ไฟล์ NTUSER.DAT และ UsrClass.dat สร้างขึ้นโดยหลักพันทำไมและฉันจะลบได้อย่างไร

ฉันสังเกตเห็นว่าเว็บเซิร์ฟเวอร์ 2008 Xen VM ของฉันค่อยๆสูญเสียพื้นที่ว่าง - มากกว่าที่ฉันจะคิดจากการใช้งานปกติและตัดสินใจที่จะตรวจสอบ

มีปัญหาสองด้าน:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

และ

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

จากสิ่งที่ฉันเข้าใจเหล่านี้เป็นการสำรองข้อมูลในเวลาของการเปลี่ยนแปลงรีจิสทรี หากเป็นกรณีนี้ฉันไม่สามารถเข้าใจได้ว่าทำไมจะมีการเปลี่ยนแปลงมากกว่า 10,000 รายการ (นั่นคือจำนวนไฟล์ที่มีต่อตำแหน่งโฟลเดอร์, มากกว่า 20,000 ต่อโฟลเดอร์โดยรวม)

ไฟล์กำลังใช้พื้นที่เกือบ 15GB และฉันต้องการกำจัดพวกมันฉันแค่สงสัยว่าฉันจะลบมันออกได้ไหม อย่างไรก็ตามฉันต้องเข้าใจว่าทำไมพวกเขาถึงถูกสร้างขึ้นเพื่อที่ฉันจะได้หลีกเลี่ยงสิ่งนี้ในอนาคต

ความคิดใดที่ว่าทำไมถึงมีมากมาย มีวิธีที่ฉันสามารถตรวจสอบเพื่อดูว่ามีการปรับเปลี่ยนอะไร?

• พวกเขาสร้างด้วยความพยายามเข้าสู่ระบบ?
• พวกเขาสร้างขึ้นเกี่ยวกับการใช้งานเว็บเซิร์ฟเวอร์ทุกวันหรือไม่?
• ฯลฯ และอื่น ๆ

พวกเขาไม่ได้สำรองข้อมูลการเปลี่ยนแปลงรีจิสทรีจริง ๆ แล้วมันเป็นการเปลี่ยนแปลงของรีจิสทรีก่อนที่จะมีการเปลี่ยนแปลงรีจิสทรี ประเภทของ.tmpไฟล์สำหรับการเปลี่ยนแปลงรีจิสตรี

เพื่อป้องกันความเสียหายของรีจิสตรีซึ่งเคยเป็นปัญหาที่พบได้บ่อยและน่ารังเกียจใน Windows Windows รุ่นใหม่ที่ต้องทำเมื่อมีการร้องขอการเปลี่ยนแปลงรีจิสตรีได้เขียนการเปลี่ยนแปลงที่ร้องขอไปยังไฟล์ก่อนที่จะทำอะไร (สำหรับการเปลี่ยนแปลงในกลุ่มผู้ใช้ไฟล์เหล่านั้นอยู่ในรูปแบบNTUSER.DAT{GUID}.TMContainer####################.regtrans-msและเรียงตามลำดับ - ย้อนกลับไปไกลพอและคุณควรเห็น00000000000000000001ไฟล์) เมื่อ Windows ระบุว่า "ปลอดภัย" เพื่อเขียนการเปลี่ยนแปลงในรีจิสตรี ทำและหลังจากนั้นมันจะตรวจสอบว่ามีการเปลี่ยนแปลง ณ เวลานั้นมันจะลบไฟล์และย้ายไปยังระบบปฏิบัติการอื่น ๆ เมื่อบางสิ่งบางอย่างในกระบวนการนี้ล้มเหลวคุณก็จะรวมไฟล์เหล่านี้

และอย่างชัดเจนในกรณีของคุณบางสิ่งบางอย่างในกระบวนการนั้นทำงานไม่ถูกต้อง ฉันพนันได้เลยว่าเพนนีน่ารักมากถ้าหากคุณมองผ่านเซิร์ฟเวอร์Event Logsคุณจะเห็นข้อผิดพลาดมากมายเกี่ยวกับเรื่องนี้ในรูปแบบของเหตุการณ์เกี่ยวกับรีจิสทรีที่ถูกล็อคหรือไม่สามารถเขียนการเปลี่ยนแปลงในรีจิสทรีได้ (อาจเป็นไปตามเส้นUnable to open registry for writingหรือFailed to update system registry) สิ่งเหล่านี้สามารถบ่งชี้ถึงปัญหาร้ายแรงหรือเป็นตัวบ่งชี้ว่าบางโปรแกรมของ PITA ต้องการเขียนการเปลี่ยนแปลงรีจิสทรีทุกครั้งที่เปิดตัวและไม่ได้รับอนุญาต

นอกจากนี้ยังมีความเป็นไปได้น้อยกว่าที่การเปลี่ยนแปลงจะถูกเขียน แต่ไม่สามารถลบไฟล์ได้เช่นเดียวกับที่เกิดขึ้นหากการจัดการการล็อคไฟล์ไม่ถูกยกเลิกอย่างถูกต้องหรือหากSYSTEMมีการอนุญาตการเขียน แต่ไม่มีสิทธิ์ในการลบ ตำแหน่งโฟลเดอร์เหล่านั้น

มันอาจช่วยในการติดตามแหล่งที่มาเพื่อทำผลรวม md5 อย่างรวดเร็ว (หรือคล้ายกัน) ของไฟล์เหล่านี้เพื่อดูว่าพวกเขาทั้งหมดหรือเหมือนกันส่วนใหญ่ (ซึ่งจะระบุการเปลี่ยนแปลงเดียวกันล้มเหลวในการเขียนลงในรีจิสทรีซ้ำแล้วซ้ำอีก) หรือหากมีการเปลี่ยนแปลงมากมายซึ่งมีแนวโน้มที่จะบ่งบอกถึงปัญหาร้ายแรง - ว่ากระบวนการไม่สามารถเขียนรีจิสทรีได้หลายกระบวนการหรือโปรไฟล์ผู้ใช้ที่เป็นปัญหาเสียหาย

เมื่อคุณทำการวิเคราะห์เสร็จไฟล์เหล่านี้.blfหรือ.regtrans-msไฟล์ใด ๆที่สร้างขึ้นก่อนการบูตระบบครั้งสุดท้ายจะสามารถลบได้อย่างปลอดภัย ไม่มีวิธีที่พวกเขาจะ (หรือควร) เขียนลงในรีจิสทรีดังนั้นจึงเป็นขยะ

อะไรคือสิ่งที่สร้างพวกเขาอย่างแม่นยำนั่นเป็นสิ่งที่คุณจะต้องติดตามตัวเองเพราะมันอาจจะเป็นอะไรก็ได้ มีความเป็นไปได้ที่บางสิ่งในรหัสเว็บพยายามเขียนการเปลี่ยนแปลงรีจิสทรีทุกครั้งที่มีการเข้าถึงเว็บไซต์ แต่ล้มเหลวเนื่องจากการไม่ได้รับอนุญาต กิจกรรมที่พยายามเขียนลงในรีจิสทรีและขาดการอนุญาตและตามที่ระบุไว้ข้างต้นอาจเป็นไปได้ว่ามีการสร้างและดำเนินการตามปกติ แต่ไม่สามารถลบได้ตามที่ตั้งใจด้วยเหตุผลบางประการ

ตรวจสอบบันทึกทั้งหมดของคุณโดยเฉพาะEvent Logsบันทึก IIS ของคุณเพื่อหาข้อผิดพลาดเกี่ยวกับรีจิสตรีเพื่อ จำกัด ให้แคบลงและหาสาเหตุที่ทำให้เกิดข้อผิดพลาดนี้

ไฟล์เหล่านี้จะถูกสร้างขึ้นเมื่อโปรไฟล์ถูกสร้างขึ้นใหม่หรือเริ่มต้น พวกเขายังเป็นแหล่งของปัญหาเพราะพวกเขาเป็น 'เซ็น' ในแง่ที่ว่าพวกเขามีถิ่นที่อยู่และทำให้กลายเป็นจุดสนใจของผู้บุกรุกหรือแฮ็กเกอร์หากคุณต้องการ

ทำตามคำแนะนำ RT-CLK My Computer, Properties, เลือก 'Advanced System Settings' และ 'Settings' ภายใต้ User Profiles คุณควรคาดหวังรายการของโปรไฟล์ทั้งหมดนั่นคือหนึ่งรายการสำหรับผู้ใช้แต่ละคน

การชะลอตัวลงมักจะเชิญผู้ตรวจสอบและในบางครั้งพวกเขามองข้ามบางสิ่งที่อาจสำคัญ ในเครื่องหนึ่งที่นี่มีโปรไฟล์ชื่อ "DefaultProfile" ซึ่งแน่นอนว่าเป็นการหลอกลวงและถูกลบ อีกโปรไฟล์หนึ่งมีโปรไฟล์ชื่อว่า "โปรไฟล์เริ่มต้น" ซึ่งเป็นของปลอมด้วย อย่างไรก็ตามหลังจะไม่ถูกลบออกได้ง่าย

สิ่งนี้บ่งชี้ว่ามีบางคนที่ถูกแฮ็กและกำลังสร้างเรื่องราวขึ้นมาซึ่งบนเครื่องที่สามกลายเป็นโปรไฟล์ผู้ใช้ที่มีขนาด 231GB (!!!) ทำให้การรอประสบการณ์ที่ไม่อาจรอได้ ในที่สุดผู้ใช้ที่อดทนก็รู้สึกรำคาญเมื่อสิ่งที่เขาทำมาตลอดไม่เกิดขึ้น

บัญชีผู้ใช้ทั้งหมดในเครื่องนั้นรวมถึงผู้ดูแลระบบถูกเปลี่ยนเป็น HOME USER และ / หรือ GUEST เพียงแค่พยายามขอพรอมต์คำสั่งจากที่สูง!

ดังนั้นหากคุณลบโปรไฟล์ผู้ใช้แล้วเข้าสู่ระบบใหม่โปรไฟล์ใหม่จะถูกสร้างขึ้นโดยใช้ DefaultProfile และใน Win10 จะเห็นได้จาก baloney 'Hi' ที่ทำให้ดูดีกว่า Windows ทุกปีที่ผ่านมา หากคุณเข้าสู่ระบบแล้วค้นหาเป็น C: \ Users \ (อะไรก็ตาม) \ Appdata \ Local (สำหรับไฟล์ที่ซ่อนอยู่) คุณจะเห็นไฟล์ REGTRANS-MS ที่ละเมิดหมายเลขและ ZERO LENGTH

พวกเขาจะเต็มไปด้วยการเปลี่ยนแปลงซึ่งมักจะส่งผลให้เกิดการกระทำที่นำไปสู่การตั้งค่าในไฟล์ที่ใช้งานซึ่งยังคงไม่มี - หลังจากเซสชันเสร็จสิ้นการเปลี่ยนแปลงจะถูกเรียกใช้และข้อมูลในไฟล์จะกลายเป็นไฟล์บันทึกที่ทำขึ้นเพื่อการโฆษณา / การติดตามและการฆ่าสิ่งต่าง ๆ ที่ 'อัจฉริยะ' ที่ Microsoft ตอนนี้เท่านั้น

ไชโย