W坐矛于in32/Rewzaq是特洛伊病毒，能够盗窃与"Eudemons Online"网络游戏相关来自的敏感信息，还会下载并运行任意文件。

• 中文名称 特洛伊病毒Win32.RewzaqFamily
• 病毒属性 特洛伊木马
• 危害性 中等危害
• 目录 winlogin.exe

常见的名称

　　灰鸽子，冰河，蓝剑

　　W32/Agent.BNZ (F-Secure), Troj/Bckdr-PUS (Sophos主念微快刘万略), Trojan, Infostealer.Jiang来自Hu (Symantec), Win32/Rewzaq.F, Backdoor.Win32.Agent.ajq (Kaspersky)

病毒属性

　　特洛伊木马

危害罪真性

　　中等危害

具体介绍

感染方式

　　运行时，Win32/Rewzaq生成以下文件到%System%

目录

　　userspi.dll Security.exe

注

　　'%System%'是一个可变的路径来自。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\W360百科indows\System; XP 的是C:\Windows\System32。 "Security.exe"文件作为一个服务安装: Service Name: ServerAC Display Name: Server Advance Service Descrip乡系tion: Appears in Chinese text and translates to "Provi又系跟员前化凯倍de local users advanced p断资rotection mechanism" Path to E介外银决围训号找xecutable: %System%\Security.exe Startup Type: Automatic "winlogin.exe"文件注入一个很小的代码到"explorer.exe"程序，用来设置一个"THREVENT"，为了与其它的生成程序相通。如果这个文件被删除，特洛伊会再次生成它。

危害

　　盗窃敏感信息 特洛伊盗窃敏感信息，例如与中国的网络游戏"Eudemons 板拿斯赶肥Online"的注册信息和游戏人物信息。它查找名为"soul.exe"的进程路增，列举与这个游戏相关的特定的中文窗口。

　　特洛伊可能盗窃以下信息: 游么规谁镇基查集岁跑相根戏帐户的用户名和密码; 游戏人物的职业; 人物拥有的金钱数量; 人物的级别。 随后将这些信息发送到特定域的一个网站，可能是以下中的一个: 下载并运行任意文件 Win32/Rewzaq能够从一个特定的域下载并运行一个文件。从m域下载并运行一个文件%Temp%\temp.exe。 注:'%从己民议象取错重德晶单Temp%'是一个可变的路径。病毒通过查询操作系统来决定Temp文件夹的位置。一般在以下位置:"C:\Documents and Settings\<us士众长也转责她八ername>\Local Settings\Temp"，或 "C:\WINDOWS\TEMP"。

清除

　　KILL安全胄甲最新版本可检测/清除此病毒。

　　1、 由于这个种木马带有生成伪装系统文件，所以给手动删除造成迷惑，故需要十分小心判认。

　　2、 此木马会通过系统保啊易倍护项重复生成感染。

　　3、 此木马也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可铁探年敌执行文件进行破坏exe关燃苗处联。

　　4、 中毒后，病毒修改了系统执行关联，控制不能执行.exe的命令，重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病右切笔毒文件Program Files\Interne另发该富给国校杂使费t Explorer\，故上网时不能直接使用IE执行，有存在也要先删除。

解决步骤

　　1、 开机启动时按F8，选择带网络的安全模式进入，打开我的电脑，从工具->文九束秋批减错短深至子件夹选项，在查看中，勾选[显示系统文件夹的内容直减置因而脱钢感该]，去掉勾选 [隐藏受保护的操作系统文件]的勾。选择[显示所有文件]，去掉隐藏已随程铁未知的后缀名。 然后到以上描棕的文件夹里，把相应的病毒文件删除。 如果不能正确判断文件是否系统文件还是伪系统文件，可以下载最新的木马分析专家扫描分析，会列出这些文件名，然后用他的病毒文件定位，把它们一一删除。

　　2、 在资源管理器的地址栏上直接输入: C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\ C:\Documents and Settings\系统用户名\Local Settings\Temporary Internet Files\ C:\Documents and Settings\系统用户名\Local Settings\Temp\ 这三个临时文件夹中的文件全部直接删除。

　　3、 连接上网络，在资源管理器的地址栏上直接输入: 然后在IE修复的高级修复中，通过扫描出来后，把所有未知的勾上，然后点立即修复，完成后，到IE修复的保护IE，启动保护中，把保护系统启动项勾选，把启动项保护起来。

　　4、 在雅虎助手的IE修复的编辑Hosts表，发现有IP，后面的网址的话，把前面的IP改为127.0.0.1 ,然后点击立即保存，重新启动计算机。

　　5、 重启系统后，用杀病毒软件(保持最新的病毒特征库)进行完全查杀病毒。