每次开机,瑞星防火墙都要提示发现这个木马并删除成功,那就是删除不彻底了,怎样才能彻底删除???请指教!!!
我查到手动清除方法,但是进入安全模式的任务管理器 找不到Plugin1.dat进程,系统文件夹也找不到Plugin1.dat文件,注册表相关项目也未被修改成
"system"="%System%\system.exe"
"system"="%Windir%\system.exe"
"stubpath" = "%System%\system.exe s"
"stubpath" = "%Windir%\system.exe s"
但是找到 HKEY_CURRENT_USER\Software\Wget
HKEY_LOCAL_MACHINE\SOFTWARE\Wget
这俩键,于是将其删除
然后重新启动
然后······
仍然提示清除木马成功
再重启,清除木马成功····
清楚方法:
进入到安全模式
按下Ctrl+Alt+Del组合键打开“任务管理器”
找到Plugin1.dat进程,右键单击它,选择“结束进程”
退出“任务管理器”
进入系统文件夹下,默认情况下该文件夹:Windows 95/98/Me为C:\Windows\system,Windows NT/2000为C:\Winnt\System32,Windows XP为C:\Windows\System32,找到Plugin1.dat并将其永久删除。
点击开始-->运行,输入
regedit
按回车进入注册表编辑器
定位到如下注册表条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
在其右侧面板删除如下键值:
"system"="%System%\system.exe"
"system"="%Windir%\system.exe"
定位到如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
在其右侧面板,删除如下键值:
"stubpath" = "%System%\system.exe s"
"stubpath" = "%Windir%\system.exe s"
删除如下键:
HKEY_CURRENT_USER\Software\Wget
HKEY_LOCAL_MACHINE\SOFTWARE\Wget
防火墙日志如下:
详细内容2005-10-21 16:11:11, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 11:50:01, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 11:24:58, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 08:50:22, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 08:39:16, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-21 07:42:21, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-20 07:37:18, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
详细内容2005-10-19 22:33:47, server.exe>>C:\WINDOWS\System32\server.exe ->Backdoor.Bifrose.ck
