[English]Ich stelle mal ein Problem hier im Blog ein, auf das mich ein Leser per Mail angesprochen hat, wo ich aber bisher noch keinen wirklichen Plan habe. Dem Windows-Nutzer werden regelmäßig Dateien mit der Dateinamenerweiterung .checkpoint und (vermutlich) einem UUID-Code als Dateiname im Windows-Ordner System32 angelegt. Es handelt sich um ein Windows 10 22H2-System und die Dateien lassen sich auch löschen. Es gibt Hinweise auf den Windows Sound-Recorder oder andere Apps (People). Mir ist noch keine wirkliche Fundstelle untergekommen, wo etwas ähnliches berichtet wird. Vielleicht hilft das Schwarmwissen der Leserschaft zur Aufklärung weiter.
Anzeige
Die E-Mail von Rolf hat mich vorige Woche (11. Juli 2023) erreicht, bisher hatte ich noch keine Möglichkeit, das Ganze aufzubereiten. Rolf schrieb:
Datenmüll von Microsoft
Hallo Herr Born,
heute komme ich (als regelmäßiger Borncity-Leser) auch mal mit einem kleinen, aber ärgerlichen Problem:
Alle paar Tage lösche ich hunderte von kleinen Dateien aus einem Unterordner von Windows/System32, die allesamt Namen haben nach dem Muster
{863B11B7-24A2-49DF-8B57-B25FE5628392}.checkpoint
An manchen Tagen sind das über 30 Stück, immer mit der (fast) gleichen Uhrzeit.
Ich habe hier mal zwei Screenshots angehängt.
Haben Sie eine Idee, was dahinterstecken könnte und wie man das abstellt? Offensichtlich spielt da ein Microsoft-Dienst verrückt.
(System ist Windows 10 22H2)
Diese Stelle habe ich durch Zufall entdeckt. Soll man jetzt regelmäßig seinen PC auf solche Müllplätze absuchen?
Die Zeichen vor der Dateinamenerweiterung sehen mir wie ein UUID-Code aus, wobei der Wert sich aber ändert. Nachfolgender Screenshot zeigt das betreffende Ordnerfenster (durch Anklicken lässt sich die vergrößerte Darstellung abrufen).
Ich habe mal auf die Schnelle auf meinem Windows 10-System suchen lassen – dort werden keine solchen Dateien gefunden. Auch hat meine Suche im Internet nicht wirklich etwas brauchbares an Treffern ergeben. Ich habe mir vom Leser dann mal solche .checkpoint-Dateien zusenden lassen. Es sind einfache Textdateien – nachfolgend findet sich ein Auszug aus dem Inhalt.
Anzeige
{"CreateOptions":{"UserSID":"S-1-5-18",
"FulfillmentPluginId":"WU","FulfillmentData": "{\"ProductId\":\"9WZDNCRFHWKN\",
\"WuBundleId\":\"c5845bef-3097-4707-84b0-c462f96be157\",
\"WuCategoryId\":\"9f03273f-fe0b-4ed8-9bc8-c2f256375490\",
\"PackageFamilyName\":\"Microsoft.WindowsSoundRecorder_8wekyb3d8bbwe\",
\"SkuId\":\"0010\",\"Content\":null,\"PackageFeatures\":null}",
"WorkPropertiesJSON":"{\"UserIdentityInfo\":\"\",
\"CallerApplicationId\":\"ScanForUpdates\",\"IsInteractive\":false,
\"AllowForcedAppRestart\":false,\"AutomaticallyDownloadAndInstallUpdateIfFound\":false}"},
"WorkState":{"CorrelationVector":"0fRylxy9L0izIU4p.1.0",
"CheckpointDataBlob":"ewAiAEkAbgBzAHQAYQBsAGwAVAB5AHAAZQAiADoAIgBVAHAAZABhAHQAZQAiACwAIgBBAHUAdABvAG0AYQB0AGkAYwBhAGwAbAB5AEQAbwB3AG4AbABvAGEAZABBAG4AZABJAG4AcwB0AGEAbABsAFUAcABkAGEAdABlAEkAZgBGAG8AdQBuAGQAIgA6AGYAYQBsAHMAZQAsACIAQQBsAGwAbwB3AEMAYQBjAGgAZQBkAFIAZQBzAHUAbAB0ACIAOgBmAGEAbABzAGUALAAiAEYAdQBsAGYAaQBsAGwAbQBlAG4AdABEAGEAdABhACIAOgBbAF0AfQA="},"QueueState":{"Id":"{0ACE1861-9621-4F52-9177-AE3BD89A2D8F}",
"QueueState":0,"SystemAttemptCount":0,"UserAttemptCount":0,
"LastModifiedTimestamp":"2023-07-10T21:07:31+02:00",
"CreationTimestamp":"2023-07-10T21:07:31+02:00","ErrorCode":0,"ExtendedErrorCode":0},
"ProgressState":{"ProgressStage":0,"TotalPercentComplete":0,"TotalUnitsForStage":0,
"CompletedUnitsForStage":0},"MutableProperties":{"LaunchAfterInstall":false,
"PinToDesktopAfterInstall":false,"PinToStartAfterInstall":false,
"PinToTaskbarAfterInstall":false,"InProgressNotificationMode":0,
"CompletedNotificationMode":0},
"PackageFamilyName":"Microsoft.WindowsSoundRecorder_8wekyb3d8bbwe"}Die Einträge sind im Klartext lesbar und ich habe mal einen String hervorgehoben, der auf den Windows Sound-Recorder als Urheber hindeutet. Ich habe aber andere Dateien gesehen, wo Namen wie People etc. vorkamen. In der .checkpoint-Datei werden dann diverse Infos im Klartext sowie ein Blob (binary large object) als Zeichenkette gespeichert.
Alles in allem ist das sehr obskur, da die Dateien in den Unterordner system32 von Windows wandern und nicht im Benutzerprofil abgelegt werden. Andererseits würde ich, auf Grund des Dateiinhalts, einen Befall mit Schadsoftware oder ein Fremdpaket als Verursacher ausschließen. Hat jemand von euch diese Dateien auf seinem System oder gar eine Erklärung für diese angelegten Dateien.
Es gibt zwar bei Microsoft den Q&A-Artikel sysprep copyprofile breaks Windows Sound Recorder on Windows 10 Education 22H2 von April 2023. Der befasst sich aber mit einem anderen Problem.
Anzeige
Wie im Screenshot zu sehen ist, werden die Dateien im systemprofile-Ordner abgelegt.
Das ist der Benutzerordner des Users "SYSTEM" und der liegt unter system32/config.
Ich habe diese .checkpoint Dateien auch in dem Ordner, zusätzlich Dateien mit der Endung .catalogitem. Aber die sind alle alt.
Aber der Inhalt zeigt doch schon, was da passiert: Da wird wohl versucht, ein Treiber oder Programm zu installieren oder upzudaten, siehe "WU", was für Windows Update steht und "ScanForUpdates", etc..
Ich habe in diesem Ordner ebenfalls beide Dateiarten:
.checkpoint
22 mal; erstellt: 01.09.2022 bis 01.07.2023; zuletzt verwendet: 18.07.2023; Größe: jeweils 2 KB
Dies sind alle enthaltenen PackageFamilyNames (6 davon sind doppelt vorhanden):
Microsoft.StorePurchaseApp…
AppUp.IntelGraphicsExperience…
microsoft.windowscommunicationsapps…
Microsoft.SkypeApp…
Microsoft.YourPhone…
Microsoft.HEIFImageExtension…
Microsoft.WindowsStore…
Microsoft.WebpImageExtension…
Microsoft.MicrosoftSolitaireCollection…
Microsoft.BingWeather…
Microsoft.XboxApp…
Microsoft.WindowsFeedbackHub…
Microsoft.Xbox.TCUI…
Microsoft.MixedReality.Portal…
Microsoft.ZuneVideo…
Microsoft.MicrosoftOfficeHub…
Ich nutze übrigens nichts von all dem, auch nicht den Edge Browser und den Store.
.catalogitem
91 mal: erstellt: 01.09.2022 bis 14.11.2022; zuletzt verwendet: 12.07.2023; Größe: jeweils 3 bis 17 KB
Process Monitor
Wu
steht für "Windows Updates" klar.
Insofern nicht schön, aber bei MS leider nicht unüblich in System rumzuschmieren und somit "normal".
Die Dateien müssen aber von jemandem geschrieben worden sein.
Wem gehören die Dateien eigentlich?
WuCategoryId\":\"9f03273f-fe0b-4ed8-9bc8-c2f256375490
ist eine feste ID zu der die "Sound Recorder" gehört.
Vielleicht finden sich weitere Informationen zur im
EventViewer oder Windows-Updates.log?
(das muß erst erzeugt werden)
S-1-15-18 ist der "network service account".
Werden da vielleicht nach Dienstende/längerem Idle irgendwelche Warteings Arbeiten gemacht, die immer wieder fehl schlagen?
Ansonsten mal das Update Verzeichnis "Software" löschen oder
das beliebte sfc /scannow oder Dism /cleanup /online FF. am wenden.
Hilft zwar nur manchmal, beschäftigt aber den User.
Evtl ist booten nötig.
Vielleicht nützt es jemanden …
Windows 11 Pro 22H2:
https://i.ibb.co/k1Gv2ZR/Windows11-Checkpoint.png
ich habe so das Gefühl, das fragen nach dem Inhalt von Windows-Update.log oder dem Eventlog unerwünscht sind, weil das eigentlich der erste Gang eines Admin sein sollte?
Erfahrungsgemäß ist es das leider nicht.
Vermutlich hilft hier der 2. Gang des Admins:
Das Löschen des Verzeichnisse "Software" unter Windows Updates.
Es gibt ja anscheinend ein Problem damit, das irgendwie ein Tool immer wieder absemmelt und seine Reste stehen läßt.
Vermutlich,wenn die Kiste über ein Stunde Idle war.
Sorry wenn das alles, weil ja selbstverständlich, gemacht worden ist. inkl. sfc /scannow und dism online /clean (health
Bei mir heißen die "catalogItem" und nicht "checkpoint" und haben weitaus mehr Inhalt.
hat jedenfalls etwas mit dem Windows Store – wenn du die ProductId aus dem Beispiel hernimmst: https://www.microsoft.com/store/apps/9WZDNCRFHWKN
Jetzt hatte ich mir so viel Mühe gemacht und mein Beitrag ist im Nirvana verschwunden. Leider hatte ich ihn zuvor nicht kopiert. Das ist das erste Mal, das mir das hier passiert.
Das sind Dateien, die mit WIndows Update zusammenhängen.
Vielleicht, aber nur vielleicht, hängt das mit Problemen mit (Microsoft-)Realtek-Treibern zusammen. Ich habe das ab und zu, dass die Treiber Probleme bereiten. Z.B. kommt es ab und zu vor, dass die Realtek-Treiber weitere Audio-Geräte blockieren. Wenn man versucht über ein USB-Headset Sound abzuspielen, dann reagiert das Headset extrem verzögert, z.T. 30 bis 60 Sekunden zu spät… ohne das Headset ist alles wieder normal.
Realtek-Treiber deinstallieren und mit einem Hersteller-Paket neu installieren: funktioniert.
Da gab es dann auch Probleme mit den Windows Updates und einer erhöhten Systemauslastung. Vielleicht könnt ihr mal in die Richtung testen.
Mahlzeit,
Sind wohl misslungene Updates protokolliert worden.
Im Text der beiden Dateien:
1. "PackageFamilyName":"Microsoft.YourPhone_8wekyb3d8bbwe"
2. "PackageFamilyName":"Microsoft.WindowsNotepad_8wekyb3d8bbwe"
Die gleiche Zahlenfolge am Ende! (im Text in der Datei)
Es gab nur zwei Dateien, einmal vom 01.04.2023 und vom 07.06.2023.
Ansonsten sind nur Dateien mit der Endung *.catalogItem vorhanden.
Ich würde auch tippen, dass der Windows-Store (oder eine damit korrelierte Wartungsaufgabe) die checkpoint-Dateien ablegt. Auf meinem System kann ich die checkpoint-Dateien auch finden, aber bei weitem nicht in dem Umfang, wie im Artikel beschrieben.
Mit FullEventLogView habe ich mir die Ereignisse anzeigen lassen, die zum Zeitpunkt der letzten checkpoint-Datei-Erstellung protokolliert wurden:
Ereignisanbieter zu diesem Zeitpunkt: Microsoft-Windows-Install-Agent
Ereigniskanal zu diesem Zeitpunkt: Microsoft-Windows-Store/Operational
Auf meinem System lagen mehrere Hundert "checkPoint" und "catalogItem" Dateien in besagtem Ordner. Anhand des Datums war auszumachen, dass meistens mehrere pro Tag erzeugt wurden, das aber wiederum unregelmäßig. Ich hab dann einfach mal händisch "aufgeräumt" und alle aus dem Ordner entfernt.
Weder durch einen Neustart des Systems, noch durch ein "sfc /scannow" noch durch die Installation von Updates wurden neue Dateien erzeugt, der Ordner blieb zunächst(!) leer.
Bei der Aufräumaktion habe ich bemerkt, dass der übergeordnete "Local" Ordner deutlich mehr als 10.000 "tw-{irgend-eine-id}.tmp" Ordner enthielt, die alle leer waren. Die habe ich ebenfalls händisch gelöscht und anschließend dann noch eine umfängliche Bereinigung des Systemlaufwerks durchgeführt. Und letztere Aktion hat dann dafür gesorgt, dass erneut zwei Dutzend "checkPoint" und "catalogItem" Dateien angelegt wurden.
:-\
Ich *vermute* mal, dass diese Dateien nicht "betriebswichtig" sind und dass es sich eher um logartige Überbleibsel von Systemprozessen handelt. Aber dieses Zumüllen von Festplattenplatz und MFT durch viele Zehntausend leere Ordner und unnütze Dateien, verteilt über den kompletten Verzeichnisbaum, nervt gewaltig. Das dürfte einer der Gründe sein, warum ein Windows-System im Laufe der Zeit nicht nur gefühlt immer träger und langsamer wird.
Habe ein virtuelles Windows 10, erstellt im Januar, das ich eigentlich nur für den Bedarfsfall bereithalte und das bislang nur zur Konfiguration und Aktualisierung lief.
Der fragliche Ordner enthält bei mir 177 .checkpoint-Dateien und 122 .catalogItem-Dateien. Von den Checkpoints (alle 2 KB) sind 46 heute während der durch mein Nachschauen ausgelösten Update-Orgie erstellt (alle zur selben Zeit) und 0-35 Minuten später geändert worden. Der andere Dateityp ist allesamt älter, aber auch jeweils mehrere an einem Tag entstanden, nach Erstellung nicht mehr geändert worden und zwischen 17 und 3 KB klein.
Lauter einzelne Dateien mit Texteinträgen. Was eine Datenbank ist, scheint man bei der zuständigen MS-Abteilung nicht zu wissen. Erklärt anschaulich, warum die Updaterei bei Windows immer so endlos dauert.
Die Frage ist aber: Seit wann darf man Systemdateien (noch dazu in einem mehrfach geschützten Ordnerpfad), deren Zweck man nicht kennt, so einfach löschen? Das Mindeste ist, dass Windows die bei nächster Gelegenheit neu erstellt und dafür erneut Zeit braucht.
Diese Art von Dateien (.checkpoint und catalogItem) belaufen sich unter mehreren meiner Windows 10er Systeme pro Rechner insgesamt immer noch auf <100 Dateien an der Zahl, daher sehe ich das noch als eher harmlos an, da sie auch nicht mehr werden, trotz Windows Update oder Microsoft Store App updates.
Viel schlimmer waren dagegen ja wohl die zahllosen tmp-Dateien oder Ordner kürzlich noch unter:
C:\Windows\System32\config\systemprofile\AppData\Local
Ist völlig normal, das Windows überall seine Reste stehen lässt und so überrascht mich das nicht im geringsten, dass sich irgendwo Daten ansammeln, selbst wenn Dienste sauber arbeiten. Im Eventlog würde ich schauen, ob ein Dienst immer wieder auf die Nase fällt.
Dem Inhalt der Dateien nach hängt das hier mit den App-Updates aus dem Store zusammen. Daher die Frage, gehen die Store Updates? MS-Store öffnen -> Bibliothek, Updats abrufen, alle aktualisieren. Ergibt bei mir eine App zum aktualisieren. Schon sehe ich auch eine neue .checkpoint Datei im fraglichen Verzeichnis, die allerdings wieder verschwindet sobald die Updates durch sind. Die Frage ist, bleibt das Zeug auch stehen, wenn man die Windowseigene Datenträgerbereinigung ausgeführt hat? (ja) – Und wie kommt man auf die Idee, da nach Dateimüll zu suchen?
@Markus.M
danke, der Tipp mit den Store Updates geht wohl in die richtige Richtung. Den Store habe ich noch nie benutzt und die Updates jetzt mal manuell angestoßen, es war ein gutes Dutzend nachzuholen (obwohl der Button"automatische Updates" gesetzt war). Auch dieser "sound recorder" und andere nie benutzte Apps waren dabei.
Warum man auf die Idee kommt, in dieser Gegend nach Datenmüll zu suchen, siehst du im Kommentar von "Google" über deinem.
Dank an alle für's Miträtseln
Rolf