수천 명의 NTUSER.DAT 및 UsrClass.dat 파일이 생성되는 이유와 이유는 무엇입니까?


14

웹 서버 인 2008 Xen VM이 점차 사용 가능한 공간을 잃어 버렸다는 사실을 알았습니다. 일반적인 사용 방법보다 더 많이 조사하기로 결정했습니다.

두 가지 문제 영역이 있습니다.

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

내가 이해 한 바에 따르면 이들은 레지스트리 변경의 시간 백업입니다. 이 경우 10000+ 이상의 변경이 발생하는 이유를 이해할 수 없습니다. (이것은 폴더 당 총 20,000 개가 넘는 폴더 위치 당 파일 수입니다.)

파일은 거의 15GB의 공간을 사용하고 있으며 제거하고 싶습니다. 파일을 제거 할 수 있을지 궁금합니다. 그러나 나는 그들이 왜 만들어지고 있는지 이해해야하므로 나중에 이것을 피할 수 있습니다.

왜 그렇게 많은 아이디어가 있습니까? 무엇을 수정하고 있는지 확인할 수있는 방법이 있습니까?

  • 로그인 시도로 작성됩니까?
  • 이들은 매일 웹 서버 사용과 관련하여 작성됩니까?

1
너무 많은 변경 사항이 있다고 생각하지 않기 때문에 첫 번째 단계는 바이러스 백신 및 맬웨어 방지 검색을 실행하여 발생해서는 안되는 로그온과 같은 의심스러운 활동에 대한 로그를 확인하는 것입니다.
John Gardeniers

답변:


8

레지스트리 변경 사항의 백업이 아니라 실제로 레지스트리가 변경되기 전에 레지스트리 변경 사항입니다. .tmp본질적으로 레지스트리 변경을위한 파일 유형입니다 .

Windows에서 상당히 흔하고 매우 불쾌한 문제였던 레지스트리 손상에 대한 보호 기능으로서 레지스트리 변경 요청시 최신 버전의 Windows가 수행하는 작업은 작업을 수행하기 전에 요청 된 변경 사항을 파일에 기록하는 것입니다. (사용자 하이브 변경의 경우 해당 파일의 형식은 NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms순차적으로 번호가 매겨져 00000000000000000001있습니다. 충분히 멀리 이동하면 파일 이 표시 됩니다.) Windows에서 레지스트리에 변경 내용을 기록하는 것이 "안전"하다고 판단한 후에는 그런 다음 변경 사항이 적용되었는지 확인한 후 파일을 삭제하고 다른 OS 작업으로 이동합니다. 이 과정에서 문제가 발생하면 결국이 파일들을 모으게됩니다.

그리고 분명히, 귀하의 경우, 프로세스의 어딘가에서 제대로 작동하지 않습니다. 서버를 살펴보면 Event Logs레지스트리가 잠겨 있거나 레지스트리에 변경 사항을 쓸 수없는 이벤트 형태로 이것에 관한 전체 오류가 표시됩니다. ( Unable to open registry for writing또는 의 줄을 따라 Failed to update system registry). 심각한 문제를 나타내는 것일 수도 있고 일부 PITA 프로그램이 시작될 때마다 레지스트리에 변경 사항을 쓰려고하거나 권한이 없음을 나타내는 것일 수도 있습니다.

변경 내용을 쓸 가능성은 적지 만 파일의 잠금 핸들이 제대로 종료되지 않거나 SYSTEM쓰기 권한이 있지만 삭제 권한이없는 경우 파일을 삭제할 수 없습니다. 그 폴더 위치.

소스를 추적하여 이들 파일의 빠른 md5 합계 (또는 이와 유사한)를 수행하여 파일이 모두 또는 대부분 동일한 지 (레지스트리에 반복해서 쓰는 데 실패한 동일한 변경을 나타냄), 또는 많은 변형이있는 경우 심각한 문제를 나타낼 가능성이 높습니다. 많은 프로세스에서 레지스트리를 쓸 수 없거나 문제의 사용자 프로필이 손상되었습니다.

분석이 끝나면 마지막 시스템 부팅 전에 생성 된 파일 .blf또는 .regtrans-ms파일을 안전하게 삭제할 수 있습니다. 그들이 레지스트리에 쓰여질 (또는) 쓰여질 방법이 없어서 정크입니다.

정확히 무엇을 만들 었는지에 관해서는 거의 모든 것이 될 수 있기 때문에 스스로 추적해야합니다. 웹 코드의 무언가가 사이트에 액세스 할 때마다 레지스트리 변경을 작성하려고 시도 할 수 있지만 권한이 부족하여 실패합니다 (확실히 어리석은 것을 보았습니다). 사용자 로그온 및 그 이후에 생성 될 수 있습니다. 레지스트리에 쓰려고 시도하고 권한이 부족한 활동. 앞에서 언급했듯이 정상적으로 작성 및 실행될 수 있지만 어떤 이유로 든 의도 한대로 삭제할 수 없습니다.

모든 로그, 특히 사용자 Event Logs및 IIS 로그에서 레지스트리 관련 오류를 확인하여 범위를 좁히고 원인을 파악하십시오.


나는 건초 더미 작업에서 바늘이 될 것이라고 생각했다. 당신은 저에게 계속 많은 것을주었습니다. 내가 앉아서 추적 할 수있게되면 그렇게 할 것이지만 지금은 보관하고 삭제하기로했습니다. 당신이 말하는 것에서-나는 보관할 필요가 없습니다. 그냥 삭제 하시겠습니까? RDP를 통한 로그온 시도에 대한 응답 일 수 있습니다. 문제는 고정 IP에 대한 액세스를 잠글 수 없다는 것입니다. 보안 RDP 클라이언트를 사용하도록 설정했지만 시도 속도가 느려졌습니다. 원인을 찾은 경우 다른 사람에게 도움이 될 수 있으므로 더 많은 정보가 있으면 되돌릴 것입니다.
Anthony

내가 가진 또 다른 단점은 웹 서버가 공급자가 만든 것의 사전 제작 된 사전 설치된 템플릿 이었다는 것입니다. 누가 알아. 무능한 기술로 인해 문제가 발생한 것은 이번이 처음이 아닙니다.
Anthony

1
@Anthony 글쎄, 그것들을 보관하면 그것들을 분석하는 데 유용하지만 실제로는 안됩니다. 안전하게 삭제할 수 있습니다. 마지막으로 재부팅하기 전의 항목 만 삭제하거나 OS를 완전히 재부팅 한 다음 일부가 아직 작성 대기중인 경우 모두 삭제하는 것이 좋습니다. 당신이 때까지 레지스트리 쓰기를 자극하지 않아야으로 RDP를 통해 로그온 시도에 관해서 ... 나는 그렇게 생각하지 않을 성공적 으로 ... 다시, 이것은 매우 심각한 가장자리 경우가 로그인 그래서 아마 그것의 가치를 고려, 이 행동은 완전히 다른 곳에서 온 것일 수도 있습니다.
HopelessN00b

이러한 파일은 "복구"또는 "저널"파일이 아닙니다. 이들은 오히려 활성 레지스트리 트랜잭션의 내용입니다. 예 : books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460
ivan_pozdeev

-1

이러한 파일은 프로필을 다시 만들거나 시작할 때 만들어집니다. 그들은 또한 그들이 상주한다는 의미에서 '서명'되어 있으므로 원하는 경우 침입자 또는 해커의 초점이되기 때문에 문제의 원인이됩니다.

RT-CLK 내 컴퓨터, 속성 지침에 따라 사용자 프로필에서 '고급 시스템 설정'을 선택한 다음 '설정'을 선택하십시오. 모든 프로파일, 즉 각 사용자마다 하나씩의 목록이 있어야합니다.

속도 저하는 항상 관리자를 초대하며 때때로 중요한 것을 간과합니다. 여기 한 기계에는 "DefaultProfile"이라는 PROFILE이있었습니다. 물론 가짜이고 삭제되었습니다. 다른 하나에는 "Default Profile"이라는 이름의 PROFILE이 있었는데,이 역시 가짜입니다. 그러나 후자는 쉽게 제거되지 않습니다.

이것은 누군가가 해킹 당하고 세 번째 컴퓨터에서 약 231GB (!!!)의 USER PROFILE이 된 crescendo를 구축하고 있음을 나타냅니다. 결국, 관대 한 사용자는 자신이 모든 일을하고 있었을 때 화가 나지 않았습니다.

관리자를 포함하여 해당 시스템의 모든 사용자 계정이 HOME USER 및 / 또는 GUEST로 변경되었습니다. 그로부터 높은 명령 프롬프트를 얻으십시오!

따라서 USER PROFILE을 삭제 한 다음 새로 로그인하면 DefaultProfile과 Win10을 사용하여 새 프로필이 작성됩니다. 이것은 'Hi'baloney에 의해 분명합니다. 로그온 한 다음 C : \ Users \ (기타) \ Appdata \ Local (숨겨진 파일의 경우)을 확인하면 문제가되는 REGTRANS-MS 파일 (번호 및 ZERO LENGTH)이 표시됩니다.

변경 사항으로 가득 차있어 종종 사용중인 파일의 설정에 대한 조치가 수행됩니다. 세션이 완료된 후 변경 사항이 호출되고 파일의 데이터가 광고 / 추적을 위해 작성된 로그가되며 Microsoft의 'Geniuses'만 있습니다.

건배.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.