Ntuser dat это вирус или

Если Вас заинтересовало назначение файла ntuser.dat в Windows 7 или другой ее версии, а также как удалить этот файл, то эта статья поможет ответить на данные вопросы. Правда в том, что касается его удаления, поможет не слишком, так как это не всегда возможно, так как в случае, если Вы единственный пользователь ОС Windows, то удаление ntuser.dat может повлечь за собой неприятности.

Каждому профилю (имени) пользователя, имеющемуся в Windows, соответствует один отдельный файл ntuser.dat. Данный файл содержит системные данные, настройки, которые уникальны для каждого отдельного пользователя Windows.

Зачем нужен ntuser.dat

Файл ntuser.dat — это файл реестра. Таким образом, для каждого пользователя имеется отдельный файл ntuser.dat, содержащий параметры реестра только для данного пользователя. Если вы знакомы с реестром Windows, то Вам должна быть также знакома и его ветка HKEY_CURRENT_USER, именно значения этой ветки реестра и хранятся в указанном файле.

Файл ntuser.dat находится на системном диске в папке USERS/Имя_пользователя и, по умолчанию, это скрытый файл. То есть для того, чтобы его увидеть Вам понадобится включить отображение скрытых и системных файлов в Windows (Панель управления — Параметры папок).

Как удалить файл ntuser.dat в Windows

Не нужно удалять этот файл. Это повлечет удаление настроек пользователей и испорченный профиль пользователя. Если на компьютере с Windows имеется несколько пользователей — удалить ненужные вы можете в панели управления, но не следует это делать путем прямого взаимодействия с ntuser.dat. Тем не менее, если Вам необходимо-таки удалить этот файл, вы должны иметь привелегии Администратора системы и войти не под тем профилем, ntuser.dat для которого удаляется.

Дополнительная информация

Файл ntuser.dat.log, находящийся в той же папке, содержит информацию для восстановления ntuser.dat в Windows. В случае каких-либо ошибок с файлом, операционной система использует ntuser.dat для того, что исправить их. Если изменить расширение файла ntuser.dat на .man, то создается профиль пользователя, в настройки которого нельзя внести изменения. В этом случае, при каждом входе в систему, все сделанные настройки сбрасываются и возвращаются к тому состоянию, в котором они были на момент переименования в ntuser.man.

Боюсь, мне больше нечего добавить насчет этого файла, тем не менее, надеюсь на вопрос о том, что такое NTUSER.DAT в Windows, я ответил.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

25.11.2013 в 22:58

Да,иметь в наличие один-два файла ntuser.dat и к ним их лог-файлы
которые постоянно обновляются беспокойства не вызывают,
но когда таких файлов становится очень много и они складываются,но
не изменяются ни по объёму,ни по времени невольно задумаешься, а
зачем они нужны системе? Такие файлы ntuser.dat имеют расширение
regtrans-ms и blf и лежат без изменения месяцами,а то и годами,зачем?
А если их собралось сотни,то общий объём получается весьма внушительный.
Спасибо за внимание,с уважением Виктор.
А Ваш сайт очень интересный,много дельного.Оставил в закладках.
есть чему поучиться.
Спасибо!

26.11.2013 в 09:08

Файлы ntuser с расширением regtrans-ms и blf — это логи (файлы журнала), создаваемые при выполнении бэкапа (создании резервных копий). Если их удалить ничего страшного не произойдет.

26.11.2013 в 13:20

Спасибо! Коротко и ясно! В интернете много рассуждений про эти
файлы,но ничего конкретного.А система ставит эти комплекты
(2-regtrans-ms и 1-blf),как я понимаю,во время каких-либо экспериментов с ней — как допустим создание образа,работа с разделами и прочие подобные вещи.И удаляются они обычным
способом.
Спасибо Вам за дельную помощь,при работе с системными файлами дельные советы очень нужны.
С уважением Виктор!

26.01.2014 в 16:22

Спасибо,ваш ответ очень помог разобраться. Конкретно и понятно.

02.02.2014 в 17:18

а что делать с файлами с расширением .iobit и .iodefrag.bak?

03.02.2014 в 08:22

Это файлы Advanced System Care (соответственно, у вас эта программа есть или была). Первый — для отката в предыдущие состояния. Второй — судя по всему, резервная копия чего-то. Удаление второго, скорее всего, безопасно. Первого — тоже, но лишит сохраненной точки Advanced System Care

11.12.2015 в 17:48

12.12.2015 в 11:22

Здравствуйте. Нет, нельзя удалять этот файл.

21.01.2016 в 01:14

Однажды как я помню удалил этот файл и нечего серьезного не произошло но щас после ваших слов уже забоялся но всеравно попробую как то безапасно удалить хотя не удаляется даже через админ

06.09.2016 в 17:06

Я случайно увидел этот файл, раньше не обращал на него ни какого внимания. Установил у себя загрузчик grub 2 Теперь у меня на компьютере две оперативные системы, Windows и Ubuntu. Когда теперь включается компьютер я могу выбрать себе ту оперативную систему которая мне нужна в данный момент. Так и вот меня что удивило, несмотря на то что в Windows что бы войти, нужно ввести мой пароль, иначе никак. А просматривая папки через grub 2 я спокойно вошел в Windows и просматривал свои разные файлы и читал их без всякого пароля. Так и увидел что есть такой файл.

08.10.2016 в 12:19

09.10.2016 в 05:48

Здравствуйте. Не уверен, что дело в ваших действиях.
Но на всякий случай выполните проверку целостности системных файлов (инструкции есть и у меня и вообще в интернете).

04.03.2018 в 15:37

19.03.2017 в 10:30

У меня есть с расширением NTUSER.rhk и он не скрытый

20.03.2017 в 08:47

Этот файл создается программами wise registry cleaner и registry defrag как резервная копия каких-то частей реестра (нашел в англоязычном интернете, достоверность гарантировать не могу)

05.04.2018 в 19:59

Спасибо, помог понять что за эти файлы, а то не знал откуда они взялись, это файлы появились после очистки посторонним приложением.

30.06.2018 в 13:47

ntuser.dat тип:KMPlayer.dat размер:5,50 МБ — как это удалить с компьютера с Windows 10.Видимо я некорректно удалил с компьютера KMPlayer. Остались следы, которые проявляются в том, что при открытии любой папки на ПК в контекстном меню появляются строчки: добавить папку в KMP, добавить и воспроизвести в KMP. Я уже понял, что удалять ntuser.dat, а как это исправить? Помогите

01.07.2018 в 08:25

Нет, удалять ntuser.dat не нужно и этот файл не имеет отношения к kmplayer, просто вы все файлы с расширением .dat проассоциировали с KMP, вот он и пишет, что они к нему относятся, а по факту это не так.

08.09.2018 в 20:05

Если я создал резервную копию своей учетной записи, переустановил виндовс и через liveCD попробую восстановить папку учетной записи что будет? не повлияет ли это на загрузку?

09.09.2018 в 11:12

Не могу точно ответить. В теории, может повлиять, если целиком всю папку. А если только папки с данными перенести (документы, рабочий стол и т.п.) — не должно.

13.09.2018 в 06:00

и как же избавиться от КМР в контексном меню?

13.09.2018 в 11:49

А если заново установить KMP, а потом удалить его правильно (через панель управления)?

16.09.2018 в 02:56

А ярлыки рабочего стола также прописаны в файле ntuser.dat? Если да, то где? Есть один хороший LiveCD Win7 от xalex, и я хотел немного изменить в нём состав программ под свои нужды. Сами-то программы лежат на своём законном месте — в wim-файле в папке Program Files, а вот где упрятаны ярлыки для них, никак не могу найти. Хоть головой об подушку бейся. Если можете, подскажите, где в LiveCD-сборках может находиться информация о ярлыках меню пуск и рабочего стола.

14.09.2019 в 17:37

Приветствую. Папка C:\Users\UpdatusUser. Там имеются файлы NTUSER.DAT, но со скобками, буковками и циферками. К конечном итоге расширение в конце получается .blf и .regtrans-ms Например: NTUSER.DATбуквы-цифры.TM.blf и NTUSER.DATбуквы-цифры.regtrans-ms. Весят подобные файлы одинаково, в первом случае 64кб и 512кб во втором. И подобных файлов куча, все одинаково весят, только буковки и циферки кое чем отличаются.
Возник вопрос, а на кой леший эти файлы и можно ли их удалить?

14.09.2019 в 18:36

Здравствуйте.
И blf и regrant-ms можно удалять смело (но говорю только за эти файлы, если там что-то еще — то там уже нужно смотреть). Представляют собой журналы (логи) выполнения бэкапов автоматических.

Небольшая статья, в которой я, как обычно дам определение одному из странных файлов операционной системы. На него так же наговаривают, думая, что это вирус. Речь идет о файле Ntuser.dat. Можете наблюдать его по адресу: Системный диск:\Documents and Settings\Имя пользователя.

Никакой это, конечно, не вирус. Это файл профиля пользователя. В этом файле хранится такая ветвь реестра, как HKEY_CURRENT_USER. В то время, когда определенный пользователь начинает загружаться в системе, данная ветвь подгружается в реестр. Если пользователь делает какие-нибудь изменения, типа смены обоев на рабочем столе, то они записываются конкретно в эту ветвь реестра и сохраняются в файл Ntuser.dat.

Трогать и изменять файл Ntuser.dat крайне не рекомендуется.

Вебмастер. Высшее образование по специальности "Защита информации". Создатель портала comp-profi.com. Автор большинства статей и уроков компьютерной грамотности

У меня даже 2 таких папок появилсь. Уже неделю не могу зайти через Мазилу, подменяется стр. Вирусник то и дело предупреждает о попытке подключения вредоносного сайта.Пишет и порт и ID.НО ЧТО С ЭТИМ ДЕЛАТЬ НЕ ЗНАЮ.

я лично удалял через Unlocker,да-при перезагрузке заходил с временным профилем,но ВАЖНО. ваше старый профиль остался,но в него не зайти(лично у меня не поулчилось),я просто удалил его и создал новый-ВЫВОД винда 7х64-с ней всё в порядке,только обидно что заново восздовать все настройки как были в профиле как правило это СОХРАНЕНИЯ ИГР итд

К моему сожалению подтверждаю, то что сказал Санёк.
В Win 7 удалил файл и еще парочку с ним через безобидный Unlocker 1.9.2.

Комп грузится с временным профилем и три ярлыка на рабочем столе вместо тридцати файлов. Сбились все настройки от системного языка до закладок браузеров.

Восстанавливаю файлы из Корзины — комп перестает загружаться. Идет "Загрузка профиля", потом "Завершение сеанса" и замирает на входе пользователя в систему.

Получается я удалили целую ветку реестра из-за подозрения, что это вирус (((( (слезы и сопли)

Знает кто из профи какие файлы Unlocker заодно удалил? Можно ли их найти и восстановить?

Иначе в понедельник винду сносить, что очень нежелательно.

Спасибо, что дочитали пост до конца.

У меня целая куча строчек, начинающихся на (красный !)и ntuser.dat ….. недавно я половину из них удалила (выбирала наобум — где-то 2011 год и чтобы по размеру не слишком большие, а так, средние), свободного места на диске С прибавилось. (НИКОМУ ЭТО ДЕЛАТЬ НЕ РЕКОМЕНДУЮ, Т.К. Я В ЭТОМ НИЧЕГО НЕ ПОНИМАЮ, А ИЩУ СОВЕТА. )И комп нормально работает, и все игры и прочее тоже. А, говорят -их трогать нельзя. Кто подскажет, где правда.

на самом деле NTUSER.DAT это родитель всех наших учетных записей удаление его несет крах системы. виндовс создает временный файл, но сделат пользователя уже нельзя. Многие вирусы работают в счет того что посредством этого файла создаюст себе пользователя с высоким приоритетом прав. и блокируют ваши учетные записи. Таких пользователей можно посмотреть в Управлении компьютером->локальные пользователи и группы->пользователи

я раз удалил по неопатности этот файл и результат был плочевный Вход в систему выполнен с временным профилем писал комп мне . НЕТРОГАЙТЕ ЕГО И ЗАБУДЬТЕ ПРО НЕГО ВАМ МОЙ СОВЕТ

удалю ка я его по быстренькому))))))))

у меня при выключении компьютера выходит сообщение что ntuser.dat.LOG поврежден, когда зашла по адресу там нет этого файла вообще.Комп стал по крупному тормозить. Подскажите это взаимосвязано?

блин я чуть его на удалил

эта точна вирус. он у меня деньги с телефона снял и перевел на счет боливийских нищих, курал правый носок и корм кота.

ребят вы угараете 😀 NTUSER.DAT это файл профиля, а все ваши вирусы, это не NTUSER.DAT) учитесь читать и думать)а то правда, как дауны недоразвитые)

как удалить NvCpiDaemon

Не смог выйти из Интернета через "ПускПодключение", пришлось перезагружать компьютер. При проверке компьютера обнаружил файл "ntuser.dat" (4,608 МБ). Тут же решил узнать про файл в Интернете, но подключиться через "ПускПодключение…" не смог. "USB Fire Wall" выдало предупреждение "The USB devace in G:tries to launch Startup.ico. Click on Delete to stop this application if it`s already running and delete this file!. Не послушался-после "Cancel" вышло сообщение "PAY ATTANTION! THIS MAY BE A VIRUS!". К Интернету смог подключится через "ПускВсе программы…Wizard …". Хотелось-бы знать: кто или какая прграмма устанавливает этот файл и зачем он нужен? Ведь для восстановления системы при сбоях есть другие возможности. Этот файл очень беспокоит меня, но трогать и изменять его почему-то настоятельно не рекомендуют. Что случится, если удастся удалить этот файл? Ведь до сих пор обходился-же без этого файла!

А у меня NTUSER.DAT появляется в папке юзеры с закачанных через торренты файлах,и,гад,не удаляется.И что делать? Это точно шпион какой-то.

Я то де считаю, что вирус не можнет быть провилем windows

NTUSER.DAT а как это удалить

Вы дауны,недоразвитые — это профиль в виндовс, а не вирус.

скорее всего это вирусок

Андрей, то же самое… +контакт после появления этого файла требует смс отправить=/

Увлекательный блог увлеченного айтишника

На своем компьютере или ноутбуке вы можете найти файл под названием Ntuser.dat. Он является скрытым, поэтому до определенной поры многие пользователи о нем вообще ничего не знаю. На деле же это файл реестра, который содержит в себе настройки профиля пользователя.

Найти этот файл вы можете последующим адресам:

C:\Documents and Settings\Имя пользователя

Для Windows 7 и 8

Обратите внимание, что диск C в данном случае указан как системный. Если операционная система Windows у вас располагается на другом диске, значит, вам нужно будет подставить букву системного диска.

Теперь чуть более подробно об указанном файле. Итак, ntuser.dat содержит ту информацию о профиле, которая загружается в определенную ветвь реестра. В этой ветви находятся такие важные данные, как пользовательские настройки. Они, как вы можете догадаться, зачастую отличаются у различных пользователей компьютера. К таким настройкам можно отнести настройку внешнего вида ОС, настройки программ и т.д. Если вы поменяете какие-либо настройки в своем профиле, те тотчас изменятся и в ветке реестра. Они же сохраняются в файле ntuser.dat.

Обратите внимание, что в каждом из профилей, которые созданы на компьютере, вы можете найти файл ntuser.dat. Несмотря на одинаковое название, эти файлы в большинстве будут отличаться друг от друга, ведь в них, как мы выяснили только что, сохранены различные настройки. Поэтому и размер файл может быть разным.

Можно ли удалить файл ntuser.dat?

Теоретически можно, но зачем это нужно? Ведь при удалении указанного файла происходит потеря информации о данном профиле. Если вам необходимо удалить, скажем, другой профиль пользователя, который не используется на компьютере, лучше сделать это с помощью данной процедуры.

Как отредактировать ntuser.dat?

Вы можете отредактировать данный файл с помощью встроенного в Windows редактора реестра. Но я бы крайне не советовал вам этого делать по той простой причине, что вы можете сделать что-то не то и тогда высока вероятность того, что система в следующий раз просто не загрузится. Поэтому вы делаете все исключительно на свой страх и риск!

Нажимаем на сочетание клавиш WIN+R, после чего появляется окно. В нем пишем regedit и нажимаем ОК.

Нажмите на ветку HKEY_USERS, что открылись и другие компоненты, как показано на скриншоте.

Далее нужно написать имя для раздела. Придумываете любое, например, 123.

Производите редактирование ветвей реестра для профиля, если это необходимо.

После чего выгружаете куст с помощью меню.

Еще раз обращаю внимание: если вы не знаете, что именно стоит редактировать в реестре, не трогайте ничего, что бы избежать возможных последствий.

Комментарии к записи “ Ntuser.dat: что это за файл и как его удалить? ”

почему у меня на одном компе есть этот файл, а на другом он отсутствует?

Во время рассмотрения различных файлов ОС Windows может появиться вопрос: ntuser dat — что это за файл? Интерес к нему появляется из-за нестандартного расширения, которое встречается в системе крайне редко. Сам файл весит мало, от 0,25 до 8 мегабайт памяти. Но он представлен не в одном экземпляре, в десятке как минимум 4-6 штук. В статье будет рассмотрено, что представляет собой файл, зачем он нужен и можно ли убрать ntuser dat.

Файл NTUSER.DAT:

Его особенность в непривычном расширении, которое напрямую указывает на предназначение.

Расширение dat обозначает, что данный файл относится к реестру. То есть, посмотреть его можно исключительно через редактор.

На самом деле одноименных файлов в системе несколько:

В конкретной ОС Windows количество мест нахождения файла отличается. Система может содержать как всего один экземпляр, так и их десяток.

Есть и другие файлы с аналогичными названиями:

• ntuser.dat.log – это своеобразная инструкция для восстановления рассматриваемого документа. Обычно находится недалеко от Ntuser.dat. Если элемент реестра повреждён, тогда система из лога берёт данные, которые помогают вернуть файл в рабочее состояние.
• ntuser.dat с приставкой regtrans-ms или blf – это компоненты ОС, включающие записи о проведенных операциях с реестром. Они появляются после создания точки восстановления системы.
• Аналогичные файлы с приставками iobit или bak относятся к конкретной программе. Скорее всего, это чистильщик ОС или утилита для сканирования системы на вирусы.

В данном файле реестра сохраняется пользовательская и системная информация о профиле. Сюда относятся различные настройки Windows и программы, параметры совместимости и прочие аналогичные данные. Вся перечисленная информация крайне важна, без нее нормально работать с системой невозможно.

Чтобы изучить содержимое файла, нужно иметь хотя бы базовые навыки работы с реестром. А можно воспользоваться инструкцией в соответствующем пункте статьи. Контент документа в редакторе называется HKEY_CURRENT_USER.

В каких случаях появляются ошибки в файлах типа DAT?

Неисправности, в которых есть файлы с расширением dat, проявляются при включении ПК, открытии приложения или запуске конкретного элемента расширения: печать, справка и прочее.

Чаще всего проблема с NTUSER.DAT выражается в следующих сообщениях:

Вызывать перечисленные неисправности могут практически любые приложения и компоненты Windows. Чаще всего – это редактор реестра или другие программы, непосредственно работающие с библиотекой системы. Иногда ошибка проявляется в процессе инсталляции Windows или подключении конкретного элемента ОС.

Частым источником неполадок является повреждение файла или его полное отсутствие. Этому виной могут быть вирусы или неверная пользовательская настройка.

Почему появляются ошибки:

• нарушение целостности отдельных записей реестра, которые часто относятся к системе;
• вирусное повреждение файла;
• намеренное или случайное удаление ntuser сторонними приложениями;
• конфликт утилиты от стороннего разработчика с Windows;
• незавершенная установка системы или ошибка во время ее инсталляции.

Как открыть NTUSER.DAT?

У пользователя есть возможность открыть файл для изучения информации или ее изменения.

Посмотреть содержимое файла легко:

Чтобы изменить файл, также потребуется редактор реестра, но дополнительно нужно сделать еще пару действий:

Важно! Любые манипуляции с реестром опасны — неверная настройка часто приводит к выходу из строя отдельных компонентов системы или всех Windows. Чтобы обезопасить свою ОС, перед началом редактирования лучше создать точку восстановления. Если что-то пойдет не так, то всегда будет возможность восстановить работу системы.

Данная инструкция позволяет менять параметры для любого пользователя Windows, не переходя в нее через окно входа.

Как восстановить файл?

Если появляется любая из перечисленных ошибок, то данный элемент реестра нужно восстанавливать. Как это сделать в разных версиях ОС описано ниже.

В седьмой версии Виндовс есть несколько вариантов восстановления:

• использование инструкции для Windows XP, но файл находится в разделе C:\Users\ник;
• применение специальных программ для восстановления реестра, вроде Registry Recovery Toolbox или Windows Repair;
• запуск утилиты сканирования системы – sfc /scannow (команда для консоли).

Все методы для седьмой версии применимы и к , поэтому можно использовать прошлую инструкцию.

Можно ли удалить файл NTUSER.DAT?

Убрать его можно, но нежелательно. Это повлечет за собой выход из строя Windows. Результат процедуры непредсказуемый, но практически на 100% негативный. Необходимости удалять компонент системы нет даже с целью освобождения места, ведь он занимает считанные мегабайты памяти.

Если все-таки есть стойкое желание деинсталлировать файл, это следует сделать так:

Автор Якоб Хейдельберг (Jakob H. Heidelberg)

В некоторых случаях вам понадобиться удалить, добавить или изменить некоторые части реестра для всех пользователей на компьютере одновременно. В большинстве случаев мы предпочитаем использовать объект политики группы Group Policy Object (GPO) для пользователей, чтобы удалить или добавить определенное значение, но когда дело касается удаления значений, то мы должны использовать сценарии (к несчастью, вы можете сказать). Также, иногда нам необходимо выполнить задачу по очистке единым процессом, не дожидаясь пока все пользователя зайдут на компьютер. В этой статье мы расскажем, как это сделать простым способом.

Мы узнаем, как делать изменение реестра с помощью очень эффективного сценария и объединив его с GPO на уровне компьютера (включение или выключение), вместо использования GPO для пользовательского объекта (вход или выход).

Почему я должен это делать?

Итак, почему же это является очень умным подходом? Может быть, вы хотите делать очистку всю ночь, когда вы можете убедиться, что изменено определенное значение (удалено, добавлено или изменено) следующим утром!

В других случаях у пользователя может быть недостаточно прав для выполнения задач по очистке или модификации. Ключ реестра (registry key), который вы хотите изменить, может быть защищен особыми правами, в результате чего может быть невозможным использование GPO пользователя (т.к. он запускается в контексте пользователя). Самая замечательная вещь заключается в том. Что сценарии, выполняющиеся при запуске компьютера (startup script) запускаются от имени учетной записи System, поэтому помните об это, это может пригодиться во многих ситуациях!

Предупреждение! Код, представленный в этой статье, написан только для тестирования – используйте его в промышленной среде на свой собственный страх и риск. Приведенный код немного упрощен для облегчения чтения и восприятия. Пожалуйста, проверяйте функциональность этого сценария в тестовой среде до того, как использовать его в промышленной среде. Вы можете добавить дополнительную обработку ошибок, журнализацию и дополнительную функциональность на свое собственное усмотрение!

Я не говорю, что код не работает, просто хочу убедиться, что вы понимаете всю опасность запуска его в промышленной среде.

Фон

Перед тем, как мы начнем углубленное изучение кода, хочу немного рассказать о реестре, чтобы все стало совсем понятно.

Очень часто люди думают, что часть реестра HKEY_USERS – это место, где вы можете увидеть все локальные профили (local profile) на данном компьютере. Однако, это не так. В разделе HKEY_USERS представлен список профилей, которые в текущий момент загружены на машине, или так сказать, профили, которые активны в памяти. Как только пользователь заходит на компьютер, новая запись будет видна в этой части реестра.

Рисунок 1

Как показано на рисунке 1 вы увидите, что загружено несколько профилей даже несмотря на то, что в консоли загружен один пользователь. Когда пользователь выходит, хайв или улей реестра ( Registry Hive ) выгружается и больше не виден в разделе HKEY_USERS. Ниже приведено краткое объяснение загруженных хайвов:

".DEFAULT" – профиль пользователя по умолчанию – это не то, что могут видеть все пользователи (как общий профиль (Public) или профиль все пользователи (All Users)) а также это не профиль реестра, который копируется для всех новых профилей пользователей на компьютере (это заблуждения). Это стандартный профиль, который загружен даже тогда, когда никто не вошел на компьютер – поэтому он также называется загрузочный профиль (startup profile – загружается еще до того момента, как вы заходите на компьютер). Изменив значения этого профиля вы можете менять такие настройки, как заставка на экране для входа (Ctrl+Alt+Delete), начальное значение кнопок Num/Caps Lock.

"S-1-5-18" – это "System" Security Identifier (SID)

"S-1-5-19" - это "LocalService" SID

"S-1-5-20" – это "NetworkService" SID

Профиль или идентификатор безопасности (SID), начинающийся на "S-1-5-21-" и оканчивающийся на "-500" – это SID встроенной учетной записи администратора (Administrator account). Реальные и активные профили пользователей – это все другие записи в разделе реестра HKEY_USERS. В примерах сценариев, включенных в эту статью, вышеуказанные профили не трогаются – задействуются только профили обычных пользователей – вы можете это легко изменить, добавив несколько строк в коде.

Загрузить мой улей (Hive)…

Итак, что если я захочу изменить профиль пользователя, который в настоящий момент не находится на компьютере? Есть по крайней мере два способа:

1 – вручную загрузить хайв или улей в Regedit

2 – создать сценарий, который загружает хайв динамически.

Давайте рассмотрим первый вариант. Если вы откроете Regedit (Start &rt; Run &rt; Regedit) и найдете раздел HKEY_USERS (вы должны щелкнуть или выделить его), затем перейдете к меню File (Файл), то вы сможете выбрать "Load Hive…" (смотри Рисунок 2)

Рисунок 2

После этого появится окно, в котором необходимо указать путь к файлу NTUSER.DAT (смотри Рисунок 3)

Рисунок 3

Файл NTUSER.DAT располагается в папке с профилем пользователя. Выше вы можете увидеть файл NTUSER.DAT для пользователя 'test2'. Это файл расположен прямо в папке "C:\Documents and Settings\test2\" – в операционной системе Windows Vista профили пользователей (user profile) обычно хранятся в папке "C:\Users\".

Если вы не нашли файл NTUSER.DAT, как изображено на рисунке 3, то вы должны перейти Tools &rt; Folder и выбрать настройку "Show hidden files and folders" (отображать скрытые папки и файлы).

После того, как мы загрузили улей на время, мы должны дать ему название – выберите его сами. На рисунке 4 и в примере сценария мы используем название: 'TmpLoadHive'.

Рисунок 4

Нажмите на кнопку OK и иерархия улея будет видна, как изображено на рисунке 5.

Рисунок 5

На рисунке 5 мы раскрыли улей под названием 'TmpLoadHive', чтобы показать структуру улея пользователя – она будет выглядеть точно также для любого другого пользовательского реестра. Она идентично тому, чтоб будет иметь пользователь в разделе реестра HKEY_CURRENT_USER (HKCU) после входа на компьютер.

После этого не забудьте выгрузить пользовательский улей (user hive), выделив улей 'TmpLoadHive' и перейдя в меню File &rt; "Unload Hive…" (выгрузить улей), как показано на рисунке 6.

Важно! Если вы не выгрузите хайвы, то вы не сможете снова загрузить этот улей до перезагрузки, т.к. вы не можете загрузить уже загруженный улей (это также подходит для вошедших пользователей, включая быстрое переключение пользователей).

Рисунок 6

Эта процедура может быть очень раздражающей, если ее необходимо повторить для всех профилей пользователей (user profile) на всех компьютерах во всех ваших доменах, не так ли? К счастью у нас есть еще один метода поиска с помощью нашего старого друга REG.EXE.

Спасение старого друга

Команда REG.EXE имеет два очень полезных параметра: LOAD и UNLOAD. Они делают тоже самое, что мы делали вручную выше. Нам лишь необходимо указать временное название улея и полный путь к файлу NTUSER.DAT, который мы хотим загрузить в память.

Вам нужен пример сценария? Хорошо, чтобы задать фон для пользовательского профиля по умолчанию (Default User profile), мы можем выполнить следующий код:

REG.EXE LOAD HKU\DefU "C:\Documents and Settings\Default User\ntuser.dat"
REG.EXE ADD "HKU\DefU\Control Panel\Desktop" /v Wallpaper /d "C:\Windows\Wallpaper.bmp" /f
REG.EXE UNLOAD HKU\DefU

Код, приведенный выше, сначала загрузит (LOAD) улей для пользовательского профиля по умолчанию (Default User profile) во временный улей под названием "DefU" в разделе "HKEY_USERS" базы данных реестра. Затем он установит значение реестра для фона в профиле (Default User profile), который является профилем, который автоматически копируется при создании пользователей (в момент первого входа). Наконец, он выгрузит (UNLOAD) временный улей.

Как я могу найти файлы Ntuser.dat с помощью сценария?

Если мы хотим загрузить улеи всех пользователей на данном компьютере, то мы должны найти все профили пользователей на этом компьютере самым простым способом. Конечно, мы можем просто просматривать в коде все папки внутри "Documents and Settings" - или "Users" на компьютерах с операционными системами Vista/Windows Server 2008 – но есть лучший способ, который к тому же более точный.

В следующем ключе реестра:

вы можете найти правильный путь к профилю для всех локальных пользователей. XXX – это SID пользователя, поэтому просмотрев все эти ключи реестра мы сможем получить пути ко всем локальным файлам NTUSER.DAT.

Я написал функцию на языке VB Script, которая отображает все папки с профилями пользователей на данном компьютере (в одну строку, разделенные символом "|") – для локальной или удаленной машины. Функция исключает профили для учетных записей Systemprofile, LocalService, NetworkService и Local Administrator – в большинстве случаев они не нуждаются в очистке, но предложение ElseIf можно в случае необходимости легко убрать. Функция называется "GetUserProfileDirsFromRegistry" и ее можно найти здесь .

А как насчет временных (Roaming) профилей, вы можете спросить? Хорошо, все что нам нужно – это файлы NTUSER.DAT, поэтому как насчет того, если вы измените временные профили и напишите сценарий, который просматривает временные профили..

Удалить это значение или ключ …

Итак, мы знаем, как загрузить (или смонтировать) пользовательский улей (user hive) с помощью сценария, теперь нам нужно изменить что-либо в улее. Это можно сделать сотней способов, я выбираю для этого две функции – обе из них удаляют содержимое внутри загруженного улея реестра (registry hive). Ниже приводится объяснение:

После вирусной атаки вам может понадобиться очистить ключ 'Run':

для всех локальных пользователей. Некоторые вредоносные программы (malware created) создают запись, от которой вам необходимо избавиться– для этих целей я написал подпрограмму DeleteSingleValueFromTmpLoadHive . Эта программа удаляет одно значение из реестра.

Вы также можете удалить целый ключ из реестра (registry key), включая дочерние ключи и значения. "HKEY_CURRENT_USER \Software\Windowsecurity.com", для этих целей я использую подпрограмму DeleteKeyAndSubsFromTmpLoadHive .

Золотая комбинация

После объединения всего изученного нами, и запустив сценарий, написанный на языке VBS, мы получаем сценарий, который выполняет следующие задачи:

1. Находит все папки с профилями на локальном компьютере благодаря чтению значений реестра, о которых мы говорили выше
2. Игнорирует все встроенные системные профили (OS profile), включая учетную запись локального администратора
3. Загружает улей реестра (registry hive) из файла NTUSER.DAT, расположенного внутри папки с профилем
4. Удаляет ключ реестра, включая все дочерние ключи и значения для каждого подмонтированного профиля пользователя (user profile) *
5. Удаляет отдельное значение реестра для каждого подмонтированного профиля пользователя (user profile) **

Сценарий не выдает окно подтверждения после выполнения, и все ошибки, возникшие в ходе выполнения, подавляются (с помощью предложения 'On Error Resume Next'). В случае необходимости такое поведение сценария можно исправить. Т.к. эта статья посвящена не написанию кода, то я не могу слишком сильно углубляться в его описание, но если вы немного знакомы с написанием сценариев, то вы прекрасно поймете, что там происходит.

Полный пример кода вы можете увидеть и загрузить здесь ! Он был проверен на компьютерах с операционными системами Microsoft Windows XP, Microsoft Windows Server 2003 и Microsoft Windows Vista.

SYSTEM здесь!

Таким образом мы можем изменить реестр на одном компьютере, на локальном компьютере, с которого мы запустили сценарий, или если быть более точными, для всех пользователей на нем. Однако, существует одно большое ограничение: обычно, пользователи (к счастью) не являются локальными администраторами, поэтому они не смогут изменить реестр для других пользователей! Это значит, что локальный администратор должен вручную выполнить сценарий на всех компьютерах в домене, либо сделать что-то более эффективное: использовать политику группы Group Policy на уровне компьютера и настроить сценарий, выполняющийся при запуске компьютера (computer startup script). Чтобы узнать больше о сценариях, запускающихся при запуске компьютера, загляните в раздел внешних ссылок.

Прелесть сценариев, запускающихся при запуске компьютера (computer startup script) заключается в том, что все они запускаются в контексте локальной системы (Local System), очень мощной учетной записи (от имени которой вы можете сделать практически все), и все они могут быть запущены на тысяче компьютеров за несколько минут, заменив GPO на уровене домена Active Directory, сайта или организационной единице Organizational Unit (OU)!

Пожалуйста, обратите внимание, что первая загрузка GPO на новом компьютере может окончиться неудачей, в этом случае вам необходимо перезагрузить компьютер (и, может быть, выполнить команду GPUPDATE /FORCE). Также, сценарию необходимо время на выполнение – обе из этих проблем могут возникнуть во время загрузки системы.

Если вы обладаете функциональность Wake-On-LAN (разбудить по сети или WOL) в сети, то вы можете загрузить компьютеры в ночное время, выполнить необходимую работу по очистке компьютеров, а затем снова их выключить. Таким образом, благодаря совместной работе WOL и политики группы Group Policy, мы выполним очень эффективную работу за короткий промежуток времени – или любую другую работу: Вы ограничены лишь своим воображением!

Заключение

Мы узнали, как объединить сценарии, которые запускаются при запуске компьютера (startup script) с политикой группы Group Policy, для выполнения работы по очистке реестра очень эффективным способом. Теперь мы можем обновлять профили пользователей (user profile) даже если они в настоящее время не находятся на своем компьютере.

Такой подход можно развить, чтобы в дальнейшем изменять другие части профилей, например, файлы и папки, для всех пользователей на данном компьютере. Вздохните с облегчением и шлите отзывы и идеи, которые возникли у вас по этому поводу.