik. Saya berani bertaruh satu sen yang cukup bahwa jika Anda melihat melalui server Event LogsAnda akan melihat banyak ton kesalahan tentang ini, dalam bentuk peristiwa tentang registri terkunci, atau tidak dapat menulis perubahan ke registri. (Mungkin di sepanjang garis Unable to open registry for writingatau Failed to update system registry). Ini dapat menjadi indikasi masalah serius, atau mereka dapat menjadi indikasi bahwa beberapa program PITA ingin menulis perubahan ke registri setiap kali diluncurkan dan tidak memiliki izin.

Ada juga kemungkinan kecil bahwa perubahan sedang ditulis, tetapi file tidak dapat dihapus, seperti yang akan terjadi jika pegangan penguncian pada file tidak dihentikan dengan benar, atau jika SYSTEMmemiliki izin menulis, tetapi tidak memiliki izin hapus untuk lokasi folder tersebut.

Mungkin membantu dalam melacak sumber untuk melakukan jumlah md5 cepat (atau serupa) dari file-file ini untuk melihat apakah semuanya, atau sebagian besar identik (yang akan menunjukkan perubahan yang sama gagal menulis ke registri berulang-ulang), atau jika ada banyak variasi, yang lebih cenderung mengindikasikan masalah serius - bahwa registri tidak dapat ditulis oleh banyak proses, atau bahwa profil pengguna yang dimaksud rusak.

Setelah Anda selesai menganalisisnya, semua ini .blfatau .regtrans-msfile yang dibuat sebelum boot sistem terakhir dapat dihapus dengan aman. Tidak mungkin mereka akan (atau seharusnya) ditulis ke registri, jadi mereka sampah.

Mengenai apa, tepatnya menciptakan mereka, itu adalah sesuatu yang harus Anda lacak sendiri, karena bisa jadi apa saja. Mungkin ada sesuatu dalam kode web yang mencoba menulis perubahan registri setiap kali situs diakses, tetapi gagal karena kurangnya izin (saya pasti melihat hal-hal bodoh), mungkin saja mereka dihasilkan oleh login pengguna dan selanjutnya aktivitas yang mencoba menulis ke registri dan tidak memiliki izin, dan seperti yang dinyatakan sebelumnya, bahkan mungkin dibuat dan dieksekusi secara normal, tetapi tidak dapat dihapus sebagaimana dimaksud karena alasan tertentu.

Periksa semua log Anda, terutama log Anda Event Logsdan IIS untuk kesalahan terkait registri untuk mempersempitnya dan mencari tahu apa penyebabnya.

HopelessN00b
sumber
Saya pikir itu akan menjadi jarum di tumpukan jerami. Anda tentu memberi saya banyak hal untuk dilanjutkan. Ketika saya bisa duduk dan melacaknya, saya akan melakukannya tetapi untuk sekarang saya telah memilih untuk mengarsipkan dan menghapusnya; dari apa yang Anda katakan - saya tidak perlu mengarsipkan, cukup hapus saja? Saya punya perasaan itu bisa dalam menanggapi upaya masuk yang dilakukan melalui RDP. Masalahnya adalah saya tidak bisa mengunci akses ke IP statis. Saya telah mengaktifkan klien RDP aman hanya yang memperlambat upaya. Saya akan kembali ketika saya memiliki lebih banyak info karena dapat membantu orang lain jika saya menemukan penyebabnya.
Anthony
Ketegaran lain yang saya miliki adalah bahwa server web adalah templat pra-instal yang dibuat sebelumnya dari apa yang dibuat oleh penyedia - mereka dapat mengosongkannya bahkan sebelum saya memulainya dengan konfigurasi khusus. Siapa tahu. Ini bukan pertama kalinya saya mengalami masalah karena masalah teknologi yang tidak kompeten.
Anthony
1
@Anthony Ya, mengarsipkannya akan berguna untuk menganalisisnya, tetapi sungguh, tidak, Anda dapat menghapusnya dengan aman. Sebaiknya hapus saja sebelum reboot terakhir, atau bersihkan ulang OS dengan bersih, lalu hapus semuanya, kalau-kalau ada yang masih menunggu untuk ditulis. Mengenai upaya masuk melalui RDP ... Saya tidak akan berpikir begitu, karena Anda tidak boleh meminta registri menulis sampai Anda berhasil masuk ... sekali lagi, ini adalah kasus tepi yang cukup serius, jadi mungkin perlu dipertimbangkan bahwa perilaku ini mungkin berasal dari sesuatu yang sama sekali di luar sana juga.
HopelessN00b
Ini BUKAN file "pemulihan" atau "jurnal". Ini lebih merupakan isi dari transaksi registrasi aktif. Lihat misalnya books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

File-file ini dibuat ketika profil dibuat ulang atau diinisiasi. Mereka juga sumber masalah, karena mereka 'masuk' dalam arti bahwa mereka adalah penduduk dan dengan demikian menjadi fokus penyusup atau peretas jika Anda mau.

Mengikuti instruksi, RT-CLK My Computer, Properties, pilih 'Advanced System Settings' dan kemudian 'Settings' di bawah Profil Pengguna. Anda harus mengharapkan daftar semua PROFIL, yaitu, satu untuk setiap PENGGUNA.

Perlambatan selalu mengundang inspektur dan kadang-kadang, mereka mengabaikan sesuatu yang bisa jadi penting. Di satu mesin di sini, ada PROFIL bernama "DefaultProfile", yang tentu saja palsu dan telah dihapus. Di sisi lain, ada PROFIL bernama "Default Profile", yang juga palsu. Namun, yang terakhir ini tidak mudah dihilangkan.

Ini menunjukkan bahwa seseorang telah meretas dan membangun crescendo, yang pada mesin ketiga, menjadi PROFIL USER dengan 231GB (!!!), menjadikan boot sebagai pengalaman menunggu yang tak terhindarkan. Akhirnya, pengguna yang toleran menjadi kesal ketika sesuatu yang telah dilakukannya selama ini, tidak terjadi.

Semua Akun pengguna di mesin itu, termasuk Administrator, diubah menjadi HOME USER dan / atau GUEST. Cobalah untuk mendapatkan prompt perintah yang ditinggikan dari itu!

Jadi, jika Anda menghapus PROFIL PENGGUNA, dan kemudian login lagi, profil baru dibuat menggunakan DefaultProfile dan di Win10, ini terbukti dengan omong kosong 'Hai' yang membuatnya terlihat lebih baik daripada Windows Apapun selama bertahun-tahun. Jika Anda logon dan kemudian melihat ke dalam C: \ Users \ (apa pun) \ Appdata \ Local (untuk file tersembunyi) Anda akan melihat file REGTRANS-MS yang menyinggung, bernomor dan PANJANG NOL.

Mereka dipenuhi dengan perubahan, yang sering mengakibatkan tindakan yang diambil ke pengaturan pada file yang digunakan, yang masih tidak-tidak. Setelah sesi selesai, perubahan dipanggil dan data dalam file menjadi catatan barang yang dibuat untuk iklan / pelacakan dan banyak hal yang hanya diketahui oleh 'Genius' di Microsoft.

Bersulang.

Skew-T
sumber