win2000操作系统问题！高手救火啊！！！

akm4a1ak

大侠帮我啊，又有问题了：

我的操作系统是win2000Server(win2000 Service Pack 4),最近刚重装系统，然后按部就班的装各种应用软件，一切正常，在整个过程中没发现异常情况和提示，接着问题：

今天开机后没多久，我上网的时候出现了事件日志的提示，具体原话忘了，意思好象是我的应用程序日志满了什么的，然后我就在事件查看器里手工清除了日志记录（反正刚装，那些记录我就没保留），然后我发现系统使用频率很高（就是cpu使用基本都是100%、内存占用不少，硬盘也频繁运行，就象运行什么大程序似的），通过任务管理器，我发现多了一个名叫drwtsn32.exe的进程，而且结束不了，为什么？它是什么作用（具体详细介绍drwtsn32.exe）？为什么这时候出现？

8 u7 T4 X# w. I* n* R- d# a

然后我被迫重起，在\Documents and Settings\All Users\Documents\DrWatson里发现了产生的文本文档，大小是150多MB(?!?这么大？！以前生成的都是很小的KB啊），为什么这么大？然后我又看事件查看器的应用程序日志，里面就记录了新的事件，有一个是这样的：

事件类型:错误 事件来源:Userenv 事件种类:无 事件 ID:1000 用户:NT AUTHORITY\SYSTEM Windows无法卸载注册表文件。如果有一个移动配置文件,您的 DETAIL - 拒绝访问，内部版本号（2195））

高手一看就知道是怎么回事了，我就想知道这个错误是怎么回事啊（详尽说明）？对系统有什么影响？怎么产生的（详细说明）？

, C9 U" ~+ e" V6 v% z, Y

希望高手帮帮我！

ilikenba

drwtsn32.exe(Dr. Watson)是Windows系统内置的程序错误调试器，在默认状态下，出现程序错误时Dr. Watson 将自动启动，除非系统安装VC等其他具有调试功能的软件。 由于user.dmp中存储内容为当前用户的部分内存镜像，因此可导致各种敏感信息泄漏，如帐号、口令、邮件、浏览过的网页和编辑的文件等，具体取决于崩溃的应用程序和在此之前用户进行的操作。由于多种原因可导致Windows系统崩溃，因此无法排除恶意用户利用该漏洞获取非授权信息的可能。在任务管理器里会多出drwtsn32.exe进程是因为有进程非法访问导致出错或者拒绝服务。

' Y+ o: v9 `3 Y% S3 }/ c

drwtsn32.exe故障转储文件默认权限设置不当

5 T1 _* n. \8 ~

涉及程序： ! p3 @2 W) ^3 ^2 J2 y4 J: k当前所有Windows版本 ; \, K g/ O6 Q+ C9 P6 h描述： drwtsn32.exe可能导致敏感信息泄漏 详细： ) J5 H1 G3 {( g/ g9 P2 Z: S. b发现者：tombkeeper@126.com 发现时间：2001.10.30 ( O( |1 _# f/ [8 U( w 3 \! q( V0 ^" o& |. i4 S" kdrwtsn32.exe（Dr. Watson）是一个Windows系统内置的程序错误调试器。默认 状态下，出现程序错误时，Dr. Watson 将自动启动，除非系统上安装了VC等其他具有 7 t3 a9 ^2 p1 D调试功能的软件更改了默认值。注册表项： 4 j( t1 h- k# J o0 p, s3 e[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] 下的Debugger 项的值指定了调试器及使用的命令；Auto 项决定是否自动诊断错误， 并记录相应的诊断信息。 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] + J" \ C& m- ?" ^2 z 在Windows 2000中drwtsn32.exe默认会将故障转储文件user.dmp存放在目录 “\Documents and Settings\All Users\Documents\DrWatson”下。权限为Everyone 完全控制。在Windows NT中被存储在“\WINNT\”中，everyone组至少有读取权限。 6 ~4 I& A( U. q9 i$ \ 由于user.dmp中存储的内容是当前用户的部分内存镜像，所以可能导致各种敏感信息 泄漏，例如帐号、口令、邮件、浏览过的网页、正在编辑的文件等等，具体取决于崩溃的 应用程序和在此之前用户进行了那些操作。 因为Windows程序是如此易于崩溃，所以不能排除恶意用户利用此弱点获取非授权信息 . c" ~0 W) A! I1 O! R: U! ]的可能。例如：利用IE5.0以上的畸形注释漏洞就可以使浏览包含恶意代码的iexplore.exe 和查看包含恶意代码的邮件程序崩溃。（关于IE的畸形注释漏洞请参见拙作《包含畸形注释 4 E7 G2 V7 j) }9 R' U) Z: O0 b! w0 O的HTML文件可使IE 5.0以上版本崩溃》） 测试： 3 N" s7 C4 ~9 P) S7 O2 t: S) @0 C--->在administrator帐号下操作： 如果目前的默认调试器不是 Dr. Watson，请在命令提示符后键入命令：drwtsn32 -i 将 Dr. Watson 设为默认调试器。 3 p* P- N, M! Z先启动一个需要使用密码的程序，这里我们选择Foxmail。 用任务管理器察看Foxmail的PID，假设是“886”。在命令提示符后键入命令： . [ m3 m1 I# I2 pdrwtsn32 -p 886 --->在guest帐号下操作： 在\Documents and Settings\All Users\Documents\DrWatson\目录下键入命令： type user.dmp|find "youEmailPasswd" & [3 L3 R3 d$ N% B+ g就会发现你的邮件密码在user.dmp中，而且完全可以被guest用户读取。 2 @/ e# j3 }7 Q3 H* j+ {& p5 h解决方案： H! y1 ]8 M) A8 T# Q! f' V! t微软尚未对此做出反应。 在可用的补丁出来之前，采取以下任一措施皆可解决此问题， 1、键入不带参数的drwtsn32，更改故障转储文件到一个特权路径，如： \Documents and Settings\Administrator\DrWatson\ 1 _4 \- X5 t6 \ B5 E/ \- U或取消“建立故障转储文件”选项。 3 i+ _- h8 J1 R2、删除注册表项 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug] . Y C( O" l8 u0 a$ m下的相关键值。 3、使用其它调试工具。并在注册表中正确设置。 % [5 u! b& l* Z+ B ] Q$ n$ L5 @/ h0 j4 z 附加信息： 发现者：tombkeeper@126.com drwtsn32 参数 8 Z! h; k! u0 {1 c7 r drwtsn32 [-i] [-g] [-p pid] [-e event] [-?] : J0 L1 `; A" ~1 f& H % L9 O/ v' F, b0 q" ^-i 将 DrWtsn32 当作默认应用程序错误调试程序 % z) G2 J- O- j U$ o- ?-g 被忽略，但作为 WINDBG 和 NTSD 的兼容而被提供 -p pid 要调试的进程 id ; z# ~! t T. s-e event 表示进程附加完成的事件 9 F; X* _. L! q( i% I-? 这个屏幕

另外这个网址可能对你也有帮助！

http://nfcg.anyp.cn/2/articles/041221114400046.aspx?sv=1

: M, [6 [4 Y. H" k( f$ K+ g

[此贴子已经被作者于2005-4-21 8:47:06编辑过]

akm4a1ak

感谢ilikenba,你的以上阐述让我了解了不少，非常感谢！

对于drwtsn32.exe我还有以下疑问：我上面说的是这种情况表现出来的是——cpu使用基本都是100%、内存占用不少，硬盘也频繁运行，就象运行什么大程序似的，请问在这个时候最好该怎么做（是不是等待drwtsn32.exe运行完？它有结束的时候吗，我昨天等了近10分钟，最后没办法才重新启动的）？如果这个时候重新启动会不会对硬件和系统造成损害？

另外一种情况，也是应用程序出错误，但是不会在进程中运行drwtsn32.exe，只是有一个错误的提示而已（以前用2000个人版的时候经常出现，而且多为Explorer出错的提示，当然其它程序也出现过错误），不会使cpu和内存使用率那么大，硬盘也不会象上述那样频繁的工作，这2种情况有什么区别吗？为什么在计算机的表现上差这么大（一个工作频繁各方面资源占这么高，一个只是提示一下而已）？

最后就是这2种情况所产生的结果：都生成一个文本文档文件和你上面说的user.dmp文件存放在目录“\Documents and Settings\All Users\Documents\DrWatson”下，至于user.dmp文件我没比较它们的大小，但那个文本文档文件的大小却相差悬殊，我后面说的这种情况的大小是几或十几kb，并且可以打开，里面有记录（虽然我看不懂）；而第一种就是我昨天遇到的情况确是152mb，昨天我重起后打那个文本文件，一直是在打开的过程中（硬盘一直工作应该说明是在读取这个文件吧），可始终打不开（可能太大了吧），能不能结解释为什么这2种情况生成的文本文件相差这么大啊？

还有就是昨天提到的事件查看器的应用程序日志问题，里面记录的事件，有一个是这样的：

事件类型:错误 事件来源:Userenv 事件种类:无 事件 ID:1000 8 m& R/ z, u' l+ l. J7 y用户:NT AUTHORITY\SYSTEMWindows无法卸载注册表文件。如果有一个移动配置文件,您的 DETAIL - 拒绝访问，内部版本号（2195））

我在网上我查了，有提这个问题的，但没有找到答案，只是说可能会关机很慢（没错，我现在关机就是变慢了）。就想知道这个错误是怎么回事啊（详尽说明）？对系统有什么影响？怎么产生的（详细说明）？。帮帮忙啊！

现在我说一下自己电脑的情况：我的系统不是C:\，是在E:\里。在装完系统后我仅进行过用户权限的限制，只对C盘做了修改（因为它装了另一个系统和有一些重要的文件和程序），我不想以后在E的操作系统下对C盘进行添加和修改文件或误操作误删文件所以将C盘符的安全设置中仅有的everyone权限中的完全控制、修改和写入的“勾”给去了，就是只能读取；还有C:\WINNT和C:\Program Files中的Administrator权限中的完全控制、修改和写入的“勾”也给去了，仅此而已，其他没什么特别的修改了。

希望给予帮助和指点，谢谢！！！

ilikenba

drwtsn32.exe是一个调试工具，系统在出现程序运行问题的时候会自动调用它，如果你安装过其他的调试工具，比如vc，系统可能不会调用它。你说的现象显然是drwtsn32.exe在进行磁盘操作，你说你设置了系统权限使得没有写得权限，有可能会产生这个问题，你可以修改一下权限看看会不会还出现那样的情况！日志文件很大显然是因为drwtsn32.exe多次尝试磁盘操作都失败了造成的，它会不断地将错误写入日志，造成日志很大，至于遇到这种情况的办法，我觉得如果终止不了drwtsn32.exe的话也就只能重起了，对机器不会造成太大的损害！关机很慢可能是因为系统在关机的时候将部分信息写回注册表的时候由于部分信息出现了链接问题造成的，估计你用优化大师软件做一下注册表优化应该会有好转！

akm4a1ak

非常感谢ilikenba，明白了！

wy617958197

大侠好厉害啊

微笑只是表情

我是来学习的。很奇怪的现象哇