Arquivos NTUSER.DAT e UsrClass.dat acumulados aos milhares, por que e posso excluir?

14

Percebi que meu servidor Web, Xen VM 2008, gradualmente perdendo espaço livre - mais do que eu usaria normalmente e decidi investigar.

Existem duas áreas problemáticas:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

E

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Pelo que entendi, esses são backups em tempo hábil de alterações no registro. Se for esse o caso, não consigo entender por que haveria mais de 10000 alterações. (É quantos arquivos existem por local da pasta, mais de 20.000 por pasta no total.)

Os arquivos estão usando quase 15 GB de espaço e eu quero me livrar deles, estou me perguntando se posso removê-los. No entanto, preciso entender por que eles estão sendo criados para que eu possa evitar isso no futuro.

Alguma idéia de por que haveria tantas? Existe uma maneira de verificar o que está fazendo as modificações?

  • Eles são criados com tentativas de login?
  • Eles são criados em relação ao uso diário do servidor Web?
  • etc e assim por diante
Anthony
fonte
1
Como você não acredita que tenha havido tantas alterações, a primeira etapa seria executar verificações de antivírus e antimalware e verificar os logs em busca de atividades suspeitas, como logons que não deveriam ter ocorrido.
John Gardeniers 24/08/12

Respostas:

8

Eles não são backups de alterações no registro; na verdade, são o que são alterações no registro antes de se tornarem alterações no registro. Um tipo de .tmparquivo para alterações no registro, em essência.

Como uma proteção contra a corrupção do registro, que costumava ser um problema bastante comum e muito desagradável no Windows, o que as versões mais recentes do Windows fazem quando é solicitada uma alteração no registro é gravar a alteração solicitada em um arquivo antes de fazer qualquer coisa. (Para alterações na seção do usuário, esses arquivos têm a forma de NTUSER.DAT{GUID}.TMContainer####################.regtrans-mse são numerados sequencialmente - volte o suficiente e você deverá ver um 00000000000000000001arquivo.) Depois que o Windows determinar que é "seguro" gravar a alteração no registro, ele será faz isso e, depois disso, verificará se a alteração foi feita e, nesse momento, excluirá o arquivo e passará para outras tarefas do SO. Quando algo nesse processo falha, você acaba acumulando esses arquivos.

E claramente, no seu caso, algo em algum lugar desse processo não está funcionando corretamente. Eu apostaria um centavo bastante que, se você olhar através do servidor, Event Logsverá uma tonelada de erros sobre isso, na forma de eventos sobre o bloqueio do registro ou na impossibilidade de gravar alterações no registro. (Provavelmente ao longo das linhas de Unable to open registry for writingou Failed to update system registry). Isso pode indicar indícios de problemas sérios ou indicar que alguns programas da PITA desejam gravar uma alteração no registro sempre que for iniciado e não tiver permissão.

Há também a possibilidade menos provável que as mudanças estão sendo escritos, mas os arquivos não podem ser excluídos, como aconteceria se a alavanca de bloqueio nos arquivos não está sendo encerrado corretamente, ou se SYSTEMtem permissão de escrita, mas não tem permissões de exclusão para esses locais de pasta.

Pode ajudar a rastrear a fonte para fazer uma soma md5 rápida (ou similar) desses arquivos para ver se são todos ou quase idênticos (o que indicaria a mesma alteração que falhou ao gravar repetidamente no registro), ou se houver muita variação, o que provavelmente indicará um problema sério - que o registro não pode ser gravado por muitos processos ou que os perfis de usuário em questão estão corrompidos.

Depois de analisá-los, qualquer um desses arquivos .blfou .regtrans-mscriados antes da última inicialização do sistema pode ser excluído com segurança. Não há como eles (ou devam) ser gravados no registro, portanto eles são lixo.

Quanto ao quê, precisamente as está criando, é algo que você terá que rastrear a si mesmo, porque pode ser quase qualquer coisa. É possível que algo no código da Web esteja tentando gravar uma alteração no registro toda vez que o site for acessado, mas falhe por falta de permissões (eu certamente vi coisas mais burras), é possível que elas sejam geradas por logons de usuários e subseqüentes atividade que tenta gravar no registro e sem permissões e, como afirmado anteriormente, é possível que eles estejam sendo criados e executados normalmente, mas não podem ser excluídos conforme pretendido por algum motivo.

Verifique todos os seus logs, particularmente os logs do seu Event Logse do IIS, para ver se há erros relacionados ao registro para reduzi-lo e descobrir o que está causando isso.

HopelessN00b
fonte
Eu meio que imaginei que seria uma agulha no emprego do palheiro. Você certamente me deu muita coisa para continuar. Quando eu puder me sentar e rastreá-lo, farei isso, mas por enquanto optei por arquivá-los e excluí-los; pelo que você está dizendo - não preciso arquivar, apenas excluí-los? Sinto que isso pode ser uma resposta às tentativas de logon feitas sobre o RDP. O problema é que não consigo bloquear o acesso a um IP estático. Habilitei clientes RDP seguros apenas, o que atrasou as tentativas. Vou reverter quando tiver mais informações, pois isso pode ajudar outra pessoa se eu encontrar a causa.
Anthony
O outro problema que tenho é que o servidor da Web era um modelo pré-fabricado e pré-instalado do que os provedores criaram - eles poderiam alterá-lo antes mesmo que eu o iniciasse na configuração personalizada. Quem sabe. Não seria a primeira vez que eu experimentava um problema que se criou por causa de técnicos incompetentes.
Anthony
1
@ Anthony Bem, arquivá-los seria útil para analisá-los, mas, na verdade, não, você pode excluí-los com segurança. Pode ser aconselhável excluir apenas aqueles anteriores à última reinicialização ou reiniciar o sistema operacional de maneira limpa e excluir todos eles, caso alguns ainda estejam pendentes para serem gravados. Quanto às tentativas de logon no RDP ... acho que não, pois você não deve solicitar nenhuma gravação no registro até que efetue login com êxito ... então, esse é um caso muito sério, então vale a pena considerar que esse comportamento possa ser de algo totalmente lá fora também.
precisa
Esses NÃO são arquivos de "recuperação" ou "diário". Estes são os conteúdos das transações de registro ativas. Veja, por exemplo, books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Esses arquivos são criados quando um perfil é recriado ou iniciado. Eles também são fontes de problemas, porque são 'assinados' no sentido de que são residentes e, portanto, tornam-se o foco de invasores ou hackers, se você preferir.

Seguindo as instruções, RT-CLK My Computer, Properties, selecione 'Advanced System Settings' e depois 'Settings' em Profiles User. Você deve esperar uma lista de todos os PERFIS, ou seja, um para cada USUÁRIO.

A desaceleração sempre convida os inspetores e, às vezes, eles ignoram algo que pode ser importante. Em uma máquina aqui, havia um PERFIL chamado "DefaultProfile", que obviamente é falso e foi excluído. Por outro lado, havia um PERFIL chamado "Perfil padrão", que também é falso. No entanto, este último não é facilmente removido.

Isso indica que alguém invadiu e está desenvolvendo um crescendo que, em uma terceira máquina, se tornou um PERFIL DE USUÁRIO de cerca de 231 GB (!!!), tornando a inicialização uma experiência de espera inexorável. Eventualmente, o usuário tolerante ficou irritado quando algo que ele vinha fazendo o tempo todo, não estava acontecendo.

Todas as contas de usuário nessa máquina, incluindo o administrador, foram alteradas para USUÁRIO DOMÉSTICO e / ou CONVIDADO. Apenas tente obter um prompt de comando elevado com isso!

Portanto, se você excluir um PERFIL DE USUÁRIO e efetuar logon novamente, um novo perfil será criado usando o DefaultProfile e o Win10, isso é evidente pela bobagem 'Oi' que a faz parecer melhor que o Windows, ao longo dos anos. Se você fez logon e, em seguida, procure C: \ Users \ (qualquer que seja) \ Appdata \ Local (para arquivos ocultos), verá os arquivos REGTRANS-MS ofensivos, numerados e COMPRIMENTO ZERO.

Eles são preenchidos com alterações, que geralmente resultam em ações executadas nas configurações dos arquivos em uso, o que ainda é um não-não. Após a conclusão da sessão, as alterações são invocadas e os dados no arquivo tornam-se os registros de material para publicidade / rastreamento e uma série de coisas sobre as quais apenas os 'gênios' da Microsoft agora se referem.

Felicidades.

Skew-T
fonte