我的server上被人开了xitami web server和Tridiavnc server两个服务;前者是类似iis的服务，后者是类似3389的服务

我的问题是：禁掉这2个服务没有问题；但我想知道这2个服务是如何安装到我的电脑上去的；我用tasklist /svr可以查看到与服务关联的可执行文件路径吗？
我的思路是：先找到与服务相关联的可执行文件，再试图在系统日志中看看能否找到蛛丝马迹。也许这个思路什么也查不出来！我的困惑即在于此。

寻高手--如果您的电脑出现莫名的服务，您是如何在出问题的机器上挖掘有用信息的以及如何杜绝此类攻击的再次出现？