删除木马 msdrvload.jpg

远程连接故障电脑网友桌面，运行注册表编辑器，发现注册表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager项，PendingFileRenameOperations的值异常。

发现是通过pengding重启替换\??\C:\Program Files\Microsoft Silverlight\msdrv.jpg
\??\C:\WINDOWS\wdmaud.drv
然后把C:\WINDOWS\wdmaud.drv
注入到explorer里面再启动那个msdrvload.jpg扩展名的文件，这个jpg当然不是图片，只是伪装成图片的可执行程序，真正的执行文件只是很小一部分，末尾填充了大量的垃圾数据，凑到79MB大小。
msdrvload.jpg的绝对路径是c:\windows\help\mui\msdrvload.jpg

使用procexp或金山毒霸百宝箱进程管理器，查看explorer.exe进程中的模块，找到wdmaud.drv，结束该模块。再删除C:\WINDOWS\wdmaud.drv和后c:\windows\help\mui\msdrvload.jpg，重启电脑后，发现问题解决。目前，发现金山毒霸可以一次扫描发现病毒，并完成清除。

用这个方法可以不重装系统，HOHO~~~~