Fichiers NTUSER.DAT et UsrClass.dat s'accumulant par milliers, pourquoi et puis-je supprimer?

14

J'ai remarqué que mon serveur Web, 2008 Xen VM, perdait progressivement de l'espace libre - plus que je ne le ferais pourtant en utilisation normale et j'ai décidé d'enquêter.

Il y a deux problèmes:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

ET

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

D'après ce que je comprends, ce sont des sauvegardes à temps des modifications du registre. Si tel est le cas, je ne peux pas comprendre pourquoi il y aurait plus de 10000 changements. (C'est le nombre de fichiers par emplacement de dossier, plus de 20 000 par dossier au total.)

Les fichiers utilisent près de 15 Go d'espace et je veux m'en débarrasser, je me demande simplement si je peux les supprimer. Cependant, je dois comprendre pourquoi ils sont créés afin que je puisse éviter cela à l'avenir.

Des idées pourquoi il y en aurait autant? Existe-t-il un moyen de vérifier ce qui apporte les modifications?

  • Sont-ils créés avec des tentatives de connexion?
  • Sont-ils créés en fonction de l'utilisation quotidienne du serveur Web?
  • etc. et ainsi de suite
windows-server-2008 windows-registry user-profile Anthony
la source
1
Parce que vous ne pensez pas qu'il y ait eu tant de changements, la première étape serait d'exécuter des analyses antivirus et anti-malware et de vérifier les journaux pour les activités suspectes, telles que les ouvertures de session qui n'auraient pas dû se produire.
John Gardeniers

Réponses:

8

Ce ne sont pas des sauvegardes des modifications du registre, en fait, ce sont des modifications apportées au registre avant de devenir des modifications du registre. Un type de .tmpfichier pour les modifications du registre, essentiellement.

Pour se protéger contre la corruption du registre, qui était un problème assez courant et très désagréable dans Windows, ce que font les nouvelles versions de Windows lorsqu'une modification du registre est demandée, c'est d'écrire la modification demandée dans un fichier avant de faire quoi que ce soit. (Pour les changements dans la ruche utilisateur, ces fichiers sont sous la forme NTUSER.DAT{GUID}.TMContainer####################.regtrans-mset sont numérotés séquentiellement - remontez assez loin et vous devriez voir un 00000000000000000001fichier.) Une fois que Windows a déterminé qu'il est "sûr" d'écrire la modification dans le registre, il le fait, et ensuite, il vérifiera que la modification a bien été effectuée, date à laquelle il supprimera le fichier et passera à d'autres tâches du système d'exploitation. Lorsque quelque chose échoue dans ce processus, vous finissez par amasser ces fichiers.

Et clairement, dans votre cas, quelque chose, quelque part dans ce processus, ne fonctionne pas correctement. Je parierais un centime que si vous regardez à travers le serveur, Event Logsvous verrez une tonne d'erreurs à ce sujet, sous la forme d'événements concernant le verrouillage du registre ou l'incapacité d'écrire des modifications dans le registre. (Probablement le long de Unable to open registry for writingou Failed to update system registry). Ceux-ci peuvent être des indications de problèmes graves, ou ils peuvent être des indications que certains programmes PITA veulent écrire une modification dans le registre chaque fois qu'il est lancé et n'ont pas l'autorisation.

Il y a également la possibilité moins probable que les modifications soient écrites, mais les fichiers ne peuvent pas être supprimés, comme cela se produirait si la poignée de verrouillage sur les fichiers n'est pas terminée correctement, ou si elle SYSTEMdispose d'une autorisation d'écriture, mais n'a pas les autorisations de suppression pour ces emplacements de dossier.

Cela peut aider à retrouver la source pour faire une somme rapide md5 (ou similaire) de ces fichiers pour voir s'ils sont tous, ou pour la plupart identiques (ce qui indiquerait le même changement à défaut d'écrire dans le registre encore et encore), ou s'il y a beaucoup de variations, ce qui est plus susceptible d'indiquer un problème grave - que le registre ne peut pas être écrit par de nombreux processus ou que les profils utilisateur en question sont corrompus.

Une fois que vous avez terminé de les analyser, tout fichier .blfou .regtrans-msfichier créé avant le dernier démarrage du système peut être supprimé en toute sécurité. Il n'y a aucun moyen qu'ils soient (ou devraient) être écrits dans le registre, ils sont donc indésirables.

Quant à ce qui est précisément de les créer, c'est quelque chose que vous devrez rechercher vous-même, car cela pourrait être presque n'importe quoi. Il est possible que quelque chose dans le code Web essaie d'écrire un changement de registre à chaque accès au site, mais échoue par manque d'autorisations (j'ai certainement vu des choses plus stupides), il est possible qu'elles soient générées par des ouvertures de session utilisateur et ultérieures activité essayant d'écrire dans le registre et manquant d'autorisations, et comme indiqué précédemment, il est même possible qu'ils soient créés et exécutés normalement, mais ne peuvent pas être supprimés comme prévu pour une raison quelconque.

Vérifiez tous vos journaux, en particulier vos Event Logsjournaux et IIS pour les erreurs liées au registre afin de le réduire et de déterminer la cause de ce problème.

HopelessN00b
la source
J'ai pensé que ce serait une aiguille dans la botte de foin. Vous m'avez certainement donné beaucoup pour continuer. Quand je pourrai m'asseoir et le suivre, je le ferai mais pour l'instant j'ai choisi de les archiver et de les supprimer; d'après ce que vous dites - je n'ai pas besoin d'archiver, il suffit de les supprimer? J'ai le sentiment que cela pourrait être en réponse à des tentatives de connexion effectuées via RDP. Le problème est que je ne peux pas verrouiller l'accès à une adresse IP statique. J'ai activé les clients RDP sécurisés uniquement, ce qui a ralenti les tentatives. Je reviendrai lorsque j'aurai plus d'informations car cela peut aider quelqu'un d'autre si je trouve la cause.
Anthony
L'autre problème que j'ai est que le serveur Web était un modèle pré-fait et pré-installé de ce que les fournisseurs ont créé - ils pourraient le foutre en l'air avant même que je ne le lance dans une configuration personnalisée. Qui sait. Ce ne serait pas la première fois que je rencontrais un problème qui s'est déclenché à cause de techniciens incompétents.
Anthony
1
@Anthony Eh bien, les archiver serait utile pour les analyser, mais vraiment, non, vous pouvez les supprimer en toute sécurité. Il pourrait être judicieux de supprimer uniquement ceux avant le dernier redémarrage, ou de redémarrer proprement le système d'exploitation, puis de les supprimer tous, au cas où certains seraient toujours en attente d'écriture. En ce qui concerne les tentatives d'ouverture de session sur RDP ... Je ne pense pas, car vous ne devriez pas demander d'écritures de registre jusqu'à ce que vous vous connectiez avec succès ... que ce comportement pourrait également provenir de quelque chose de totalement extérieur.
HopelessN00b
Ce ne sont PAS des fichiers de «récupération» ou de «journal». Ce sont plutôt des contenus de transactions de registre actives. Voir par exemple books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Ces fichiers sont créés lorsqu'un profil est recréé ou lancé. Ils sont également source de problèmes, car ils sont «signés» dans le sens où ils résident et deviennent ainsi la cible d'intrus ou de hackers si vous le souhaitez.

En suivant les instructions, RT-CLK Poste de travail, Propriétés, sélectionnez «Paramètres système avancés» puis «Paramètres» sous Profils utilisateur. Vous devez vous attendre à une liste de tous les PROFILS, c'est-à-dire un pour chaque UTILISATEUR.

Les ralentissements invitent toujours des inspecteurs et, parfois, ils oublient quelque chose qui pourrait être important. Sur une machine ici, il y avait un PROFIL nommé "DefaultProfile", qui bien sûr est faux et a été supprimé. Sur un autre, il y avait un PROFIL nommé "Profil par défaut", qui est également faux. Cependant, ce dernier n'est pas facile à retirer.

Cela indique que quelqu'un a piraté et se prépare à un crescendo, qui sur une troisième machine, est devenu un PROFIL D'UTILISATEUR de quelque 231 Go (!!!), ce qui fait du démarrage une expérience d'attente inexorable. Finalement, l'utilisateur tolérant est devenu agacé lorsque quelque chose qu'il avait fait tout le temps ne se produisait pas.

Tous les comptes d'utilisateurs sur cette machine, y compris l'administrateur, ont été remplacés par HOME USER et / ou GUEST. Essayez simplement d'obtenir une invite de commande élevée à partir de cela!

Donc, si vous supprimez un PROFIL D'UTILISATEUR, puis vous connectez à nouveau, un nouveau profil est créé à l'aide du profil par défaut et dans Win10, cela est évident par le baloney `` Hi '' qui lui donne une meilleure apparence que Windows au fil des ans. Si vous vous connectez puis regardez dans C: \ Users \ (peu importe) \ Appdata \ Local (pour les fichiers cachés), vous verrez les fichiers REGTRANS-MS incriminés, numérotés et LONGUEUR ZÉRO.

Ils sont remplis de changements, qui résultent souvent d'actions sur les paramètres des fichiers en cours d'utilisation, ce qui est toujours un non-non. Une fois la session terminée, les modifications sont invoquées et les données du fichier deviennent les journaux des trucs constitués pour la publicité / le suivi et toute une série de choses dont seuls les `` génies '' de Microsoft parlent maintenant.

À votre santé.

Skew-T
la source