NTUSER.DAT और UsrClass.dat हजारों द्वारा बनाई गई फाइलें, मैं क्यों और हटा सकता हूं?


14

मैंने देखा है कि मेरा वेब सर्वर, 2008 एक्सएमएन वीएम, धीरे-धीरे मुक्त स्थान खो रहा है - सामान्य उपयोग से अधिक से अधिक हालांकि मैं जांच करने का फैसला करता हूं।

दो समस्या क्षेत्र हैं:

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

तथा

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

जो मैं समझता हूं कि ये रजिस्ट्री परिवर्तनों के इन-टाइम बैकअप हैं। अगर ऐसा है तो मैं संभवतः समझ नहीं पा रहा हूं कि 10000+ बदलाव क्यों होंगे। (यह है कि कुल प्रति 20,000 फ़ोल्डर प्रति फ़ोल्डर स्थान पर कितनी फाइलें हैं।)

फ़ाइलें लगभग 15GB स्थान का उपयोग कर रही हैं और मैं उनसे छुटकारा चाहता हूं, मैं बस सोच रहा हूं कि क्या मैं उन्हें हटा सकता हूं। हालांकि, मुझे यह समझने की आवश्यकता है कि उन्हें क्यों बनाया जा रहा है ताकि मैं भविष्य में इससे बच सकूं।

किसी भी विचार क्यों इतने सारे होंगे? क्या कोई तरीका है जो मैं यह देखने के लिए देख सकता हूं कि संशोधन क्या है?

  • क्या वे लॉगिन प्रयासों से बनाए गए हैं?
  • क्या वे हर दिन वेब सर्वर के उपयोग के संबंध में बनाए गए हैं?
  • वगैरह वगैरह

1
क्योंकि आपको विश्वास नहीं है कि एंटीवायरस को चलाने के लिए पहला कदम बहुत सारे बदलाव होंगे और एंटी-मालवेयर स्कैन को संदिग्ध गतिविधि के लिए लॉग को चेक करता है, जैसे कि लॉगऑन नहीं होने चाहिए।
जॉन गार्डनियर्स

जवाबों:


8

वे रजिस्ट्री परिवर्तनों का बैकअप नहीं हैं, वास्तव में, रजिस्ट्री में परिवर्तन होने से पहले वे रजिस्ट्री में क्या परिवर्तन करते हैं। .tmpरजिस्ट्री परिवर्तन के लिए एक प्रकार की फ़ाइल, संक्षेप में।

रजिस्ट्री भ्रष्टाचार के खिलाफ एक सुरक्षा के रूप में, जो विंडोज में एक बहुत ही सामान्य और बहुत बुरा समस्या हुआ करती थी, रजिस्ट्री में बदलाव के लिए विंडोज के नए संस्करण क्या करते हैं, कुछ भी करने से पहले फ़ाइल में अनुरोधित परिवर्तन को लिखें। (उपयोगकर्ता हाइव में परिवर्तन के लिए, वे फाइलें के रूप में हैं NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms, और क्रमिक रूप से गिने जाते हैं - वापस काफी दूर तक जाते हैं और आपको एक 00000000000000000001फ़ाइल देखनी चाहिए ।) एक बार विंडोज ने निर्धारित किया है कि रजिस्ट्री में परिवर्तन लिखने के लिए यह "सुरक्षित" है, यह। ऐसा करता है, और उसके बाद, यह तब सत्यापित करेगा कि परिवर्तन किया गया है, जिस समय वह फ़ाइल को हटा देगा और अन्य OS कार्यों पर चला जाएगा। जब इस प्रक्रिया में कुछ विफल हो जाता है, तो आप इन फ़ाइलों को जमा करते हैं।

और स्पष्ट रूप से, आपके मामले में, कुछ, उस प्रक्रिया में कहीं भी ठीक से काम नहीं कर रहा है। मैं एक बहुत पैसे की शर्त लगाता हूँ कि अगर आपने सर्वर के माध्यम से देखा, तो आपको Event Logsइस बारे में त्रुटियों की एक पूरी टन दिखाई देगी, रजिस्ट्री के लॉक होने की घटनाओं के बारे में, या रजिस्ट्री में परिवर्तन लिखने में असमर्थ होने के कारण। (शायद की तर्ज पर Unable to open registry for writingया Failed to update system registry)। ये गंभीर समस्याओं के संकेत हो सकते हैं, या वे संकेत हो सकते हैं कि कुछ पीटीए प्रोग्राम हर बार लॉन्च होने पर रजिस्ट्री में बदलाव लिखना चाहते हैं और इसकी अनुमति नहीं है।

इस बात की भी कम संभावना है कि परिवर्तन लिखे जा रहे हैं, लेकिन फ़ाइलों को हटाया नहीं जा सकता है, जैसा कि तब होगा जब फ़ाइलों पर लॉकिंग हैंडल को ठीक से समाप्त नहीं किया जा रहा है, या यदि लिखित SYSTEMअनुमति है, लेकिन हटाने की अनुमति नहीं है उन फ़ोल्डर स्थानों।

यह देखने में मदद कर सकता है कि इन फ़ाइलों की त्वरित md5 राशि (या समान) करने के लिए स्रोत को देखने के लिए कि क्या वे सभी हैं, या अधिकतर समान हैं (जो रजिस्ट्री में लिखने के लिए एक ही परिवर्तन को विफल करने का संकेत देगा), या यदि बहुत अधिक भिन्नता है, जो एक गंभीर समस्या को इंगित करने की अधिक संभावना है - कि रजिस्ट्री को कई प्रक्रियाओं द्वारा नहीं लिखा जा सकता है, या यह कि प्रश्न में उपयोगकर्ता प्रोफ़ाइल भ्रष्ट हैं।

एक बार जब आप उनका विश्लेषण कर लेते हैं, तो इनमें से कोई भी .blfया .regtrans-msअंतिम सिस्टम बूट से पहले बनाई गई फ़ाइलों को सुरक्षित रूप से हटाया जा सकता है। वहाँ कोई रास्ता नहीं वे (या होना चाहिए) रजिस्ट्री को लिखा है, तो वे कबाड़ हो रहे हैं।

जैसा कि, ठीक है, उन्हें बना रहा है, यह कुछ ऐसा है जिसे आपको अपने आप को ट्रैक करना होगा, क्योंकि यह लगभग कुछ भी हो सकता है। यह संभव है कि वेब कोड में साइट के एक्सेस होने पर हर बार रजिस्ट्री परिवर्तन लिखने की कोशिश की जा रही है, लेकिन अनुमतियों की कमी के लिए विफल रहता है (मैंने निश्चित रूप से डम्बर चीजें देखी हैं), यह संभव है कि वे उपयोगकर्ता लॉगऑन और बाद में उत्पन्न हों। गतिविधि रजिस्ट्री में लिखने और अनुमतियों का अभाव करने की कोशिश कर रही है, और जैसा कि पहले कहा गया था, यह संभव है कि वे सामान्य रूप से बनाए और निष्पादित किए जा रहे हों, लेकिन किसी कारण से हटाए जाने में असमर्थ हैं।

Event Logsरजिस्ट्री से संबंधित त्रुटियों के लिए अपने सभी लॉग, विशेष रूप से आपके और IIS लॉग की जांच करें ताकि यह कम हो सके और यह पता लगा सके कि यह क्या कारण है।


मुझे लगा कि यह हिस्टैक जॉब में एक सुई होगी। आपने निश्चित रूप से मुझे जाने के लिए बहुत कुछ दिया है। जब मैं बैठ सकता हूं और इसे ट्रैक कर सकता हूं तो मैं ऐसा करूंगा लेकिन अभी के लिए मैंने संग्रह करने और उन्हें हटाने का विकल्प चुना है; हालांकि आप जो कह रहे हैं - मुझे संग्रह करने की आवश्यकता नहीं है, बस उन्हें हटा दें? मुझे लगता है कि यह आरडीपी पर किए गए लॉगऑन प्रयासों के जवाब में हो सकता है। समस्या यह है कि मैं एक स्थिर आईपी तक पहुँच को लॉक नहीं कर सकता। मैंने आरडीपी ग्राहकों को केवल सुरक्षित ही सक्षम किया है, जिसने प्रयासों को धीमा कर दिया है। जब मेरे पास अधिक जानकारी होगी तो मैं वापस लौटूंगा क्योंकि अगर मुझे कारण पता चलता है तो यह किसी और की मदद कर सकता है।
एंथनी

मेरे पास जो दूसरा किंक है वह यह है कि वेब सर्वर एक प्री-मेड, प्री-इंस्टॉल्ड टेम्प्लेट है जो प्रोवाइडर्स ने बनाया है - वे इसे कस्टम कॉन्फ़िगर करने से पहले ही शुरू कर दें। कौन जाने। यह पहली बार नहीं होगा जब मैंने एक ऐसी समस्या का अनुभव किया है जो अक्षम तकनीकों के कारण खुद को पाला है।
एंथनी

1
@ एंथनी खैर, उनका विश्लेषण करना उनके लिए उपयोगी होगा, लेकिन वास्तव में, नहीं, आप उन्हें सुरक्षित रूप से हटा सकते हैं। अंतिम रिबूट से पहले केवल उन लोगों को हटाने के लिए बुद्धिमान हो सकता है, या ओएस को साफ रीबूट करें, और फिर उन सभी को हटा दें, अगर कुछ अभी भी लिखे जाने के लिए लंबित हैं। RDP पर लॉगऑन के प्रयास के रूप में ... मैं ऐसा नहीं सोचूंगा, क्योंकि जब तक आप सफलतापूर्वक लॉग इन नहीं करते हैं, तब तक आपको कोई भी रजिस्ट्री लिखने का संकेत नहीं देना चाहिए ... तो फिर, यह एक गंभीर गंभीर मामला है, इसलिए शायद यह विचार करने योग्य है यह व्यवहार पूरी तरह से वहाँ से बाहर कुछ हो सकता है।
होपलेस

ये "पुनर्प्राप्ति" या "पत्रिका" फाइलें नहीं हैं। ये सक्रिय रजिस्ट्री लेनदेन की सामग्री हैं। जैसे देखें books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev

-1

ये फाइलें तब बनाई जाती हैं जब किसी प्रोफाइल को दोबारा बनाया या शुरू किया जाता है। वे परेशानी का स्रोत भी हैं, क्योंकि वे इस अर्थ में 'हस्ताक्षरित' हैं कि वे निवासी हैं और इस तरह घुसपैठियों या हैकर्स का ध्यान केंद्रित करें यदि आप चाहें।

निर्देशों के बाद, गुण, आरटी-सीएलके मेरा कंप्यूटर, गुण, उपयोगकर्ता प्रोफाइल के तहत 'उन्नत सिस्टम सेटिंग्स' और फिर 'सेटिंग्स' का चयन करें। आपको सभी PROFILE की सूची की अपेक्षा करनी चाहिए, अर्थात प्रत्येक USER के लिए।

धीमे चढ़ाव हमेशा निरीक्षकों को आमंत्रित करते हैं और कभी-कभी, वे कुछ ऐसी चीजों को नजरअंदाज कर देते हैं जो महत्वपूर्ण हो सकती हैं। यहाँ एक मशीन पर, "DefaultProfile" नाम का एक शख्स था, जो बेशक फर्जी था और हटा दिया गया था। दूसरे पर, "डिफ़ॉल्ट प्रोफ़ाइल" नाम का एक शख्स था, जो फर्जी भी है। हालांकि, बाद को आसानी से हटाया नहीं जाता है।

यह इंगित करता है कि किसी ने हैक किया है और एक क्रैसेन्डो तक निर्माण कर रहा है, जो एक तीसरी मशीन पर, कुछ 231GB (!!!) का USER शख्सियत बन गया है, जो बूट को एक अनुभवहीन प्रतीक्षा अनुभव बना रहा है। आखिरकार, सहिष्णु उपयोगकर्ता नाराज हो गया जब वह कुछ ऐसा कर रहा था जिसके साथ वह नहीं हो रहा था।

प्रशासक सहित उस मशीन के सभी उपयोगकर्ता खाते, होम USER और / या GUEST में बदल दिए गए थे। बस उस से एक उन्नत कमांड प्रॉम्प्ट प्राप्त करने का प्रयास करें!

इसलिए, यदि आप एक USER शख्सियत को हटाते हैं, और फिर नए सिरे से लॉग इन करते हैं, तो एक नया प्रोफ़ाइल DefaultProfile और Win10 का उपयोग करके बनाया गया है, यह 'Hi' बलोनी द्वारा स्पष्ट होता है जो इसे विंडोज़ की तुलना में कुछ वर्षों में बेहतर दिखता है। यदि आप लॉगऑन थे और फिर C: \ Users \ (जो भी) \ Appdata \ Local (छिपी हुई फ़ाइलों के लिए) में देखें, तो आपको अपकमिंग REGTRANS-MS फाइलें, क्रमांकित और शून्य LENGTH दिखाई देंगी।

वे परिवर्तनों से भरे हुए हैं, जो अक्सर उपयोग में फ़ाइलों पर सेटिंग्स पर किए गए कार्यों के परिणामस्वरूप होते हैं, जो अभी भी एक नहीं-नहीं है। सत्र पूरा होने के बाद, परिवर्तनों को लागू किया जाता है और फ़ाइल में डेटा विज्ञापन / ट्रैकिंग के लिए सामान लॉग बन जाता है और चीजों की एक पूरी श्रृंखला के बारे में है जो अब केवल Microsoft में 'जीनियस' के बारे में है।

चीयर्स।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.