病毒無處不在����,最近許多網(wǎng)友反饋msdrvload.jpg報告為病毒����,手動刪除這個文件后重啟計算機(jī)它還會出現(xiàn),就算用文件粉碎器刪除也無濟(jì)于事�����,這個jpg文件竟然有79MB大小����。
安全工程師聯(lián)系了幾個用戶,遠(yuǎn)程連接發(fā)現(xiàn)注冊表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager項(xiàng)里,PendingFileRenameOperations的值異常����。
繼續(xù)跟蹤發(fā)現(xiàn)是通過pengding重啟替換\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg\??\C:\WINDOWS\wdmaud.drv,然后把C:\WINDOWS\wdmaud.drv注入到explorer里面再啟動那個msdrvload.jpg擴(kuò)展名的文件�����,這個jpg當(dāng)然不是圖片�,只是偽裝成圖片的可執(zhí)行程序,真正的執(zhí)行文件只是很小一部分����,末尾填充了大量的垃圾數(shù)據(jù),湊到79MB大小�����。
msdrvload.jpg的絕對路徑是c:\windows\help\mui\msdrvload.jpg���。
使用procexp終止C:\WINDOWS\wdmaud.drv模塊��,再刪除C:\WINDOWS\wdmaud.drv和c:\windows\help\mui\msdrvload.jpg�,重啟計算機(jī)后��,問題解決���。