Ergebnis 1 bis 15 von 15
Danke Übersicht38Danke
  • 3 Post By Rheinhold
  • 2 Post By micha6070
  • 11 Post By Ari45
  • 9 Post By Martin
  • 3 Post By Rheinhold
  • 3 Post By Martin
  • 2 Post By diogenes
  • 3 Post By Rheinhold
  • 2 Post By KohnenA
Thema: Prozesse und Dienste finden Hallo Forum, wie kann man herausfinden, von welchen Prozess(en) diese Dateien erzeugt werden? Weder in der Regedit noch in der ...
  1. #1
    KohnenA
    kennt sich schon aus Avatar von KohnenA

    Frage [erledigt] Prozesse und Dienste finden

    Hallo Forum,

    wie kann man herausfinden, von welchen Prozess(en) diese Dateien erzeugt werden?

    Weder in der Regedit noch in der Msconfig finde ich Hinweise.
    Auch aus der kompletten Ereignisanzeige kann ich keine Informationen ableiten.

    Hier die gesicherten Dateien:
    Code:
    NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf                                      BLF-Datei           64 KB 14.04.2011 19:27:54
    NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms REGTRANS-MS-Datei  512 KB 14.04.2011 19:27:54
    NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms REGTRANS-MS-Datei  512 KB 14.04.2011 19:27:54
    
    ntuser.dat{4aa7a433-4a9f-11e2-ac52-0027136982cb}.TM.blf                                      BLF-Datei           64 KB 20.12.2012 19:41:41
    ntuser.dat{4aa7a433-4a9f-11e2-ac52-0027136982cb}.TMContainer00000000000000000001.regtrans-ms REGTRANS-MS-Datei  512 KB 20.12.2012 19:41:41
    ntuser.dat{4aa7a433-4a9f-11e2-ac52-0027136982cb}.TMContainer00000000000000000002.regtrans-ms REGTRANS-MS-Datei  512 KB 20.12.2012 19:41:41
    
    ntuser.dat{9e758df0-4acc-11e2-86d6-0027136982cb}.TM.blf                                      BLF-Datei           64 KB 20.12.2012 20:28:32
    ntuser.dat{9e758df0-4acc-11e2-86d6-0027136982cb}.TMContainer00000000000000000001.regtrans-ms REGTRANS-MS-Datei  512 KB 20.12.2012 20:28:32
    ntuser.dat{9e758df0-4acc-11e2-86d6-0027136982cb}.TMContainer00000000000000000002.regtrans-ms REGTRANS-MS-Datei  512 KB 20.12.2012 20:28:32
    
    ntuser.dat{9b34813a-fea0-11e2-8ffc-0027136982cb}.TM.blf                                      BLF-Datei           64 KB 06.08.2013 16:52:33
    ntuser.dat{9b34813a-fea0-11e2-8ffc-0027136982cb}.TMContainer00000000000000000001.regtrans-ms REGTRANS-MS-Datei  512 KB 06.08.2013 16:52:33
    ntuser.dat{9b34813a-fea0-11e2-8ffc-0027136982cb}.TMContainer00000000000000000002.regtrans-ms REGTRANS-MS-Datei  512 KB 06.08.2013 16:52:33
    
    ntuser.dat{f068c168-1bcf-11e3-8976-0027136982cb}.TM.blf                                      BLF-Datei           64 KB 12.09.2013 19:48:50
    ntuser.dat{f068c168-1bcf-11e3-8976-0027136982cb}.TMContainer00000000000000000001.regtrans-ms REGTRANS-MS-Datei  512 KB 12.09.2013 19:48:50
    ntuser.dat{f068c168-1bcf-11e3-8976-0027136982cb}.TMContainer00000000000000000002.regtrans-ms REGTRANS-MS-Datei  512 KB 12.09.2013 19:48:50
    
    ntuser.dat{0d0d1d11-1bd2-11e3-b06b-0027136982cb}.TM.blf                                      BLF-Datei           64 KB 12.09.2013 20:08:30
    ntuser.dat{0d0d1d11-1bd2-11e3-b06b-0027136982cb}.TMContainer00000000000000000001.regtrans-ms REGTRANS-MS-Datei  512 KB 12.09.2013 20:08:30
    ntuser.dat{0d0d1d11-1bd2-11e3-b06b-0027136982cb}.TMContainer00000000000000000002.regtrans-ms REGTRANS-MS-Datei  512 KB 12.09.2013 20:08:30
    Der Inhalt der einzelnen Dateien gibt leider nichts her!

    Wer hat sich damit befasst und kann mir konkrete Hinweise (Erklärungen, Erläuterungen ...) liefern.
    System: Win 7 64-bit.
    Geändert von KohnenA (10.10.2013 um 00:05 Uhr)

  2. #2
    Rheinhold
    Gast

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    BLF-Dateien sind Systemdateien.
    Die ntuser.dat sind Dateien der Registrierung.
    Die langen Einträge sind Änderungen der Registrierung die so gesichert werden.
    Da nichts löschen sonst ist format c: angesagt.
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken Prozesse und Dienste finden-loeschen.jpg  
    DaTaRebell, Henry E. und Anubis69 bedanken sich.

  3. #3
    KohnenA
    kennt sich schon aus Avatar von KohnenA

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Hallo Rheinhold,

    hier geht es nicht um die ntuser.dat!

  4. #4
    micha6070
    gehört zum Inventar Avatar von micha6070

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Reinhold hat doch alles gesagt , was zu sagen ist - warum befriedigt dich das nicht ?
    DaTaRebell und Rheinhold bedanken sich.

  5. #5
    Ari45
    gehört zum Inventar Avatar von Ari45

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Hallo KohnenA!
    Es geht hier schon um die Dateien zu ntuser.dat. Das ist in der Registry der Zweig "HKEY_Current_User".
    Die BLF-Dateien sind im CLFS-Format (Common Log File System) abgelegt und verweisen auf die Einsprungpunkte in die nachfolgenden Dateien "*.regtrans-ms".
    Diese Dateien werden von Windows angelegt, wenn in dem bezeichneten Registry-Zweig änderungen vorgenommen werden. Sie sind nicht dazu gedacht, vom User eingesehen oder geändert zu werden. Bei einer Systemwiederherstellung wird auch auf diese dateien zurück gegriffen.
    Man könnte das (im entfernten Sinn) mit einem Backupprogramm vergleichen: da wird auch eine Datei mit internen Verweisen und die eigentlichen Backupdateien angelegt.

    Da ich es nicht gewußt habe, habe ich unter anderem bei MS recherchiert
    Common Log File System (Windows)

    @Micha
    weil er es genauer wissen will
    DaTaRebell, yellow, ttoelle66 und 8 weitere bedanken sich.

  6. #6
    Martin
    Webmaster Avatar von Martin

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Diese Dateien habe ich auch, sie liegen im Profilverzeichnis des jeweiligen Benutzers:

    Prozesse und Dienste finden-regtrans.png

    Ich kann es Dir jetzt nicht haarklein im Detail erklären, weil ich es so genau auch nicht weiß.
    Jedenfalls sind das in gewisser Weise "Pufferdateien" - dort landen Daten, bevor sie in die Registry geschrieben werden. Außerdem legt sich die Registry in diesen Dateien ein Gedächtnis an, um sich im Falle von Fehlern selbst wieder heilen zu können.

    Edit: Ari war schneller. Gott sei Dank erzählen wir Beide das Gleiche
    diogenes, Anubis69, ttoelle66 und 6 weitere bedanken sich.

  7. #7
    Rheinhold
    Gast

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Ist auch richtig so, immer nachfragen, wenn`s nicht klar ist!
    Das aber jetzt konkret zu erklären würde sehr weit führen, hier nur mal ein Ausriß:
    Die Windows-Registry (zu Deutsch: Windows-Registrierungsdatenbank) speichert hierarchisch nahezu alle Einstellungen unter Windows.
    Dazu gehören Programmeinstellungen, Passwörter, Treiberinformationen sowie Windows-Einstellungen.
    Die zentral verwaltete Registrierungsdatenbank hat den Vorteil, dass Windows Einstellungswerte für Anwendungen und Prozesse schneller aufrufen kann.
    In der Registrierungs-Datenbank sind die wichtigen Merkmale des Betriebssystems abgelegt, darunter:

    Alle Geräte:
    Jedes an gestöpselte und im Computer fest eingebaute Gerät greift auf die Registry zu.
    So fragt die Grafikkarte beim Windows-Start, wie viele Bildpunkte und Farben sie auf den Bildschirm bringen soll.
    Die entsprechenden Daten hat der Grafikkarten-Treiber bei der Installation in die Registry eingetragen.
    Einstellungen:
    Fast jede Einstellung wird in der Datenbank gespeichert.
    So merkt sich Windows, daß nach einem Doppelklick auf MP3-Dateien standardmäßig der Windows Media Player startet.
    Aussehen:
    Von der Breite der Aufgabenleiste (Taskleiste) über das richtige Symbol für den Arbeitsplatz bis hin zu den Einträgen, die beim Klicken mit der rechten Maustaste erscheinen – fast alles, was du auf dem Bildschirm sishst, basiert auf den Vorgaben der Registrierungs-Datenbank.
    Software:
    Die Registry dient Programmen als Gedächtnisstütze.
    So vergißt die Brennsoftware Nero nicht, welche Brenngeschwindigkeit du eingestellt hast.
    Microsoft Word merkt sich, welche Dokumente zuletzt geöffnet waren und präsentiert die Dateien übersichtlich in einer Liste.

    Wird da was verändert ohne gewisse Kenntnisse........
    DaTaRebell, ttoelle66 und Henry E. bedanken sich.

  8. #8
    KohnenA
    kennt sich schon aus Avatar von KohnenA

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Hallo Arie45,

    zuerst Danke für Deine Antwort.

    Zitat Zitat von Ari45 Beitrag anzeigen
    ...Registry der Zweig "HKEY_Current_User".
    Da ich die Registry komplett nach allen TM..., TMCon... usw. durchsucht habe und nichts fand. Gehe ich davon aus, das ein externer Prozess, z.Bsp. WinUpdate oder auch ein Update-Prozess sich hier Daten zwischenspeichert.

    Die BLF-Dateien sind im CLFS-Format (Common Log File System) abgelegt und verweisen auf die Einsprungpunkte in die nachfolgenden Dateien "*.regtrans-ms".
    Was ich sehe, ist
    a) Offset zu 3 Datei-Namenseinträgen
    b) auf sich selbst und
    c) TMContainer(1) Pointer/Daten?
    d) TMContainer(2) ist mit "00" belegt.

    Diese Dateien werden von Windows angelegt,
    wirklich nur von Windows? Oder auch von anderen Programmen die etwas in die REG schreiben?

    Bei einer Systemwiederherstellung wird auch auf diese dateien zurück gegriffen.
    jetzt nicht übertreiben, schau mal auf das Datum.

    Man könnte das (im entfernten Sinn) mit einem Backupprogramm vergleichen...
    sieht so aus, da ich diese Dateien (siehe 1.Beitrag) verlegt habe und nach dem Boot ein Backup angelegt wurde.

    Die Infos über "The Common Log File System (CLFS) API provides a high-performance, general-purpose log file subsystem that dedicated client applications can use and multiple clients can share to optimize log access." das sagt mir schon einiges.

    Bleibt noch die Frage(n)
    1) gibt es ein Programm das mir die Daten übersetzt? Da wird von einem ARIES-Protokollmanager gesprochen, den kenne ich ja gar nicht!
    2) auf diese 3 Dateien wird whärend des Boot-Prozesses zugegriffen, wie finde ich das heraus, wer da erstellt oder ändert oder generell zugreift? Sysinternals, procmonitor!

  9. #9
    KohnenA
    kennt sich schon aus Avatar von KohnenA

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Hallo Martin,

    zuerst Danke.
    "Pufferdateien" könnte so sein. Da diese ohne Probleme verschoben werden können und nach einem Boot sofort 3 neue angelegt werden.
    Eigentlich sollte es dafür ein Programm geben, mit dem man die Daten auslesen kann. Die Frage habe ich auch schon Ari45 gestellt.

  10. #10
    Martin
    Webmaster Avatar von Martin

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Zitat Zitat von KohnenA Beitrag anzeigen
    Eigentlich sollte es dafür ein Programm geben, mit dem man die Daten auslesen kann.
    Das ist wohl eine Geschmacksfrage .
    Ich hab die Dateien auch, und weil mein System prima läuft, interessiert es mich nicht die Bohne, was da drin steht .
    Rheinhold, diogenes und Ari45 bedanken sich.

  11. #11
    diogenes
    Kohlkopp Avatar von diogenes

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Ich hab die Dateien auch, und weil mein System prima läuft, interessiert es mich nicht die Bohne, was da drin steht .
    Genau so geht es mir !!!
    Ari45 und Rheinhold bedanken sich.

  12. #12
    Rheinhold
    Gast

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Diese Daten stehen in Windows, nicht in der Registrierung.
    Auf die wird grundsätzlich wären des Windows Starts zugegriffen.
    Es sind ja Daten die die Registrierung betreffen.
    In einem gepackten Format, ein Container.
    Z.B. im Windows, Sytem 32 Ordner.
    Oder unter: Benutzer, dein Name, App Data, Lokal, Microsoft....

    Darin sind wie gesagt die Änderungen gespeichert in " kryptischer " Form.
    Darin sieht es etwa so aus:
    Hier was dazu:
    http://www.solvusoft.com/de/file-ext...extension-blf/
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken Prozesse und Dienste finden-inhalt.jpg  
    Geändert von Rheinhold (03.10.2013 um 18:40 Uhr)
    Henry E., DaTaRebell und KohnenA bedanken sich.

  13. #13
    KohnenA
    kennt sich schon aus Avatar von KohnenA

    AW: ntuser.dat{...} Endung .TM.blf / .TMContainer0...1 u. TMContainer0...2.regtrans-m

    Hallo Rheinhold,

    Danke für Deine Antworten.
    Klar interessiert mich das genau. Deshalb auch meine ausführliche Antwort an Ari45.

    Hier ein Auszug aus "NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf"
    Prozesse und Dienste finden-drwin-tm_blf-1.png

    Danke auch für den Link. Werde mich mit dem Programm mal befassen.

  14. #14
    Rheinhold
    Gast

    AW: Prozesse und Dienste finden

    Auch wenn du mit einem Hex Editor da reinschaust sagt dir das nicht viel.
    Auch mit dem dafür speziellen Editor kommt da nicht mehr raus, weil das in Maschinen Sprache da drinsteht.
    Diese Daten sind nur für Windows interessant, betreffen die Änderungen an der Registrie und sind gepackt.
    Wichtig sind die als Backup wenn da Fehler vorkommen.
    Deshalb werden die beim Start ausgelesen und mit der Registrie abgeglichen & aktuell gehalten.
    Das ist ein automatisierter Teil des Systemstarts und kann nur über die ( Programmierung ) von Windows geändert werden, soviel ich weiß.
    Gibt einige Dienstprogramme die das vergleichen können:
    http://translate.google.com/translat...47%26bih%3D763

  15. #15
    KohnenA
    kennt sich schon aus Avatar von KohnenA

    [erledigt] AW: Prozesse und Dienste finden

    Hallo,

    die Ausführungen von Aribert treffen soweit zu,
    Zitat Zitat von Ari45 Beitrag anzeigen
    ... ntuser.dat ... Registry der Zweig "HKEY_Current_User" ...
    CLFS-Format (Common Log File System) ... von Windows angelegt ... (im entfernten Sinn) mit einem Backupprogramm vergleichen]
    ist nur eins hinzu zufügen, dass in der BLF-Datei noch in den TMContainer-Dateien keinerlei Fehlerinformationen abgelegt werden.
    Insoweit reicht mir diese Info von Ari voll und ganz aus.
    Danke an ALLE.
    Ari45 und Martin bedanken sich.

Ähnliche Themen

  1. Alternate Taskmanager - Prozesse Anzeigen und Beenden
    Von DrWindows im Forum Taskmanager
    Antworten: 5
    Letzter Beitrag: 12.02.2019, 10:34
  2. Antworten: 1
    Letzter Beitrag: 15.12.2013, 10:39
  3. Antworten: 0
    Letzter Beitrag: 23.02.2012, 19:55
  4. Netzwerk/Internet: IE8 und Prozesse im Taskmanger
    Von MyLife im Forum Windows Vista allgemein
    Antworten: 5
    Letzter Beitrag: 07.12.2009, 19:30
  5. Suchen und Finden unter Vista und Windows 7
    Von Martin im Forum Windows Anleitungen und FAQ
    Antworten: 1
    Letzter Beitrag: 15.03.2008, 02:55

Lesezeichen


  • An Google übertragen Google
  • -->

    Berechtigungen

    • Neue Themen erstellen: Nein
    • Themen beantworten: Nein
    • Anhänge hochladen: Nein
    • Beiträge bearbeiten: Nein
    •  

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162