NTUSER.DATおよびUsrClass.datファイルは何千も蓄積されていますが、なぜ削除できますか？

私のWebサーバーである2008 Xen VMが徐々に空き容量を失うことに気付きました。通常の使用からではなく、調査することにしました。

2つの問題領域があります。

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

そして

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

私が理解していることから、これらはレジストリの変更の時間内バックアップです。その場合は、10000件以上の変更がある理由を理解できない可能性があります。（これは、フォルダーの場所ごとに存在するファイルの数であり、フォルダーごとに合計で20,000を超えています。）

ファイルはほぼ15GBのスペースを使用しているため、それらを削除したいのですが、削除してもいいのかと思っています。ただし、これらが将来作成されないように、なぜ作成されているのかを理解する必要があります。

なぜこんなにたくさんあるのでしょうか？変更内容を確認する方法はありますか？

• ログイン試行で作成されていますか？
• Web Serverの毎日の使用に関連して作成されていますか？
• などなど

それらはレジストリの変更のバックアップではなく、実際には、レジストリの変更になる前のレジストリの変更です。.tmp基本的に、レジストリ変更用のファイルの種類。

Windowsでかなり一般的で非常に厄介な問題であったレジストリ破損に対する保護として、レジストリの変更が要求されたときにWindowsの新しいバージョンが行うことは、何もする前に要求された変更をファイルに書き込むことです。（ユーザーハイブの変更の場合、これらのファイルはの形式でありNTUSER.DAT{GUID}.TMContainer####################.regtrans-ms、順番に番号が付けられます-十分に戻って00000000000000000001ファイルが表示されるはずです。）Windowsが変更をレジストリに書き込むことが「安全」であると判断したら、そうし、その後、変更が行われたことを確認します。変更が行われた時点で、ファイルを削除し、他のOSタスクに移動します。このプロセスで何かが失敗すると、これらのファイルが蓄積されます。

そして、明らかに、あなたの場合、そのプロセスのどこかが適切に機能していません。サーバーに目を通すと、Event Logsロックされている、またはレジストリに変更を書き込むことができないというイベントの形で、これに関する大量のエラーが表示されることは間違いありません。（おそらくUnable to open registry for writingまたはの線に沿ってFailed to update system registry）。これらは、重大な問題の兆候である場合もあれば、一部のPITAプログラムがレジストリーが起動されて許可がないたびにレジストリーに変更を書き込みたいことを示している場合もあります。

また、変更が書き込まれる可能性は低くなりますが、ファイルのロックハンドルが適切に終了されていない場合、またはSYSTEM書き込み権限があるが、削除権限がない場合に発生するように、ファイルを削除できませんそれらのフォルダーの場所。

ソースを追跡して、これらのファイルのmd5合計（または類似）をすばやく実行して、それらがすべてであるか、ほとんど同じか（同じ変更がレジストリへの書き込みに繰り返し失敗することを示す）かどうかを確認するのに役立つ場合があります。または、重大な問題を示す可能性が高いバリエーションが多数ある場合-多くのプロセスでレジストリに書き込むことができない、または問題のユーザープロファイルが破損している。

これらの分析が完了したら、これらのファイル.blfまたは.regtrans-ms最後のシステム起動前に作成されたファイルを安全に削除できます。それらがレジストリに書き込まれる（またはされるべき）方法がないため、ジャンクです。

正確にそれらを作成することに関しては、それはほとんど何でもあり得るので、あなた自身を追跡しなければならないものです。Webコード内の何かがサイトにアクセスするたびにレジストリの変更を書き込もうとする可能性がありますが、アクセス許可がないため失敗します（確かに暗いものを見たことがあります）。レジストリへの書き込みを試み、権限が不足しているアクティビティ、および前述のように、それらが正常に作成および実行されている可能性もありますが、何らかの理由で意図したとおりに削除することはできません。

すべてのログ、特にEvent Logsレジストリ関連のエラーについてIISログをチェックして、原因を特定します。

これらのファイルは、プロファイルが再作成または開始されるときに作成されます。それらは常駐しているという意味で「署名」されており、したがって、必要に応じて侵入者またはハッカーの焦点になるため、トラブルの原因にもなります。

指示に従い、RT-CLKマイコンピューター、プロパティ、[システムの詳細設定]、[ユーザープロファイル]の[設定]を選択します。すべてのPROFILEのリスト、つまり、各ユーザーごとに1つのリストが必要です。

スローダウンは常に検査官を招き、時には重要なものを見落とすことがあります。ここの1台のマシンには、「DefaultProfile」という名前のPROFILEがありましたが、これはもちろん偽で削除されました。もう1つには、「Default Profile」という名前のPROFILEがありましたが、これも偽物です。ただし、後者は簡単に削除できません。

これは、誰かがハッキングしてクレッシェンドを構築していることを示しています。クレッシェンドは、3台目のマシンで約231GB（!!!）のユーザープロファイルになり、ブートが容赦ない待機状態になりました。最終的に、寛容なユーザーは、彼がずっとやっていたことが起こらなかったときにイライラしました。

管理者を含む、そのマシン上のすべてのユーザーアカウントは、HOME USERおよび/またはGUESTに変更されました。そこから昇格したコマンドプロンプトを取得してみてください！

そのため、ユーザープロファイルを削除してから新たにログインすると、DefaultProfileを使用して新しいプロファイルが作成され、Win10で、これはWindows Hieverで長年にわたって見た目が良くなる「こんにちは」ということで明らかです。ログオンしてC：\ Users \（なんでも）\ Appdata \ Local（隠しファイルの場合）を調べると、問題のあるREGTRANS-MSファイル、番号付き、ゼロ長が表示されます。

それらは変更で満たされ、多くの場合、使用中のファイルの設定に対して実行されるアクションに起因します。セッションが完了すると、変更が呼び出され、ファイル内のデータは、ログが広告/追跡用に作成されたものになり、Microsoftの「天才」だけが今やっていることの多くになります。

乾杯。