近日，江民反病毒研究中心监测到，“传奇窃贼”（也叫“传奇终结者”）变种TrojanSpy.Small.g和TrojanSpy.Small.l 正在通过网络大肆传播。

　　病毒运行后，将创建下列文件：
　　c:\bbs.exe, 25600字节
　　c:\web.exe, 26624字节
　　%WinDir%\assistse.exe, 26624字节
　　%WinDir%\explorer.com, 25600字节
　　%WinDir%\h00kdll.dll, 14848字节
　　%WinDir%\services.exe, 26624字节
　　%SystemDir%\share.txt, 7字节
　　%WinDir%\uninstall.exe, 26624字节

　　在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Net" = %WinDir%\services.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

　　"Load" = %WinDir%\assistse.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　该病毒会在每个硬盘分区根目录下建立两个的新文件： bbs.exe 和 web.exe ，这两个文件都是文件夹图标，隐藏属性，很有迷惑性，引诱用户点击。(如图1)

引诱点击

　在 %WinDir% 目录下生成的 explorer.com 文件也很迷惑人，与explorer.exe 就差一个扩展名（如图2）。病毒经过 UPX 加壳处理，脱掉后可以看出是用Visual C++ 6.0编写的。

都是假的

　　针对该病毒，江民反病毒专家给出两种查杀方法 ：

　　1. 自动杀毒方法：安装并升级KV2005 到最新的病毒库，全盘查杀就可以彻底地清楚该病毒。

　　2. 手动杀除解决方法：

　　（1、）先再任务管理器中结束explorer.com进程，注意：是explorer.com而不是explorer.exe 。（如图3）

手动杀除

　　（2、）再将每个硬盘分区根目录下 bbs.exe 和 web.exe 两个文件删除掉，注意：删除后就不要再打开这个分区了，否则会再次感染。

　　（3、）删除%WinDir%\explorer.com 文件（注：Windows XP 系统在C:\windows\explorer.com ， Windows2000/NT 系统在C:\WINNT\explorer.com 。）

　　（4、）最后在注册表中删除

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Net" = %WinDir%\services.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

　　"Load" = %WinDir%\assistse.exe

　　这两个键值，这样病毒就不会随这机器开机运行了。