病毒无处不在,最近许多网友反馈msdrvload.jpg报告为病毒,手动删除这个文件后重启计算机它还会出现,就算用文件粉碎器删除也无济于事,这个jpg文件竟然有79MB大小。
安全工程师联系了几个用户,远程连接发现注册表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager项里,PendingFileRenameOperations的值异常。
继续跟踪发现是通过pengding重启替换\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg\??\C:\WINDOWS\wdmaud.drv,然后把C:\WINDOWS\wdmaud.drv注入到explorer里面再启动那个msdrvload.jpg扩展名的文件,这个jpg当然不是图片,只是伪装成图片的可执行程序,真正的执行文件只是很小一部分,末尾填充了大量的垃圾数据,凑到79MB大小。
msdrvload.jpg的绝对路径是c:\windows\help\mui\msdrvload.jpg。
使用procexp终止C:\WINDOWS\wdmaud.drv模块,再删除C:\WINDOWS\wdmaud.drv和c:\windows\help\mui\msdrvload.jpg,重启计算机后,问题解决。
【编辑推荐】
- 伊拉克抵抗组织声称对 “Here you have” 病毒负责
- Windows XP古老Bug使病毒横行网络
- 老话新说 预防计算机病毒的做法
- 正确阻止病毒文件杀完后再生的实际操作步骤
- 病毒分析、清除、以及善后的技巧分享
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/141264.html<
