Warum und kann ich NTUSER.DAT- und UsrClass.dat-Dateien löschen, die sich zu Tausenden aufbauen?

14

Mir ist aufgefallen, dass mein Webserver, 2008 Xen VM, allmählich freien Speicherplatz verliert - mehr, als ich bei normaler Verwendung erwartet hätte, und ich beschloss, dies zu untersuchen.

Es gibt zwei Problembereiche:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

UND

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Soweit ich weiß, handelt es sich hierbei um zeitgerechte Sicherungen von Registrierungsänderungen. Wenn das der Fall ist, kann ich unmöglich verstehen, warum es mehr als 10000 Änderungen geben würde. (Das ist die Anzahl der Dateien pro Ordner, insgesamt über 20.000 pro Ordner.)

Die Dateien belegen fast 15 GB Speicherplatz und ich möchte sie entfernen. Ich frage mich nur, ob ich sie entfernen kann. Ich muss jedoch verstehen, warum sie erstellt werden, damit ich dies in Zukunft vermeiden kann.

Irgendwelche Ideen, warum es so viele geben würde? Kann ich überprüfen, welche Änderungen vorgenommen wurden?

  • Werden sie mit Anmeldeversuchen erstellt?
  • Werden sie in Bezug auf die tägliche Verwendung von Webservern erstellt?
  • usw. und so weiter
Anthony
quelle
1
Da Sie nicht glauben, dass es so viele Änderungen gegeben hat, besteht der erste Schritt darin, Antivirus- und Anti-Malware-Scans durchzuführen und die Protokolle auf verdächtige Aktivitäten zu überprüfen, z. B. auf Anmeldungen, die nicht hätten stattfinden dürfen.
John Gardeniers

Antworten:

8

Es handelt sich nicht um Sicherungskopien von Registrierungsänderungen, sondern vielmehr um Änderungen an der Registrierung, bevor sie zu Änderungen an der Registrierung werden. Ein .tmpDateityp für Registrierungsänderungen.

Zum Schutz vor Registrierungsbeschädigung, die in Windows ein recht häufiges und sehr unangenehmes Problem war, schreiben Sie die angeforderte Änderung in eine Datei, bevor Sie etwas unternehmen. Dies gilt insbesondere für neuere Versionen von Windows, wenn eine Änderung an der Registrierung erforderlich ist. (Bei Änderungen in der Benutzerstruktur haben diese Dateien die Form von NTUSER.DAT{GUID}.TMContainer####################.regtrans-msund werden fortlaufend nummeriert. Gehen Sie weit genug zurück und Sie sollten eine 00000000000000000001Datei sehen.) Sobald Windows festgestellt hat, dass es "sicher" ist, die Änderung in die Registrierung zu schreiben, wird diese gespeichert Anschließend wird überprüft, ob die Änderung vorgenommen wurde. Zu diesem Zeitpunkt wird die Datei gelöscht und es werden andere Betriebssystemaufgaben ausgeführt. Wenn etwas in diesem Prozess fehlschlägt, sammeln Sie diese Dateien an.

Und offensichtlich funktioniert in Ihrem Fall irgendwo in diesem Prozess etwas nicht richtig. Ich wette, dass Sie beim Durchsuchen des Servers Event Logseine ganze Menge Fehler in Form von Ereignissen sehen, bei denen die Registrierung gesperrt ist oder keine Änderungen an der Registrierung vorgenommen werden können. (Wahrscheinlich nach dem Vorbild von Unable to open registry for writingoder Failed to update system registry). Dies können Hinweise auf schwerwiegende Probleme sein oder Hinweise darauf, dass einige PITA-Programme bei jedem Start eine Änderung in die Registrierung schreiben möchten und keine Berechtigung haben.

Es besteht auch die geringere Wahrscheinlichkeit, dass die Änderungen geschrieben werden, die Dateien jedoch nicht gelöscht werden können, wie dies der Fall wäre, wenn das Sperrhandle für die Dateien nicht ordnungsgemäß beendet wird oder wenn SYSTEMSchreibberechtigung vorliegt, aber keine Löschberechtigungen für vorhanden sind diese Ordnerpositionen.

Es kann hilfreich sein, die Quelle ausfindig zu machen, um eine schnelle MD5-Summe (oder eine ähnliche) dieser Dateien zu erstellen, um festzustellen, ob sie alle oder größtenteils identisch sind (was darauf hinweist, dass dieselbe Änderung nicht immer wieder in die Registrierung geschrieben werden kann). oder wenn es viele Variationen gibt, die eher auf ein ernstes Problem hinweisen - dass die Registrierung nicht von vielen Prozessen beschrieben werden kann oder dass die fraglichen Benutzerprofile beschädigt sind.

Sobald Sie sie fertig sind die Analyse, eine dieser .blfoder .regtrans-msDateien , die vor dem letzten Systemstart erstellt wurden , können sicher gelöscht werden. Es gibt keine Möglichkeit, dass sie in die Registrierung geschrieben werden (oder sollten), also sind sie Junk.

Was genau sie erschafft, müssen Sie selbst aufspüren, denn es könnte fast alles sein. Es ist möglich, dass etwas im Webcode versucht, bei jedem Zugriff auf die Site eine Registrierungsänderung zu schreiben, dies jedoch mangels Berechtigungen fehlschlägt (ich habe mit Sicherheit dümmeres Zeug gesehen). Möglicherweise werden sie durch Benutzeranmeldungen und nachfolgende generiert Bei einer Aktivität, bei der versucht wird, in die Registrierung zu schreiben, und der es an Berechtigungen mangelt, ist es sogar möglich, dass sie normal erstellt und ausgeführt werden, aber aus irgendeinem Grund nicht wie beabsichtigt gelöscht werden können.

Überprüfen Sie alle Ihre Protokolle, insbesondere Ihre Event Logsund IIS-Protokolle, auf Registrierungsfehler, um sie einzugrenzen und herauszufinden, was dies verursacht.

HopelessN00b
quelle
Ich dachte, es wäre eine Nadel im Heuhaufen. Sie haben mir mit Sicherheit viel zu tun gegeben. Wenn ich mich hinsetzen und nachverfolgen kann, werde ich es tun, aber ich habe mich vorerst dafür entschieden, sie zu archivieren und zu löschen. Nach dem, was Sie sagen, muss ich nicht archivieren, sondern nur löschen? Ich habe das Gefühl, dass dies auf Anmeldeversuche über RDP zurückzuführen ist. Das Problem ist, dass ich den Zugriff auf eine statische IP nicht sperren kann. Ich habe nur sichere RDP-Clients aktiviert, was die Versuche verlangsamt hat. Ich werde zurückkehren, wenn ich mehr Informationen habe, da dies anderen helfen kann, wenn ich die Ursache finde.
Anthony
Das andere Problem, das ich habe, ist, dass der Webserver eine vorgefertigte, vorinstallierte Vorlage des von den Anbietern erstellten Dokuments war - sie konnten das Problem beheben, bevor ich überhaupt mit der benutzerdefinierten Konfiguration begann. Wer weiß. Es wäre nicht das erste Mal, dass ich ein Problem habe, das sich durch inkompetente Techniker entwickelt hat.
Anthony
1
@Anthony Nun, das Archivieren wäre nützlich, um sie zu analysieren, aber wirklich, nein, Sie können sie sicher löschen. Es kann ratsam sein, nur diejenigen zu löschen, die vor dem letzten Neustart erstellt wurden, oder das Betriebssystem sauber neu zu starten und dann alle zu löschen, falls einige noch nicht geschrieben wurden. Was Anmeldeversuche über RDP angeht, würde ich das nicht glauben, da Sie keine Registrierungsschreibvorgänge veranlassen sollten, bis Sie sich erfolgreich angemeldet haben. Andererseits ist dies ein ziemlich schwerwiegender Fall, daher ist es vielleicht eine Überlegung wert dass dieses Verhalten auch von irgendetwas absolutem herrühren könnte.
HopelessN00b
Dies sind KEINE "Recovery" - oder "Journal" -Dateien. Dies sind eher Inhalte aktiver Registry-Transaktionen. Siehe z. B. books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Diese Dateien werden erstellt, wenn ein Profil neu erstellt oder initiiert wird. Sie sind auch Anlass zur Sorge, weil sie in dem Sinne "unterschrieben" sind, dass sie sich in der Region aufhalten und somit zum Mittelpunkt von Eindringlingen oder Hackern werden, wenn Sie möchten.

Befolgen Sie die Anweisungen unter RT-CLK Arbeitsplatz, Eigenschaften, wählen Sie 'Erweiterte Systemeinstellungen' und dann 'Einstellungen' unter Benutzerprofile. Sie sollten eine Liste aller PROFILE erwarten, dh eine für jeden BENUTZER.

Verzögerungen laden immer Inspektoren ein und manchmal übersehen sie etwas, das wichtig sein könnte. Auf einer Maschine gab es hier ein PROFIL mit dem Namen "DefaultProfile", das natürlich falsch ist und gelöscht wurde. Auf einem anderen gab es ein PROFIL mit dem Namen "Default Profile", das ebenfalls gefälscht ist. Letzteres lässt sich jedoch nicht leicht entfernen.

Dies weist darauf hin, dass sich jemand in ein Crescendo eingemischt hat und dieses aufbaut. Auf einer dritten Maschine wurde dies zu einem USER-PROFIL von etwa 231 GB (!!!), was das Booten zu einem unaufhaltsamen Warterlebnis macht. Schließlich ärgerte sich der tolerante Benutzer, wenn etwas, das er die ganze Zeit getan hatte, nicht passierte.

Alle Benutzerkonten auf diesem Computer, einschließlich des Administrators, wurden in HOME USER und / oder GUEST geändert. Versuchen Sie einfach, eine Eingabeaufforderung mit erhöhten Rechten zu erhalten!

Wenn Sie also ein BENUTZERPROFIL löschen und sich dann erneut anmelden, wird ein neues Profil mit dem DefaultProfile und in Win10 erstellt. Dies wird durch die "Hi" -Schwäche deutlich, die es im Laufe der Jahre besser aussehen lässt als Windows Whatever. Wenn Sie sich anmelden und dann unter C: \ Users \ (was auch immer) \ Appdata \ Local nachsehen (für versteckte Dateien), werden die fehlerhaften REGTRANS-MS-Dateien mit der Nummer und der NULL-LÄNGE angezeigt.

Sie sind mit Änderungen gefüllt, die häufig auf Aktionen zurückzuführen sind, die an den Einstellungen der verwendeten Dateien vorgenommen wurden. Dies ist immer noch ein Nein-Nein. Nachdem die Sitzung abgeschlossen ist, werden die Änderungen aufgerufen und die Daten in der Datei werden zu Materialprotokollen für Werbung / Tracking und zu einer ganzen Reihe von Dingen, die nur die "Genies" bei Microsoft betreffen.

Prost.

Skew-T
quelle