病毒無處不在，最近許多網(wǎng)友反饋msdrvload.jpg報告為病毒，手動刪除這個文件后重啟計算機它還會出現(xiàn)，就算用文件粉碎器刪除也無濟于事，這個jpg文件竟然有79MB大小。

安全工程師聯(lián)系了幾個用戶，遠程連接發(fā)現(xiàn)注冊表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager項里，PendingFileRenameOperations的值異常。

繼續(xù)跟蹤發(fā)現(xiàn)是通過pengding重啟替換\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg\??\C:\WINDOWS\wdmaud.drv，然后把C:\WINDOWS\wdmaud.drv注入到explorer里面再啟動那個msdrvload.jpg擴展名的文件，這個jpg當然不是圖片，只是偽裝成圖片的可執(zhí)行程序，真正的執(zhí)行文件只是很小一部分，末尾填充了大量的垃圾數(shù)據(jù)，湊到79MB大小。

msdrvload.jpg的絕對路徑是c:\windows\help\mui\msdrvload.jpg。

使用procexp終止C:\WINDOWS\wdmaud.drv模塊，再刪除C:\WINDOWS\wdmaud.drv和c:\windows\help\mui\msdrvload.jpg，重啟計算機后，問題解決。

【編輯推薦】

1. 伊拉克抵抗組織聲稱對 “Here you have” 病毒負責
2. Windows XP古老Bug使病毒橫行網(wǎng)絡(luò)
3. 老話新說 預防計算機病毒的做法
4. 正確阻止病毒文件殺完后再生的實際操作步驟
5. 病毒分析、清除、以及善后的技巧分享