|
最近許多網友反饋msdrvload.jpg報告為病毒��,手動刪除這個文件后重啟計算機它還會出現(xiàn)���,就算用文件粉碎器刪除也無濟于事����,這個jpg文件竟然有79MB大小。
安全工程師聯(lián)系了幾個用戶���,遠程連接發(fā)現(xiàn)注冊表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager項里���,PendingFileRenameOperations的值異常。
繼續(xù)跟蹤發(fā)現(xiàn)是通過pengding重啟替換\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg\??\C:\WINDOWS\wdmaud.drv����,然后把C:\WINDOWS\wdmaud.drv注入到explorer里面再啟動那個msdrvload.jpg擴展名的文件,這個jpg當然不是圖片�����,只是偽裝成圖片的可執(zhí)行程序�����,真正的執(zhí)行文件只是很小一部分����,末尾填充了大量的垃圾數據,湊到79MB大小。
msdrvload.jpg的絕對路徑是c:\windows\help\mui\msdrvload.jpg���。
使用procexp終止C:\WINDOWS\wdmaud.drv模塊�����,再刪除C:\WINDOWS\wdmaud.drv和c:\windows\help\mui\msdrvload.jpg��,重啟計算機后����,問題解決����。
本文出自:億恩科技【www.xuefeilisp.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
