流氓的活动方式不同了，以前流氓们还大摇大摆的晃来晃去，根据中标者特征一眼就能揪出它，现在的流氓大多躲在阴暗的角落里，几乎都是驱动级武装，三天两头升级一下，只能看到中标，却找不到该流氓的任何片影只踪，以下这位就是

释放文件
%system%\476antos.dll
该dll文件名为4(3位随机)ntos.dll，即4****ntos.dll，以前是跟着atmsig.sys一起混的
%system%\drivers\ast.sys

添加BHO工具条，注册表信息名为4位随机数字
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{DFCB34B6-902D-426E-AE2B-1B294AE19F4F} %system%\476antos.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
{841B2B65-118D-4FF2-AD63-4CFF44B8B68F} %system%\476antos.dll

添加驱动服务信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ast]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AST]
不多见的SafeBoot下信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ast]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ast]
均指向 %system%\drivers\ast.sys

流氓特点：
1、弹不完的窗口，挥之不去的工具条，并找不到该工具条所属信息，工具条头有两位大写字母，比如GW，应该也是随机
2、所创BHO名为随机，在安全模式下驱动照样加载，驱动保护工具条
3、应该是以前atmsig.sys的更新版，不过这次多了SafeBoot下信息
4、通观所有，暂无法找到该流氓所属是谁