此病毒利用了替换服务等方式启动自身，利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。

File: fpt.exe
Size: 128484 bytes
File Version: 1.00
MD5: 722D74DA3A6907907A5F4CCD136EFA7A
SHA1: 4508EE745E46207090BD131DC336330FD9D55FE2
CRC32: 1D05427E

释放如下文件
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe（伪SoundMan.exe，且图标与真实的SoundMan.exe相同）
%SystemRoot%\system32\tthh3.ini

所有文件的数字签名均为番茄花园

如果有新的可移动存储接入 则写入auto.exe和autorun.inf 文件

调用cmd 通过net stop命令关闭多个服务
shared access
KPfwSvc
KWatchsvc
McShield
Notron AntiVirus Server

结束如下进程
shstat.exe
runiep.exe
ras.exe
MPG4C32.exe
imsins.exe
Iparmor.exe
360safe.exe
360tray.exe
kmailmon.exe
kavstart.exe
avp.exe
ccenter.exe

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue值为0x00000006     屏蔽显示隐藏文件

删除如下文件（为了删除旧版本的病毒文件）
%SystemRoot%\system32\updeta.exe
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\ttzhh.ini
%SystemRoot%\system32\hz3.ini
%SystemRoot%\system32\hz2.ini
%SystemRoot%\system32\1035.ini
%SystemRoot%\system32\tthh.ini
%SystemRoot%\system32\tthh1.ini
%SystemRoot%\system32\tthh2.ini
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\notepd.exe

激活电脑中的guest账户
并且添加一个名为microsoft的账户

将如下信息写入%SystemRoot%\1.inf中
[Version]
Signature="$WINDOWS NT$"
[DefaultInstall.Services]
AddService=helpsvc,,My_AddService_Name
[My_AddService_Name]
DisplayName=Help and Support
Description=启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支

持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
ServiceType=0x10
StartType=2
ServiceBinary=%11%\ineters.exe
ErrorControl=0

并且安装该服务
使得原先的helpsvc（帮助中心）服务的映像文件被替换为病毒%SystemRoot%\system32\ineters.exe

删除如下安全软件的启动项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray
HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW