早上一同事中招，过去看了一下，以为是个垃圾病毒，删除相关病毒文件后。正高兴中，没想到，病毒文件又自动生成，感觉有点奇怪，重复删除，再次生成。感觉有搞头，提取样本，进行了跟踪。
运行后释放文件：
C:\windows\drwtsm32.exe
c:\windows\goauld001.dll
c:\windows\system32\drwtsm32.exe
修改注册表
HKLM\\Software\\microsoft\\windows nt\\currentversion\\image file execution options\\explorer.exe（开机就运行，双击运行，所以冤魂不散）
又利用到IFEO，真是恶心。只要双击就会运行病毒。
同时运行C:\windows下018.exe
释放文件
c:\documents and settings\用户名\local settings\temp\tmp2.cab
c:\documents and settings\用户名\local settings\temp\tmp2.tmp
c:\documents and settings\用户名\local settings\temp\tmp3.cab
c:\documents and settings\用户名\local settings\temp\tmp3.tmp
c:\documents and settings\用户名\local settings\temp\tmp4.cab
c:\documents and settings\用户名\local settings\temp\tmp4.tmp
c:\windows\system32\avmetey.dll    （文件名随机）
c:\windows\system32\drivers\avmetey.sys  （此文件名随机生成，我这里是avmetey）
c:\windows\system32\nsbjujp.dll    （文件名随机）
创建服务avmetey  （服务名随机）
运行ad98.exe
释放文件
c:\program files\comman files\cpush\cpush.dll
c:\program files\comman files\cpush\cpush.exe

drwtsm32.exe、ad98.exe、018.exe这三个是绑在一起的，运行drwtsm32.exe其它两个跟着跑。
这里注意c:\windows\system32\drwtsm32.exe跟c:\windows\system32\drwtsn32.exe的区分，作者想鱼目混珠。。

查杀流程

1、删除注册表值

2、删除文件

这个程序还劫持EXPLORER.EXE.以至不能正常显示桌面.

实在是可恶,我用WINDOWS清理助手在安全模式下清除两遍,

再加以黄山IE修复工具已可完全清除此垃圾病毒.