Archivos NTUSER.DAT y UsrClass.dat acumulados por miles, ¿por qué y puedo eliminarlos?

14

Me di cuenta de que mi servidor web, la máquina virtual Xen 2008, estaba perdiendo espacio libre gradualmente, más de lo que lo haría por el uso normal y decidí investigar.

Hay dos áreas problemáticas:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

Y

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

Por lo que entiendo, estas son copias de seguridad a tiempo de los cambios en el registro. Si ese es el caso, no puedo entender por qué habría más de 10000 cambios. (Esa es la cantidad de archivos que hay por ubicación de carpeta, más de 20,000 por carpeta en total).

Los archivos están usando casi 15 GB de espacio y quiero deshacerme de ellos, me pregunto si puedo eliminarlos. Sin embargo, necesito entender por qué se están creando para poder evitar esto en el futuro.

¿Alguna idea de por qué habría tantos? ¿Hay alguna manera de verificar qué está haciendo las modificaciones?

  • ¿Se crean con intentos de inicio de sesión?
  • ¿Se crean en relación con el uso diario del servidor web?
  • etc. y así sucesivamente
Antonio
fuente
1
Debido a que no cree que haya habido tantos cambios, el primer paso sería ejecutar escaneos antivirus y antimalware y verificar los registros para detectar actividades sospechosas, como inicios de sesión que no deberían haber ocurrido.
John Gardeniers

Respuestas:

8

No son copias de seguridad de los cambios en el registro, en realidad, son los cambios en el registro antes de que se conviertan en cambios en el registro. Un tipo de .tmparchivo para cambios de registro, en esencia.

Como protección contra la corrupción del registro, que solía ser un problema bastante común y muy desagradable en Windows, lo que hacen las versiones más nuevas de Windows cuando se solicita un cambio en el registro es escribir el cambio solicitado en un archivo antes de hacer nada. (Para los cambios en la sección del usuario, esos archivos tienen la forma NTUSER.DAT{GUID}.TMContainer####################.regtrans-msy están numerados secuencialmente; retroceda lo suficiente y debería ver un 00000000000000000001archivo). Una vez que Windows ha determinado que es "seguro" escribir el cambio en el registro, lo hace, y luego de eso, verificará que se haya realizado el cambio, momento en el cual eliminará el archivo y pasará a otras tareas del sistema operativo. Cuando algo en este proceso falla, terminas acumulando estos archivos.

Y claramente, en su caso, algo, en algún lugar de ese proceso, no funciona correctamente. Apuesto un centavo a que, si mira a través del servidor Event Logs, verá un montón de errores al respecto, en forma de eventos sobre el bloqueo del registro o la imposibilidad de escribir cambios en el registro. (Probablemente a lo largo de las líneas de Unable to open registry for writingo Failed to update system registry). Estos pueden ser indicios de problemas graves, o pueden ser indicios de que algunos programas PITA desean escribir un cambio en el registro cada vez que se inicia y no tienen permiso.

También existe la posibilidad menos probable de que los cambios se estén escribiendo, pero los archivos no se pueden eliminar, como sucedería si el controlador de bloqueo de los archivos no se termina correctamente o si SYSTEMtiene permiso de escritura, pero carece de permisos de eliminación para esas ubicaciones de carpetas.

Puede ser útil para rastrear la fuente hacer una suma rápida de md5 (o similar) de estos archivos para ver si son todos, o en su mayoría idénticos (lo que indicaría que el mismo cambio no se escribe en el registro una y otra vez), o si hay mucha variación, lo que es más probable que indique un problema grave: que muchos procesos no pueden escribir en el registro o que los perfiles de usuario en cuestión están corruptos.

Una vez que haya terminado de analizarlos, cualquiera de estos .blfo .regtrans-msarchivos que se crearon antes del último inicio del sistema se puede eliminar de forma segura. No hay forma de que (o deban) escribirse en el registro, por lo que son basura.

En cuanto a qué, precisamente es crearlos, eso es algo que tendrá que rastrear usted mismo, porque podría ser casi cualquier cosa. Es posible que algo en el código web intente escribir un cambio en el registro cada vez que se accede al sitio, pero falla por falta de permisos (ciertamente he visto cosas más tontas), es posible que sean generados por inicios de sesión de usuarios y posteriores actividad que intenta escribir en el registro y que carece de permisos, y como se indicó anteriormente, incluso es posible que se estén creando y ejecutando normalmente, pero por alguna razón no se pueden eliminar según lo previsto.

Verifique todos sus registros, en particular su Event Logsy los registros de IIS, en busca de errores relacionados con el registro para reducirlo y descubrir qué está causando esto.

HopelessN00b
fuente
Me imaginé que sería una aguja en el trabajo del pajar. Ciertamente me has dado mucho para seguir. Cuando pueda sentarme y seguirlo, lo haré, pero por ahora he optado por archivarlos y eliminarlos; sin embargo, por lo que está diciendo: no necesito archivar, ¿simplemente eliminarlos? Tengo la sensación de que podría ser en respuesta a los intentos de inicio de sesión realizados a través de RDP. El problema es que no puedo bloquear el acceso a una IP estática. Solo he habilitado clientes RDP seguros, lo que ha ralentizado los intentos. Volveré cuando tenga más información, ya que puede ayudar a otra persona si encuentro la causa.
Anthony
El otro inconveniente que tengo es que el servidor web era una plantilla prefabricada y preinstalada de lo que los proveedores crearon; podrían haberlo arruinado incluso antes de que lo comenzara a una configuración personalizada. Quién sabe. No sería la primera vez que experimentaba un problema que surgió debido a técnicos incompetentes.
Anthony
1
@Anthony Bueno, archivarlos sería útil para analizarlos, pero realmente, no, puedes eliminarlos de forma segura. Es aconsejable eliminar solo aquellos antes del último reinicio, o reiniciar limpiamente el sistema operativo, y luego eliminarlos todos, en caso de que algunos aún estén pendientes de ser escritos. En cuanto a los intentos de inicio de sesión a través de RDP ... No lo creo, ya que no debería solicitar ninguna escritura de registro hasta que inicie sesión con éxito ... una vez más, este es un caso marginal bastante serio, por lo que tal vez valga la pena considerar que este comportamiento podría provenir también de algo totalmente externo.
HopelessN00b
Estos NO son archivos de "recuperación" o "diario". Estos son más bien contenidos de transacciones de registro activas. Ver por ejemplo books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev
-1

Estos archivos se crean cuando se recrea o se inicia un perfil. También son fuente de problemas, porque están 'firmados' en el sentido de que son residentes y, por lo tanto, se convierten en el foco de intrusos o piratas informáticos si lo desea.

Siguiendo las instrucciones, RT-CLK Mi PC, Propiedades, seleccione 'Configuración avanzada del sistema' y luego 'Configuración' en Perfiles de usuario. Debe esperar una lista de todos los PERFILES, es decir, uno para cada USUARIO.

Las ralentizaciones siempre invitan a los inspectores y, a veces, pasan por alto algo que podría ser importante. En una máquina aquí, había un PERFIL llamado "Perfil predeterminado", que por supuesto es falso y se eliminó. En otro, había un PERFIL llamado "Perfil predeterminado", que también es falso. Sin embargo, este último no se elimina fácilmente.

Esto indica que alguien ha pirateado y está construyendo un crescendo, que en una tercera máquina, se convirtió en un PERFIL DE USUARIO de unos 231GB (!!!), haciendo que el arranque sea una experiencia de espera inexorable. Finalmente, el usuario tolerante se molestó cuando algo que había estado haciendo todo el tiempo no estaba sucediendo.

Todas las cuentas de usuario en esa máquina, incluido el administrador, se cambiaron a USUARIO DOMÉSTICO y / o INVITADO. ¡Solo trata de obtener un símbolo del sistema elevado de eso!

Entonces, si elimina un PERFIL DE USUARIO y luego inicia sesión de nuevo, se crea un nuevo perfil utilizando el Perfil predeterminado y en Win10, esto es evidente por el baloney 'Hola' que hace que se vea mejor que Windows lo que sea a lo largo de los años. Si tuviera que iniciar sesión y luego buscar en C: \ Users \ (lo que sea) \ Appdata \ Local (para archivos ocultos) verá los archivos REGTRANS-MS ofensivos, numerados y CERO LONGITUD.

Están llenos de cambios, que a menudo resultan en acciones tomadas en la configuración de los archivos en uso, que todavía es un no-no. Una vez que se completa la sesión, se invocan los cambios y los datos en el archivo se convierten en los registros de publicidad / seguimiento y en una gran cantidad de cosas de las que solo los 'Genios' de Microsoft se ocupan ahora.

Salud.

Skew-T
fuente