我们使用blat.exe作为Windows Server 2003 SP2上许多设置的一部分,没有任何问题需要通过命令行发送邮件。 这很好。
现在,我们使用的一些软件提供了blat.exe作为其安装的一部分。
问题: 不时 (可能每6个月到每台服务器一年), blat.exe丢失 。 没有任何痕迹可以在任何地方find。 病毒扫描程序(McAfee)不报告,在任何日志文件中找不到任何有关此事的信息。
供应商告诉我们,他们已经用filemon调查过,并且svchost.exe删除了它。 我并没有真正计划在一大群服务器上长时间使用filemon。
你们有没有遇到这个问题,如果是的话,这是什么原因呢? 还是你有更多的提示如何找出发生了什么? 除了病毒扫描问题之外,谷歌广泛search没有任何结果。
谢谢!
您可以启用文件审核function,只允许删除该特定文件上的“所有人”。 您可能至less会发现负责的帐户和进程名称。 您也可以尝试locking该文件上的ntfs删除权限,以允许您自己的pipe理员帐户进行此类更改。
我仍然倾向于没有被报告的病毒扫描问题,或者Windows“恶意软件”检查某种方式来检查它。 就像netcat保持networking洞口一样,blat.exe被感染主机上的垃圾邮件发送者使用。
如果你正在寻找一些可以控制它或者似乎知道如何触发它的事情,那么Filemon将会是过度的。 听起来你已经意识到这是一个沉重的手段。
svchost实际上只是一个通用的服务主机,可以帮助启动一个看似一百个不同的东西(Windows Update通过“C:\ Windows \ system32 \ svchost.exe -k netsvcs”获得它的行进命令。那里做了很多功课。
这将是棘手的,希望至less给你几个指针去哪里…