最近許多網友反饋msdrvload.jpg報告為病毒，手動刪除這個文件后重啟計算機它還會出現，就算用文件粉碎器刪除也無濟于事，這個jpg文件竟然有79MB大小。

安全工程師聯系了幾個用戶，遠程連接發現注冊表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager項里，PendingFileRenameOperations的值異常。

繼續跟蹤發現是通過pengding重啟替換\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg\??\C:\WINDOWS\wdmaud.drv，然后把C:\WINDOWS\wdmaud.drv注入到explorer里面再啟動那個msdrvload.jpg擴展名的文件，這個jpg當然不是圖片，只是偽裝成圖片的可執行程序，真正的執行文件只是很小一部分，末尾填充了大量的垃圾數據，湊到79MB大小。

msdrvload.jpg的絕對路徑是c:\windows\help\mui\msdrvload.jpg。

使用procexp終止C:\WINDOWS\wdmaud.drv模塊，再刪除C:\WINDOWS\wdmaud.drv和c:\windows\help\mui\msdrvload.jpg，重啟計算機后，問題解決。  

【編輯推薦】

1. 如何刪除病毒/木馬程序的自啟動項
2. 解析autorun.inf病毒及手工刪除方法