1、打开C:\WINDOWS\system32,右键"排列图标"——"修改时间",下拉到文件夹最低端..(一般的木马都会在system32下创建文件!)
2、开始——控制面板——性能和维护——管理工具——服务...也是下拉到最低端...(为了防止木马创建服务！）
3、运行DarkstRat2008服务端...观察system32新创建的文件和创建服务...发现有system64.dll和system64.dat生成...
和有服务zxkfor的生成,如图


4、运行CMD,输入命令"tasklist /m system64.dll"(显示了dll插入的进程),我们发现是插入SVCHOST.EXE的...如图

5、再次输入命令"taskkill /pid 500 /f"(强行关闭SVCHOST.EXE进程)..如图

6、接着回到system32目录...把system64.dll和system64.dat删除...
7、来到服务那里...选择刚才新增的服务zxkfor,右键——属性,把启动类型改为"已禁用"...
至此...DarkstRat2008已手工查杀完毕...

测试环境windows xp sp2...

(如果有什么不对的地方请大家指出...交流!)

sc delete zxkfor

SC命令在WIN2000以下好像是没有的.......

我再多嘴一句......

你总得给大伙儿说说你是怎么知道新增的服务zxkfor就是你要关闭的服务呢？
服务是可以改变的，也就等于是随机了的.....
嘿嘿....不够完善了吧...

说了和没说一样，你什么都知道了，当然会了。
像你这样什么都知道，我就改host让所有连接都改成连接127.0.0.1，然后再打开DarkstRat，上线之后自己卸载掉，这样是不是也算啊

写的很好,很不错！呵呵

查出dll文件名后可以去注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支下搜索，即可找到对应服务名，然后sc delete。
2000系统可以从xp中复制sc.exe使用。

很好，很强大。支持老大！

5楼的办法挺有意思。凑字数，凑字数。