网络行为
    当病毒驻扎后开始遍历硬盘中的EXE可执行文件（系统文件夹EXE可执行文件除外），并在exe文件的尾部添加名为.ani一个节，达到改变文件大小的目的， 最后连接到互联网网址c.8**.us(59.60.155.**) 、a.8**.us(58.53.128.**) 、e.8**.us(218.75.159.***)、f.8**.us(59.60.157.**) 等，从中下载各种病毒木马到计算机的临时文件夹（TEMP）中，其病毒如下： 00001[1].exe（Trojan.Win32.Vaklik.bx）； 00002[1].exe （Trojan-PSW.Win32.OnLineGames.lnx ）；00003[1].exe （Trojan-PSW.Win32.OnLineGames.lmz）；00004[1].exe （Trojan-PSW.Win32.OnLineGames.lqb）；00005[1].exe （Trojan-PSW.Win32.OnLineGames.llm ）；00006[1].exe （Trojan-PSW.Win32.OnLineGames.llj）；00007[1].exe （Trojan-PSW.Win32.OnLineGames.lpt）；00008[1].exe （Trojan-PSW.Win32.OnLineGames.lqz）；00009[1].exe （Trojan-PSW.Win32.OnLineGames.lrf）；00010[1].exe （Trojan-PSW.Win32.OnLineGames.lmz ）；host[1].exe （Trojan.Win32.Qhost.aaf）； wdlm[1].exe （Trojan-Downloader.Win32.Small.gwi ）；soundma[1].exe （Trojan.Win32.Agent.diq）；lmmy[1].exe （Trojan-PSW.Win32.OnLineGames.kaw）；lmmh[1].exe （Trojan.Win32.Small.uj）等。该病毒清除较难，属于危害等级较高的病毒。　　　　

    清除方案
    普通用户可使用安天木马防线清除此病毒，有手工清除经验的朋友可以对照下列方法进行尝试清除。首先进入目录%DriverLetter%下删除ntldr.exe文件，删除%Windir%\Fonts\system下的ati2evxx.exe ，并一一删除%Temporary Internet Files%下的00001[1].exe 、00002[1].exe 、00003[1].exe 、00004[1].exe 、00005[1].exe、00006[1].exe、00007[1].exe、00008[1].exe、00009[1].exe 、00010[1].exe 、00011[1].exe、 00012[1].exe、00013[1].exe 、00015[1].exe、00016[1].exe、00017[1].exe、00023[1].exe、host[1].exe、wdlm[1].exe、soundma[1].exe、lmmy[1].exe、lmmh[1].exe。随后删除病毒添加的注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 分支下的"TBMonEX"键值 ，字符串为"%Windir%\Fonts\system\ati2evxx.exe" ，以达恢复被病毒修改的注册表项目。
　 　 　
    编者按：由于该病毒自行从互联网中下载的病毒程序较多，这里建议用户在浏览网站或打开第三方存储设备时一定要提高警惕。有条件的用户可以使用[影子系统]进入正常的单盘防护方式进入互联网或打开存储盘，尽可能避免被病毒木马的骚扰危害。