Trojan-PSW.Win32.OnLineGames.ajdc下载者木马运行后衍生ctfmon.exe到%Windir%目录下，测试是否能访问www.google.cn或www.baidu.com，如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件，判断当前进程里是否存在BKPCLIENT.EXE（贝壳磁盘保护）进程，不存在写驱动穿以下还原系统，GUARDFIELD.EXE（360还原保护器）、BARCLIENTVIEW.EXE（网维大师）、FRZSTATE2K.EXE（冰点还原精灵）、QZCLIENT.EXE（网吧系统防护程序），将%Windir%目录下的Explorer.exe复制到%System32%目录下，之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe，并感染%Windir%目录下的Explorer.exe文件，该病毒调用IsDebuggerPresent检测反调试器，如发现反调试器则调用shutdown函数立即执行关闭计算机操作，病毒运行后创建emsf3.bat文件并调用其删除自身。
 
Trojan-PSW.Win32.OnLineGames.ajdc本地行为：

1、文件运行后会释放以下文件：
%Windir%\ctfmon.exe 　　　　5,148 字节

2、测试是否能访问www.google.cn或www.baidu.com，如能访问则连接网络读取http://jqm.htit****.cn/1.txt列表信息下载大量恶意文件。

3、并调用ShellExecute函数打开该病毒文件，判断当前进程里是否存在BKPCLIENT.EXE（贝壳磁盘保护）进程，不存在写驱动穿以下还原系统，GUARDFIELD.EXE（360还原保护器）、BARCLIENTVIEW.EXE（网维大师）、FRZSTATE2K.EXE（冰点还原精灵）、QZCLIENT.EXE（网吧系统防护程序）。

4、将%Windir%目录下的Explorer.exe复制到%System32%目录下，之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe，并感染%Windir%目录下的Explorer.exe文件。

5、该病毒调用IsDebuggerPresent检测反调试器，如发现反调试器则调用shutdown 函数立即执行关闭计算机操作，病毒运行后创建emsf3.bat文件并调用其删除自身。

Trojan-PSW.Win32.OnLineGames.ajdc网络行为:

1、协议：TCP
端口：80
连接服务器名： http://jqm.htitm5kn.cn/1.txt
IP地址：61.164.145.22
描述：连接网络读取TXT列表下载病毒文件并运行，列表内容如下：
aa1.exe
aa2.exe
aa3.exe
aa4.exe
aa5.exe
aa6.exe
aa7.exe
aa8.exe
aa9.exe
aa10.exe
aa11.exe
aa12.exe
aa13.exe
aa14.exe
aa15.exe
aa16.exe
aa17.exe
aa18.exe
aa19.exe
aa20.exe
aa21.exe
aa22.exe
aa23.exe
aa24.exe
aa25.exe
aa26.exe
aa27.exe
aa28.exe
aa29.exe
aa30.exe
aa31.exe
aa32.exe
aa33.exe
aa34.exe
aa35.exe

Trojan-PSW.Win32.OnLineGames.ajdc清除方案：

1 、使用安天防线2008可彻底清除此病毒(推荐)，

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1)关闭病毒相关进程：
复制%SystemRoot%\system32\dllcache\explorer.exe,
替换到%System32%\ 与%Windir%目录下的explorer.exe。

(2)强行删除病毒文件： %Windir%\ctfmon.exe