每次开机，瑞星防火墙都要提示发现这个木马并删除成功，那就是删除不彻底了，怎样才能彻底删除？？？请指教！！！
我查到手动清除方法，但是进入安全模式的任务管理器 找不到Plugin1.dat进程，系统文件夹也找不到Plugin1.dat文件，注册表相关项目也未被修改成
"system"="%System%\system.exe"
　　"system"="%Windir%\system.exe"

"stubpath" = "%System%\system.exe s"
　　"stubpath" = "%Windir%\system.exe s"
但是找到　　HKEY_CURRENT_USER\Software\Wget
　　HKEY_LOCAL_MACHINE\SOFTWARE\Wget
这俩键，于是将其删除
然后重新启动
然后······
仍然提示清除木马成功
再重启，清除木马成功····


清楚方法：

进入到安全模式

　　按下Ctrl+Alt+Del组合键打开“任务管理器”

　　找到Plugin1.dat进程，右键单击它，选择“结束进程”

　　退出“任务管理器”

　　进入系统文件夹下，默认情况下该文件夹：Windows 95/98/Me为C:\Windows\system，Windows NT/2000为C:\Winnt\System32，Windows XP为C:\Windows\System32，找到Plugin1.dat并将其永久删除。

　　点击开始-->运行，输入

　　regedit

　　按回车进入注册表编辑器

　　定位到如下注册表条目：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　在其右侧面板删除如下键值：

　　"system"="%System%\system.exe"
　　"system"="%Windir%\system.exe"

　　定位到如下键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}

　　在其右侧面板，删除如下键值：

　　"stubpath" = "%System%\system.exe s"
　　"stubpath" = "%Windir%\system.exe s"

　　删除如下键：

　　HKEY_CURRENT_USER\Software\Wget
　　HKEY_LOCAL_MACHINE\SOFTWARE\Wget


防火墙日志如下：

详细内容2005-10-21 16:11:11, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 11:50:01, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 11:24:58, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 08:50:22, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 08:39:16, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 07:42:21, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-20 07:37:18, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-19 22:33:47, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck

急啊······

靠，没人理我
自己搞定了

【回复“romeches”的帖子】
找到C:\WINDOWS\System32\server.exe
请把此文件压缩加密为virus发到我的邮箱  rsvirus@163.com 并注明此贴地址，谢谢合作。

》》如何压缩加密？----http://forum.ikaka.com/topic.asp?board=67&artid=7241343

看看这个
http://forum.ikaka.com/topic.asp?board=28&artid=7318038
有没有帮助

谢谢3楼4楼2位大侠！

3楼：我已将样本发送至你的邮箱，还有个新发现的bs2000serve.exe也一并发过去了，谢谢啦

4楼：你的帖子我已经存下啦，2个工具也下载了，呵呵

【回复“romeches”的帖子】
>bs2000Server.exe不是病毒,但也不是个好东西.

>Server.exe: AVP2005.10.22 8:28病毒库不报
Virustotal:
AntiVir 6.32.0.6 10.21.2005 no virus found
Avast 4.6.695.0 10.21.2005 no virus found
AVG 718 10.21.2005 no virus found
Avira 6.32.0.6 10.21.2005 no virus found
BitDefender 7.2 10.22.2005 Backdoor.Bifrose.D
CAT-QuickHeal 8.00 10.22.2005 (Suspicious) - DNAScan
ClamAV devel-20050917 10.21.2005 no virus found
DrWeb 4.32b 10.22.2005 no virus found
eTrust-Iris 7.1.194.0 10.22.2005 no virus found
eTrust-Vet 11.9.1.0 10.21.2005 no virus found
Fortinet 2.48.0.0 10.22.2005 suspicious
F-Prot 3.16c 10.20.2005 no virus found
Ikarus 0.2.59.0 10.21.2005 no virus found
Kaspersky 4.0.2.24 10.22.2005 no virus found
McAfee 4610 10.21.2005 no virus found
NOD32v2 1.1263 10.21.2005 a variant of Win32/Bifrose
Norman 5.70.10 10.21.2005 no virus found
Panda 8.02.00 10.22.2005 no virus found
Sophos 3.98.0 10.22.2005 no virus found
Symantec 8.0 10.21.2005 no virus found
TheHacker 5.8.4.127 10.21.2005 no virus found
VBA32 3.10.4 10.21.2005 Backdoor.Win32.Bifrose.d

----------------
清除方法:
关于所有运行的程序,打开任务管理器,结束IEXPLORE.EXE(此时未打开IE)

打开注册表,找到以下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除“Renavatio”=“C:\WINDOWS\system32\server.exe”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除“Renavatio”=“C:\WINDOWS\system32\server.exe”

删除%System32%\server.exe