怎样处理79MB的msdrvload.jpg病毒

最近在论坛看到好多反馈msdrvload.jpg报告为病毒，删除后重启又出现，就算用文件粉碎器删除也无济于事，这个jpg文件有79MB。

工具/原料

金山毒霸2011 SP3

Windows注册表编辑器regedit

procexp

QQ远程桌面协助

步骤/方法

1
远程连接故障电脑网友桌面，运行注册表编辑器，发现注册表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager项，PendingFileRenameOperations的值异常。





2
发现是通过pengding重启替换\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg

\??\C:\WINDOWS\wdmaud.drv

然后把C:\WINDOWS\wdmaud.drv

注入到explorer里面再启动那个msdrvload.jpg扩展名的文件，这个jpg当然不是图片，只是伪装成图片的可执行程序，真正的执行文件只是很小一部分，末尾填充了大量的垃圾数据，凑到79MB大小。

msdrvload.jpg的绝对路径是c:\windows\help\mui\msdrvload.jpg





3
使用procexp或金山毒霸百宝箱进程管理器，查看explorer.exe进程中的模块，找到wdmaud.drv，结束该模块。再删除C:\WINDOWS\wdmaud.drv和后c:\windows\help\mui\msdrvload.jpg，重启电脑后，发现问题解决。

4
目前，发现金山毒霸和金山急救箱均已实现一次扫描发现病毒，并完成清除。

END

注意事项

找到可疑进程或模块，中止运行后删除病毒文件是一般通用的处理办法。

参考资料

http://hi.baidu.com/litiejun/blog/item/9b4cf5075f8cb3c27b894788.html