笔记本电脑中特洛伊木马清除记一例 (2)

    4、接着查explorer.exe，如图5所示，这时用TCPView看到explorer.exe居然和131.107.103.243这个地址建立了连接，是反弹型木马？第一反应是切断网，但一想本机没有什么可窃取的，还是接着查吧，到萍心网IP查询http://dheart.51.net/ip/，输入131.107.103.243地址后，你猜是哪的地址？显示的是Microsoft公司，不会吧？又到了几个IP查询的网址查询还是显示是Microsoft，难道是微软的一个什么服务？但是从图2中又没有显示服务名称。在IE中输入此地址，没有网页显示，在命令窗口输入telnet 131.107.103.243 80 出现黑屏，接着输入get命令，出现图6显示的内容，看来是个web服务，不是木马控制程序，那是什么呢？找来杀毒软件和木马克星，杀完毒后确实有木马也杀掉了，重启计算后explorer.exe进程依然处于Listing(侦听)状态，又想了很多办法，启动进程管理软件procexp.exe，点击explorer.exe进程，出现图7界面，看路径不像有什么问题，它是哪个服务用的吗？如图8所示，在TCPview中结束该进程，结束时发现如图9所示fxssvc.exe也跟着动起来了，是fxssvc.exe调用的？

图5

图6

图7

图8

图9

　　5、在命令窗口接着用tasklist /svc命令查看fxssvc.exe对应的服务，如下显示fxssvc.exe是Fax（传真）服务程序。

　　fxssvc.exe 584 Fax'

　　接着输入net stop fax停止fax服务。如下显示服务停止。

　　Fax 服务正在停止.

　　Fax 服务已成功停止。

　　停止fax服务后，把该服务改为手工启动，重启计算机后TCPview显示没有explorer.exe进程处于Listing(侦听)状态。

　　看来是虚惊一场，虽然没有抓住"马"，但我想抓马的过程还是有点借鉴作用的，所以写出此文，希望对你捉马有些帮助，顺便提一句，explorer是系统的正常进程，但很多木马也起成相同或相似的名字，系统启动后该进程就存在但一般不做网络连接，在TCPView中看到该进程处于LISTENING(侦听)和ESTABLISHED（连接）状态时一定要格外注意。

　　6、本文用到的软件和命令。

　　1)TCPView

　　使用方法请参见拙作：端口·木马·安全·扫描·震荡波

　　2）procexp.exe

　　我写此文用的是procexp.exe 5.0，从上面的地址下载后发现版本已是8.4了，而且功能增加了不少，特别是增加了TCP/IP的连接功能，也就是说有了TCPView的功能，非常棒，使用方法很简单，快点下一个用用吧，肯定不会失望的。

　　3）tasklist命令

　　该命令是windows系统自带的命令，显示本地或远程机器上当前运行的进程列表，帮助里写的非常清楚，自己看吧。

　　4）net stop命令

　　该命令是windows系统自带的命令，作用是停止某个服务，用sc命令中的sc stop fax也行。