笔记本电脑中“特洛伊”木马程序的清除过程

　最近有一次调试网络时用一台笔记本，发现好像有木马，笔记本是公用的，操作系统是WIN XP，安装完系统后还未安装防火墙、杀毒一类的软件，中木马的可能性非常大，下面把抓木马的经过写出来，为了文章的可读性，先把过程写下来，最后附上本文所用软件的下载地及使用说明。

　　　　1、调试网络需要看连接，习惯地打开TCPView，看到如图1红框所示，有两个进程explorer.exe和rundll32.exe非常可疑，很多木马的进程都是这样的。

　　5、在命令窗口接着用tasklist /svc命令查看fxssvc.exe对应的服务，如下显示fxssvc.exe是Fax（传真）服务程序。

　　　　fxssvc.exe 584 Fax''

　　　　接着输入net stop fax停止fax服务。如下显示服务停止。

　　　　Fax 服务正在停止.

　　　　Fax 服务已成功停止。

　　　　停止fax服务后，把该服务改为手工启动，重启计算机后TCPview显示没有explorer.exe进程处于Listing(侦听)状态。
　　　　看来是虚惊一场，虽然没有抓住"马"，但我想抓马的过程还是有点借鉴作用的，所以写出此文，希望对你捉马有些帮助，顺便提一句，explorer是系统的正常进程，但很多木马也起成相同或相似的名字，系统启动后该进程就存在但一般不做网络连接，在TCPView中看到该进程处于LISTENING (侦听)和ESTABLISHED（连接）状态时一定要格外注意。
　　　　2）procexp.exe
　　　　我写此文用的是procexp.exe 5.0，从上面的地址下载后发现版本已是8.4了，而且功能增加了不少，特别是增加了TCP/IP的连接功能，也就是说有了TCPView的功能，非常棒，使用方法很简单，快点下一个用用吧，肯定不会失望的。
　　　　3）tasklist命令
　　　　该命令是windows系统自带的命令，显示本地或远程机器上当前运行的进程列表，帮助里写的非常清楚，自己看吧。
　　　　4）net stop命令
　　　　该命令是windows系统自带的命令，作用是停止某个服务，用sc命令中的sc stop fax也行。

见识见识　...........