几个星期以来,当我早上坐下来解锁我的工作电脑时,我会看到一个记事本窗口,抱怨它“找不到 c:\oracle.message.txt”。这非常令人不安 - 我以为我感染了某种恶意软件,但 Microsoft Security Essentials 和 AVG 都没有发现任何东西。Process Explorer 显示记事本是从 svchost.exe 内部生成的,并且 svchost 已“验证”(即 Process Explorer 检查了它的数字签名并发现它是合法的)。svchost 的特定实例托管了许多服务,这些服务在屏幕截图中可见,但它们似乎都不是“可疑的” - 而且它们都与 Oracle 无关。最糟糕的是,我的机器从未安装过 Oracle - 我能找到的唯一相关的东西是 Oracle ODBC 驱动程序...
我该怎么做才能调试/跟踪这个?
我现在已经是一名有二十年经验的专业开发人员了,因此请随意提出复杂的解决方案,包括必要时的 SoftICE 硬件断点 :-)
答案1
任务计划程序服务位于 svchost.exe 中 - 您确定没有设置奇怪的计划任务吗?
答案2
已解决 - 可通过 ac:\Windows\Tasks 条目完成。“任务计划程序”位于生成记事本的特定 svchost 实例中,根据 Tim Robinson 的建议,我检查了 c:\Windows\Tasks 下的列表 - 它就在那里,在名为“Oracle”的操作中,命令为“c:\windows\notepad.exe c:\oracle.message.txt”。
谁把它放在那里,为什么放在那里,对于我来说都是一个谜……同样,为什么它决定只在过去两周才现身。