基本信息

有关病毒

基本信息

进程信息：soundman - soundman.exe

进程文件：soundman 或者 soundman.exe

进程名称：Realtek Avance Logic Inc

描述：soundman.exe是Realtek声卡相关程序。该进程在系统托盘驻留，用于进行快速访问和诊断。

出品者：Realtek Avance Logic Inc.

属于：Realtek Avance Logic Inc

系统进程：否

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：284KB

安全等级 (0-5)：0

间谍软件：否

Adware：否

病毒：否

木马：否

有关病毒

电脑突然卡，发现进程了多了很多个soundman.exe

一、 病毒标签：

病毒名称： Trojan-Dropper.Win32.Mudrop.eo

病毒类型： 释放器

命名对照：

瑞星 Trojan.DL.Win32.VB.yle

赛门铁克 W32.SillyFDC

Dr.WEB Win32.HLLW.Shadu

二、 病毒描述：

该病毒为释放器，图标为伪装的记事本，并连接网络进行下载，但连接已失效。

三、 行为分析：

释放文件：

c:\\WINDOWS\\system32\\alcwzrd.exe

Size: 114,688 bytes

c:\\WINDOWS\\system32\\ineters.exe

Size: 20,480 bytes

c:\\WINDOWS\\system32\\SoundMan.exe

Size: 69,632 bytes

c:\\WINDOWS\\system32\\tthh3.ini

Size: 3 bytes

增加启动项目：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\helpsvc "ImagePath"

Old type: REG_EXPAND_SZ

New type: REG_EXPAND_SZ

Old data: %SystemRoot%\\System32\\svchost.exe -k netsvcs

New data: %SystemRoot%\\system32\\ineters.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "SoundMan"

Type: REG_SZ

Data: SoundMan.exe

SoundMan.exe是伪装为SoundMan的病毒程序，图标相同。

解决方案：

（最干净的查杀方法，扫描得SRENG的日志文件，然后发到http://bbs.antidu.cn/，教给高手帮你杀）

删除文件：

c:\\WINDOWS\\system32\\alcwzrd.exe

c:\\WINDOWS\\system32\\ineters.exe

c:\\WINDOWS\\system32\\SoundMan.exe

c:\\WINDOWS\\system32\\tthh3.ini

删除注册表项目：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "SoundMan"

修改注册表：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\helpsvc "ImagePath"

将 %SystemRoot%\\system32\\ineters.exe修改为：

%SystemRoot%\\System32\\svchost.exe -k netsvcs

关闭soundman.exe进程:

可以在桌面右下角系统托盘处退出 或 直接在 任务管理器->进程 中结束SOUNDMAN.EXE

如果想让它不随电脑开机启动， 在运行中输入 regedit 进入注册表编辑器，找到[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]下面的 "SoundMan"="SOUNDMAN.EXE"，删除就可以了。