NTUSER.DAT和UsrClass.dat文件由成千上万个生成，为什么并且可以删除？

我注意到，我的Web服务器2008 Xen VM逐渐失去了可用空间-比正常使用情况要多，我决定进行调查。

有两个问题区域：

*C:\Users\Administrator\ (6,755.0 MB)*

with files: 

NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf

和

C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)

with files

UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf

据我了解，这些是注册表更改的及时备份。如果真是这样，我将无法理解为什么会有10000多个更改。（这是每个文件夹位置有多少个文件，每个文件夹总共超过20,000个。）

这些文件占用了将近15GB的空间，我想摆脱它们，我只是想知道是否可以删除它们。但是，我需要了解为什么要创建它们，以便将来避免这种情况。

任何想法为什么会有那么多？有什么方法可以检查所做的修改吗？

它们是通过登录尝试创建的吗？
是否根据Web服务器的日常使用创建它们？
等

windows-server-2008 windows-registry user-profile

— 安东尼
source

因为您不相信有太多更改，所以第一步将是运行防病毒和防恶意软件扫描，以检查日志中是否存在可疑活动，例如不应该进行的登录。

— 约翰·加迪尼尔

Answers:

它们不是注册表更改的备份，实际上，它们是对注册表的更改，然后才成为对注册表的更改。.tmp本质上，用于注册表更改的文件类型。

为了防止注册表损坏（这在Windows中曾经是一个非常普遍且非常棘手的问题），在请求对注册表进行更改时Windows的较新版本会执行什么操作，然后在执行任何操作之前将请求的更改写入文件。（对于用户配置单元中的更改，这些文件采用的形式NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms，并按顺序编号-返回足够远，您应该会看到一个00000000000000000001文件。）Windows确定将更改写入注册表是“安全的”之后，这样做，然后，它将验证所做的更改，这时它将删除文件并移至其他OS任务。当此过程中的某些操作失败时，您最终会积累这些文件。

很明显，在您的情况下，该过程中的某些地方无法正常工作。我敢打赌，如果您查看服务器Event Logs，将会看到大量错误，例如注册表被锁定或无法写入更改的事件。（可能沿着Unable to open registry for writing或Failed to update system registry）。这些可能表明存在严重问题，也可能表明某些PITA程序每次启动注册表且未经许可时都希望将更改写入注册表。

也有较小的可能性正在写入更改，但无法删除文件，如果文件的锁定句柄未正确终止，或者SYSTEM具有写入权限，但缺少删除权限，则会发生这种情况这些文件夹位置。

它可能有助于追踪源以对这些文件进行快速md5求和（或类似操作），以查看它们是否全部或大部分相同（这表明相同的更改一次又一次无法写入注册表），或者存在很多差异，这很可能表示一个严重的问题-注册表无法由许多进程写入，或者相关的用户配置文件已损坏。

一旦完成对它们的分析，就可以安全地删除在上一次系统引导之前创建的所有文件.blf或.regtrans-ms文件。无法将它们（或应该）写入注册表，因此它们是垃圾。

至于创建它们的确切内容，这是您必须自行查找的内容，因为它几乎可以是任何东西。每次访问该网站时，Web代码中的某些内容可能试图写一个注册表更改，但是由于权限不足而失败（我肯定看到过愚蠢的事情），它们可能是由用户登录以及随后的登录生成的尝试写入注册表并缺少权限的活动，如前所述，甚至有可能正常创建和执行它们，但由于某种原因无法按预期将其删除。

检查所有日志，特别是Event Logs与IIS日志有关的注册表错误，以缩小范围并找出造成此问题的原因。

— 绝望的N00b
source

我有点想这将是大海捞针的工作。您当然给了我很多帮助。当我可以坐下来追踪时，我会这样做，但是现在我选择将其存档和删除。从您所说的内容来看-我不需要存档，只需删除它们？我觉得这可能是对RDP上的登录尝试的回应。问题是我无法将访问锁定到静态IP。我仅启用了安全的RDP客户端，尽管这减慢了尝试的速度。当我有更多信息时，我会回复，因为如果找到原因，它可能会对其他人有所帮助。

— 安东尼

我遇到的另一个问题是，Web服务器是提供者创建的预制的，预安装的模板-他们可以在我开始自定义配置之前就将其存储起来。谁知道。这不是我第一次遇到因技术不称职而引起的问题。

— 安东尼

@Anthony好，将它们存档对于分析它们很有用，但是实际上，不，您可以安全地删除它们。明智的做法是只删除上次重新启动之前的那些，或者干净地重新启动操作系统，然后删除所有它们，以防某些尚待写入。至于通过RDP的登录尝试...我不这么认为，因为在成功登录之前，您不应该提示任何注册表写操作...然后再说一次，这是一个非常严重的情况，所以也许值得考虑这种行为也可能完全来自某个地方。

— HopelessN00b 2012年

这些不是“恢复”或“新闻”文件。这些只是活动注册表事务的内容。参见例如books.google.ru/books?id=w65CAwAAQBAJ&pg=PT460

— ivan_pozdeev，

-1

这些文件是在重新创建或启动配置文件时创建的。它们也是麻烦的根源，因为它们是常驻的，因此具有“签名”意义，因此，如果您愿意，它们也将成为入侵者或黑客的焦点。

按照说明“ RT-CLK我的电脑”的“属性”，选择“高级系统设置”，然后在“用户配置文件”下选择“设置”。您应该期望所有PROFILE的列表，即每个USER一个。

放慢速度总是会邀请检查员，有时他们会忽略一些可能很重要的事情。在这里的一台计算机上，有一个名为“ DefaultProfile”的PROFILE，它当然是虚假的，已被删除。另外，还有一个名为“ Default Profile”的PROFILE，它也是伪造的。但是，后者不容易去除。

这表明有人入侵并正在逐步升级，该机器在第三台计算机上已成为约231GB（!!!）的用户配置文件，使引导成为无情的等待体验。最终，宽容的用户由于一直没有做的事情而感到恼火。

该计算机上的所有用户帐户（包括管理员）已更改为HOME USER和/或GUEST。只需尝试从中获取提升的命令提示符！

因此，如果您删除一个用户配置文件，然后重新登录，则使用DefaultProfile和Win10会构建一个新的配置文件，“ Hi” baloney可以证明这一点，多年来，它看起来比Windows Whatever更好。如果要登录，然后查看C：\ Users \（无论如何）\ Appdata \ Local（用于隐藏文件），您将看到有问题的REGTRANS-MS文件（编号和零长度）。

它们充满了更改，这些更改通常会导致对使用中的文件的设置采取措施，但这仍然是不行的。会话完成后，将进行更改，文件中的数据将成为填充日志，用于广告/跟踪以及整个过程，只有Microsoft的“天才”才可以使用。

干杯。

— 斜T
source