E盘根目录会莫名其妙生成serverlg.txt

gaaba

RT。
E盘根目录会莫名其妙生成serverlg.txt，删掉后等个十几秒又会重新生成。
最近没安装过什么新的程序。
serverlg.txt里边的内容是：

call keepalive
99
call keepalive
99
call keepalive
99
call keepalive
99
……

随着时间的推移，call keepalive  99这句话会越来越多~
搜索了一下网上有类似情况，http://tieba.baidu.com/p/3415800932?see_lz=1，但是还无人给与解答。
求万能的坛友给予解答啊~万分感谢。
或者有没有能监控到文件是由谁创建的程序啊？请推荐给我。
谢谢！

qitiannian

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Process Monitor



使用简略图：
javascript:;

javascript:;


在Filter 加入
Path                begins with                e:\serverlg.txt                includer
或                                                e:\

汉化版到 网上搜索

zhou0197

有无安装teamviewer什么的？

gaaba

qitiannian 发表于 2014-12-28 14:14
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Process Monitor

非常感谢，找到了，可是显示是svchost.exe==！为什么会这样呢~
[mw_shl_code=css,true]16:30:14.4193171        svchost.exe        3056        CreateFile        E:\serverlg.txt        SUCCESS        Desired Access: Generic Read/Write, Disposition: OpenIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: Read, Write, AllocationSize: 0, OpenResult: Created
16:30:14.4197059        svchost.exe        3056        QueryFileInternalInformationFile        E:\serverlg.txt        SUCCESS        IndexNumber: 0x4000000015421
16:30:14.4197619        svchost.exe        3056        QueryStandardInformationFile        E:\serverlg.txt        SUCCESS        AllocationSize: 0, EndOfFile: 0, NumberOfLinks: 1, DeletePending: False, Directory: False
16:30:14.4198179        svchost.exe        3056        QueryStandardInformationFile        E:\serverlg.txt        SUCCESS        AllocationSize: 0, EndOfFile: 0, NumberOfLinks: 1, DeletePending: False, Directory: False
16:30:14.4198637        svchost.exe        3056        QueryStandardInformationFile        E:\serverlg.txt        SUCCESS        AllocationSize: 0, EndOfFile: 0, NumberOfLinks: 1, DeletePending: False, Directory: False
16:30:14.4199128        svchost.exe        3056        WriteFile        E:\serverlg.txt        SUCCESS        Offset: 0, Length: 20, Priority: Normal
16:30:14.4200163        svchost.exe        3056        QueryStandardInformationFile        E:\serverlg.txt        SUCCESS        AllocationSize: 24, EndOfFile: 20, NumberOfLinks: 1, DeletePending: False, Directory: False
16:30:14.4201001        svchost.exe        3056        CloseFile        E:\serverlg.txt        SUCCESS       
[/mw_shl_code]

woxihuan2011

gaaba 发表于 2014-12-28 16:36
非常感谢，找到了，可是显示是svchost.exe==！为什么会这样呢~
[mw_shl_code=css,true]16:30:14.4193171 ...

记录下这个进程的PID（进程标示符），以管理员身份运行cmd，输入tasklist /svc,看看刚才记下的PID对应的svchost加载的服务有哪些，从这些服务里面排查，另外keepalive好像和网络检测有关看看你电脑中是不是有包含此功能的软件。

gaaba

woxihuan2011 发表于 2014-12-28 20:03
记录下这个进程的PID（进程标示符），以管理员身份运行cmd，输入tasklist /svc,看看刚才记下的PID对应的s ...

谢大王！
按照斑竹大人的办法果断找到惹。
谢谢qitiannian，woxihuan2011二位，非常感谢！

qitiannian

(樓主已找到,不需用里 )

gaaba 发表于 2014-12-28 16:36
非常感谢，找到了，可是显示是svchost.exe==！为什么会这样呢~
[mw_shl_code=css,true]16:30:14.4193171 ...

更深入的我也不懂了,不介意嘗試下方法看效果.
建議先創系統備份還原點.

00.下PowerTool 或PC Hunter 查看並停用甚至刪除 可疑項目
停用 項目軟件autoruns  更多選項(主要優先停用國內軟件...微軟,聲顯驅動類別取消)

PowerTool        http://pan.baidu.com/share/home?uk=788906323#category/type=0
autoruns        http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx  (en)
PC Hunter        http://down.epoolsoft.com/pchunter/PCHunter_pro.zip

00.不妨繼續用ProcessMonito ,添加 svchost.exe 路徑, 注意有大小區別..  大寫 S  ystem 和 s ystem.假若再有上級關聯再繼續添加.
若找到項目 用Autoruns 等禁止甚至刪.
Path        contains(包含)        C:\Windows\System32\svchost.exe         Include
Path        contains                C:\Windows\system32\svchost.exe         Include  

00, ProcessMonito能保存記錄.或者上傳一份 含有serverlg.txt 的記錄文件.zip 我碰碰運氣.

qitiannian

gaaba 发表于 2014-12-29 18:09
谢大王！
按照斑竹大人的办法果断找到惹。
谢谢qitiannian，woxihuan2011二位，非常感谢！

是國內的?