主要行为：

1、释放文件：

C:WindowsSystem32datmps.dll21,984byte

C:WindowsSystem32wlite.sys8,816bytes

2、添加启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifydatmps]

DllName=6461746D70732E646C6C0000

Startup="datmps"

Impersonate=0x00000001

Asynchronous=0x00000001

MaxWait=0x00000001

NGIX="[1062522C5803A23AD]"

6461746D70732E646C6C0000解密得：datmps.dll

3、注册驱动：

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswliteSecurity]

Security=01001480900000009C000000140000003000000002001C000100000002801400FF010F000101

00000000000100000000020060000400000000001400FD01020001010000000000051200000000001800

FF010F0

[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswlite]

Type=0x00000001

Start=0x00000001

ErrorControl=0x00000000

ImagePath="system32wlite.sys"

DisplayName="WMV9Codec"

4、添加注册表，保证安全模式依然加载：

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimalwlite.sys]

(Default)="Driver"

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetworkwlite.sys]

(Default)="Driver"

5、调用IE傀儡进程，后台连接外部：rushprot***.net

解决方法：

1、下载PowerRmv，后断开网络连接：

如下：

2、依次删除C:WindowsSystem32datmps.dll和wlite.sys。

3、删除启动项(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifydatmps]