步骤/方法
-
远程连接故障电脑网友桌面,运行注册表编辑器,发现注册表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager项,PendingFileRenameOperations的值异常。
-
发现是通过pengding重启替换\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg
\??\C:\WINDOWS\wdmaud.drv
然后把C:\WINDOWS\wdmaud.drv
注入到explorer里面再启动那个msdrvload.jpg扩展名的文件,这个jpg当然不是图片,只是伪装成图片的可执行程序,真正的执行文件只是很小一部分,末尾填充了大量的垃圾数据,凑到79MB大小。
msdrvload.jpg的绝对路径是c:\windows\help\mui\msdrvload.jpg
-
使用procexp或金山毒霸百宝箱进程管理器,查看explorer.exe进程中的模块,找到wdmaud.drv,结束该模块。再删除C:\WINDOWS\wdmaud.drv和后c:\windows\help\mui\msdrvload.jpg,重启电脑后,发现问题解决。
-
目前,发现金山毒霸和金山急救箱均已实现一次扫描发现病毒,并完成清除。
END