图片文件竟是病毒冒充　垃圾数据凑大小

　　【赛迪网-IT技术讯】最近许多网友反馈msdrvload.jpg报告为病毒，手动删除这个文件后重启计算机它还会出现，就算用文件粉碎器删除也无济于事，这个jpg文件竟然有79MB大小。

　　安全工程师联系了几个用户，远程连接发现注册表的HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager项里，PendingFileRenameOperations的值异常。

　　继续跟踪发现是通过pengding重启替换\\??\\C:\\Program Files\\Microsoft Silverlight\\msdrv.jpg\\??\\C:\\WINDOWS\\wdmaud.drv，然后把C:\\WINDOWS\\wdmaud.drv注入到explorer里面再启动那个msdrvload.jpg扩展名的文件，这个jpg当然不是图片，只是伪装成图片的可执行程序，真正的执行文件只是很小一部分，末尾填充了大量的垃圾数据，凑到79MB大小。

　　msdrvload.jpg的绝对路径是c:\\windows\\help\\mui\\msdrvload.jpg。

　　使用procexp终止C:\\WINDOWS\\wdmaud.drv模块，再删除C:\\WINDOWS\\wdmaud.drv和c:\\windows\\help\\mui\\msdrvload.jpg，重启计算机后，问题解决。