ati2evxx.exe進(jìn)程簡(jiǎn)介
2020-07-07 19:26:22
供稿:網(wǎng)友
ati2evxx - ati2evxx.exe - 進(jìn)程信息
進(jìn)程文件: ati2evxx 或者 ati2evxx.exe
進(jìn)程名稱(chēng): ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI顯示卡增強(qiáng)工具。它用于管理ATI HotKey特性�����。
正常路徑是:C:/WINDOWS/system32/Ati2evxx.exe
正常情況下可能有兩個(gè)ati2evxx進(jìn)程,這是因?yàn)殚_(kāi)了顯卡加速的原因�����。
如果為ati2evxx 則為木馬���。其他的文件夾也應(yīng)該是木馬
出品者: ATI Technologies Inc.
屬于: ATI display drivers
系統(tǒng)進(jìn)程: 否
后臺(tái)程序: 是
使用網(wǎng)絡(luò): 否
硬件相關(guān): 是
常見(jiàn)錯(cuò)誤: 未知N/A
內(nèi)存使用: 未知N/A
安全等級(jí) (0-5): 0
間諜軟件: 否
廣告軟件: 否
病毒: 否
木馬: 否
最近電腦突然卡���,發(fā)現(xiàn)進(jìn)程了多了很多個(gè)ati2evxx.exe
感覺(jué)不對(duì)���,馬上用在線殺毒http://www.antidu.cn/board/online/ 查殺
果然,瑞星報(bào)毒?��。?����!
行為分析:
本地行為:
1���、文件運(yùn)行后會(huì)釋放以下文件:
%DriverLetter%/ntldr.exe 19,124字節(jié)
%DriverLetter%/autorun.inf 85字節(jié)
%Windir%/Fonts/system/ati2evxx.exe 19,124字節(jié)
2��、感染本地除系統(tǒng)文件夾以外的exe文件:
在exe文件的尾部添加名為.ani一個(gè)節(jié)�����,改變文件的大小���,
以下為添加到新節(jié)的代碼:
3�����、新增注冊(cè)表:
添加注冊(cè)表啟動(dòng)項(xiàng)���,實(shí)現(xiàn)自啟動(dòng)
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
注冊(cè)表值:"TBMonEX"
類(lèi)型: REG_SZ
字符串:"%Windir%/Fonts/system/ati2evxx.exe"
描述:添加自啟動(dòng)
添加注冊(cè)表對(duì)安全軟件映像劫持
清除方案:
(1)右擊任務(wù)欄打開(kāi)任務(wù)管理器,結(jié)束ati2evxx.exe進(jìn)程�����。
注意:如果你的顯卡是ATi的�����,用戶名是SYSTEM的ati2evxx.exe進(jìn)程是正常的���,而你登入的用戶名或是Administrator的ati2evxx.exe進(jìn)程才是木馬進(jìn)程���。
(2)刪除病毒文件:
C:/Program Files/Common Files/ati2evxx.exe
C:/Program Files/Common Files/ATi/ati2evxx.exe[1]
%DriverLetter%/ntldr.exe
%DriverLetter%/ntldr.exe
%Windir%/Fonts/system/ati2evxx.exe
%Temporary Internet Files%/00001[1].exe
%Temporary Internet Files%/00002[1].exe
%Temporary Internet Files%/000031].exe
%Temporary Internet Files%/00004[1].exe
%Temporary Internet Files%/00005[1].exe
%Temporary Internet Files%/00006[1].exe
%Temporary Internet Files%/00007[1].exe
%Temporary Internet Files%/00008[1].exe
%Temporary Internet Files%/00009[1].exe
%Temporary Internet Files%/00010[1].exe
%Temporary Internet Files%/00011[1].exe
%Temporary Internet Files%/00012[1].exe
%Temporary Internet Files%/00013[1].exe
%Temporary Internet Files%/00015[1].exe
%Temporary Internet Files%/00016[1].exe
%Temporary Internet Files%/00017[1].exe
%Temporary Internet Files%/00023[1].exe
%Temporary Internet Files%/host[1].exe
%Temporary Internet Files%/wdlm[1].exe
%Temporary Internet Files%/soundma[1].exe
%Temporary Internet Files%/lmmy[1].exe
%Temporary Internet Files%/lmmh[1].exe
(3)恢復(fù)病毒修改的注冊(cè)表項(xiàng)目,刪除病毒添加的注冊(cè)表項(xiàng):
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft
/Windows/CurrentVersion/Run]
注冊(cè)表值:"TBMonEX"
類(lèi)型: REG_SZ
字符串:"%Windir%/Fonts/system/ati2evxx.exe"
描述:添加自啟動(dòng)
