瑞星卡卡安全论坛

病毒名称为Trojan.win32.undef.rrn 
每次查毒都能查出来，也显示能成功删除。。可是下次重启又有了，希望大家帮忙解决下
C:\windows\system32\2Rj88m.dll
处理结果 删除成功
目前看的主要表现是自动改换IE主页，自己手动该回来，重启后又给改了

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

SysTray><C:\WINDOWS\system32\stobject.dll>  [Microsoft Corporation]
    <jnzoklcc.dll><>  [N/A]
    <tkxmgnfq.dll><>  [N/A]
    <gsipuith.dll><>  [N/A]
    <cphnvhby.dll><>  [N/A]
    <mmxdqjwe.dll><>  [N/A]
    <tofcwjqq.dll><>  [N/A]
    <kjvtxwzc.dll><>  [N/A]
    <kzhzsujk.dll><>  [N/A]
    <ajuizxxu.dll><>  [N/A]
下载木马群专杀工具专杀：http://dl.rising.com.cn/DownLoadInfo/VirusTools_More.shtml

麻烦问下，这个文件是干什么的？可否直接删除啊

以上文件是木马程序，可以删除

1.这里官网下载费尔木马强力清除助手,勾选“清除，并抑制文件再次生成”后删除以下文件：
(不管文件是否存在，删一次没坏处，如果提示文件不存在，不管他，直接继续下面的修复）。
http://dl.filseclab.com/down/powerrmv.zip

C:\windows\system32\2Rj88m.dll
c:\windows\system32\jnzoklcc.dll
c:\windows\system32\tkxmgnfq.dll
c:\windows\system32\gsipuith.dll
c:\windows\system32\cphnvhby.dll
c:\windows\system32\mmxdqjwe.dll
c:\windows\system32\tofcwjqq.dll
c:\windows\system32\kjvtxwzc.dll
c:\windows\system32\kzhzsujk.dll
c:\windows\system32\ajuizxxu.dll
c:\windows\system32\drivers\viced.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[ajuizxxu.dll] 
[kzhzsujk.dll] 
[kjvtxwzc.dll] 
[tofcwjqq.dll] 
[mmxdqjwe.dll] 
[cphnvhby.dll] 
[gsipuith.dll] 
[tkxmgnfq.dll] 
[jnzoklcc.dll] 

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[viced / viced] 

结束ie进程重运行一次

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

建议按照以下步骤操作，并反馈结果：

1、下载冰刃1.22，解压缩；
2、关闭IE，拔掉网线；
3、开始--设置--控制面板--添加删除程序--找到FlashGet Mini（迷你快车）这个项目，单击“删除”或“更改/删除”。如果没有找到这个项目，继续进行以下步骤；
4、右键系统托盘的瑞星小伞，选择“禁用所有监控”，输入验证码后，单击“确定”；
5、运行SRENG扫描工具；
6、运行冰刃软件的icesword.exe，文件--设置--勾选“禁止进线程创建”--确定；
7、单击冰刃窗口的“注册表”标签，找到删除以下注册表项：
（1）注册表值项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <MINIFLASHGET>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <MINIFLASHGET>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <jnzoklcc.dll>
    <tkxmgnfq.dll>
    <gsipuith.dll>
    <cphnvhby.dll>
    <mmxdqjwe.dll>
    <tofcwjqq.dll>
    <kjvtxwzc.dll>
    <kzhzsujk.dll>
    <ajuizxxu.dll>
（2）注册表子项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\viced]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cross.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enc98.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guangd.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RStray.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SDGames.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ShuiNiu.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sos.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svch0st.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Systom.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TNT.Exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TxoMoU.Exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ua80.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UFO.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\XP.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe]
8、切换到SRENG扫描工具窗口，系统修复--浏览器加载项，找到和删除以下浏览器加载项：
[IJetCarNetscapeMini Class]
  {6C1C7AF0-0DC2-4770-9B27-517416A85F3B} <C:\Program Files\FlashGet Network\FlashGet Mini\libMiniBHO.dll, N/A>
[MiniFlashGetBHO]
  {C74E94A7-B7BD-4891-9328-455395BCC7AD} <C:\Program Files\FlashGet Network\FlashGet Mini\libMiniBHO.dll, N/A>
9、切换到冰刃窗口，单击“文件”标签，找到如下文件，右键选择“删除”或“强制删除”：
c:\widnows\system32\drivers\viced.sys
10、冰刃窗口下，文件--设置--取消对“禁止进线程创建”项目勾选--确定；
11、重启电脑；
12、重启后，将C:\Program Files\FlashGet Network\FlashGet Mini这个文件夹完整删除。

附件: IceSword122cn.rar

这个方法搞不定

楼主，是操作期间出现问题，还是仍然主页被劫持？
用的是哪种方法
请上传新的报告反馈

上传下新日志

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

来看看

到同操作系统版本的其他计算机上拷贝c:\windows\system32\logonui.exe这个文件替换你计算机同路径下的同名文件。

谢谢了，这个方法搞定。。万分感谢

Trojan.win32.undef.rrn    这个我也有.....  怎么别的我都有....完蛋了

楼上莫要灰心，开帖描述问题