수천 명의 NTUSER.DAT 및 UsrClass.dat 파일이 생성되는 이유와 이유는 무엇입니까?

웹 서버 인 2008 Xen VM이 점차 사용 가능한 공간을 잃어 버렸다는 사실을 알았습니다. 일반적인 사용 방법보다 더 많이 조사하기로 결정했습니다.

두 가지 문제 영역이 있습니다.

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

과

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

내가 이해 한 바에 따르면 이들은 레지스트리 변경의 시간 백업입니다. 이 경우 10000+ 이상의 변경이 발생하는 이유를 이해할 수 없습니다. (이것은 폴더 당 총 20,000 개가 넘는 폴더 위치 당 파일 수입니다.)

파일은 거의 15GB의 공간을 사용하고 있으며 제거하고 싶습니다. 파일을 제거 할 수 있을지 궁금합니다. 그러나 나는 그들이 왜 만들어지고 있는지 이해해야하므로 나중에 이것을 피할 수 있습니다.

왜 그렇게 많은 아이디어가 있습니까? 무엇을 수정하고 있는지 확인할 수있는 방법이 있습니까?

• 로그인 시도로 작성됩니까?
• 이들은 매일 웹 서버 사용과 관련하여 작성됩니까?
• 등

레지스트리 변경 사항의 백업이 아니라 실제로 레지스트리가 변경되기 전에 레지스트리 변경 사항입니다. .tmp본질적으로 레지스트리 변경을위한 파일 유형입니다 .

Windows에서 상당히 흔하고 매우 불쾌한 문제였던 레지스트리 손상에 대한 보호 기능으로서 레지스트리 변경 요청시 최신 버전의 Windows가 수행하는 작업은 작업을 수행하기 전에 요청 된 변경 사항을 파일에 기록하는 것입니다. (사용자 하이브 변경의 경우 해당 파일의 형식은 NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms순차적으로 번호가 매겨져 00000000000000000001있습니다. 충분히 멀리 이동하면 파일 이 표시 됩니다.) Windows에서 레지스트리에 변경 내용을 기록하는 것이 "안전"하다고 판단한 후에는 그런 다음 변경 사항이 적용되었는지 확인한 후 파일을 삭제하고 다른 OS 작업으로 이동합니다. 이 과정에서 문제가 발생하면 결국이 파일들을 모으게됩니다.

그리고 분명히, 귀하의 경우, 프로세스의 어딘가에서 제대로 작동하지 않습니다. 서버를 살펴보면 Event Logs레지스트리가 잠겨 있거나 레지스트리에 변경 사항을 쓸 수없는 이벤트 형태로 이것에 관한 전체 오류가 표시됩니다. ( Unable to open registry for writing또는 의 줄을 따라 Failed to update system registry). 심각한 문제를 나타내는 것일 수도 있고 일부 PITA 프로그램이 시작될 때마다 레지스트리에 변경 사항을 쓰려고하거나 권한이 없음을 나타내는 것일 수도 있습니다.

변경 내용을 쓸 가능성은 적지 만 파일의 잠금 핸들이 제대로 종료되지 않거나 SYSTEM쓰기 권한이 있지만 삭제 권한이없는 경우 파일을 삭제할 수 없습니다. 그 폴더 위치.

소스를 추적하여 이들 파일의 빠른 md5 합계 (또는 이와 유사한)를 수행하여 파일이 모두 또는 대부분 동일한 지 (레지스트리에 반복해서 쓰는 데 실패한 동일한 변경을 나타냄), 또는 많은 변형이있는 경우 심각한 문제를 나타낼 가능성이 높습니다. 많은 프로세스에서 레지스트리를 쓸 수 없거나 문제의 사용자 프로필이 손상되었습니다.

분석이 끝나면 마지막 시스템 부팅 전에 생성 된 파일 .blf또는 .regtrans-ms파일을 안전하게 삭제할 수 있습니다. 그들이 레지스트리에 쓰여질 (또는) 쓰여질 방법이 없어서 정크입니다.

정확히 무엇을 만들 었는지에 관해서는 거의 모든 것이 될 수 있기 때문에 스스로 추적해야합니다. 웹 코드의 무언가가 사이트에 액세스 할 때마다 레지스트리 변경을 작성하려고 시도 할 수 있지만 권한이 부족하여 실패합니다 (확실히 어리석은 것을 보았습니다). 사용자 로그온 및 그 이후에 생성 될 수 있습니다. 레지스트리에 쓰려고 시도하고 권한이 부족한 활동. 앞에서 언급했듯이 정상적으로 작성 및 실행될 수 있지만 어떤 이유로 든 의도 한대로 삭제할 수 없습니다.

모든 로그, 특히 사용자 Event Logs및 IIS 로그에서 레지스트리 관련 오류를 확인하여 범위를 좁히고 원인을 파악하십시오.

이러한 파일은 프로필을 다시 만들거나 시작할 때 만들어집니다. 그들은 또한 그들이 상주한다는 의미에서 '서명'되어 있으므로 원하는 경우 침입자 또는 해커의 초점이되기 때문에 문제의 원인이됩니다.

RT-CLK 내 컴퓨터, 속성 지침에 따라 사용자 프로필에서 '고급 시스템 설정'을 선택한 다음 '설정'을 선택하십시오. 모든 프로파일, 즉 각 사용자마다 하나씩의 목록이 있어야합니다.

속도 저하는 항상 관리자를 초대하며 때때로 중요한 것을 간과합니다. 여기 한 기계에는 "DefaultProfile"이라는 PROFILE이있었습니다. 물론 가짜이고 삭제되었습니다. 다른 하나에는 "Default Profile"이라는 이름의 PROFILE이 있었는데,이 역시 가짜입니다. 그러나 후자는 쉽게 제거되지 않습니다.

이것은 누군가가 해킹 당하고 세 번째 컴퓨터에서 약 231GB (!!!)의 USER PROFILE이 된 crescendo를 구축하고 있음을 나타냅니다. 결국, 관대 한 사용자는 자신이 모든 일을하고 있었을 때 화가 나지 않았습니다.

관리자를 포함하여 해당 시스템의 모든 사용자 계정이 HOME USER 및 / 또는 GUEST로 변경되었습니다. 그로부터 높은 명령 프롬프트를 얻으십시오!

따라서 USER PROFILE을 삭제 한 다음 새로 로그인하면 DefaultProfile과 Win10을 사용하여 새 프로필이 작성됩니다. 이것은 'Hi'baloney에 의해 분명합니다. 로그온 한 다음 C : \ Users \ (기타) \ Appdata \ Local (숨겨진 파일의 경우)을 확인하면 문제가되는 REGTRANS-MS 파일 (번호 및 ZERO LENGTH)이 표시됩니다.

변경 사항으로 가득 차있어 종종 사용중인 파일의 설정에 대한 조치가 수행됩니다. 세션이 완료된 후 변경 사항이 호출되고 파일의 데이터가 광고 / 추적을 위해 작성된 로그가되며 Microsoft의 'Geniuses'만 있습니다.

건배.