Vamos supor por um segundo que o que está criando esses arquivos não é malicioso:
- Você pode consultar o proprietário para ver qual usuário criou os arquivos
- Em seguida, use algo como o Sysinternals Process Explorer para visualizar os processos que estão sendo executados sob esse usuário (clique com o botão direito do mouse nas colunas e marque "User Name" na guia "Process Image"
- Em seguida, observe as alças que cada um desses processos possui (Goto View Menu, Verificar "Mostrar painel inferior, Alterar" Exibir painel inferior "para" Handles "), um deles pode ter um identificador aberto para os arquivos estranhos você está vendo
No entanto, se o que estiver criando esses arquivos for malicioso, ele tomará medidas para impedir você. (Esconder arquivo, esconder processo, ofuscação, etc.)
Você pode usar alguns dos utilitários aqui para verificar rootkits:
Uma lista de ferramentas de detecção e remoção de rootkits do Windows
Mas se o servidor foi possuído, você sabe que ele é de propriedade e você não sabe como entraram: é hora de começar a reconstruí-lo e ativar qualquer plano de resposta a incidentes que você possa ter.