站长资源操作系统
ati2evxx.exe进程简介
简介ati2evxx - ati2evxx.exe - 进程信息 进程文件: ati2evxx 或者 ati2evxx.exe 进程名称: ATI External Event Utility EXE Module 描述: ati2evxx.exe是ATI显示卡增强工具。它
ati2evxx - ati2evxx.exe - 进程信息
进程文件: ati2evxx 或者 ati2evxx.exe
进程名称: ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
正常路径是:C:\WINDOWS\system32\Ati2evxx.exe
正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。
如果为ati2evxx 则为木马。其他的文件夹也应该是木马
出品者: ATI Technologies Inc.
属于: ATI display drivers
系统进程: 否
后台程序: 是
使用网络: 否
硬件相关: 是
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
最近电脑突然卡,发现进程了多了很多个ati2evxx.exe
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
果然,瑞星报毒!!!
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%DriverLetter%\ntldr.exe 19,124字节
%DriverLetter%\autorun.inf 85字节
%Windir%\Fonts\system\ati2evxx.exe 19,124字节
2、感染本地除系统文件夹以外的exe文件:
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码:
3、新增注册表:
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
添加注册表对安全软件映像劫持
清除方案:
(1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。
注意:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
(2)删除病毒文件:
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Internet Files%\00001[1].exe
%Temporary Internet Files%\00002[1].exe
%Temporary Internet Files%\000031].exe
%Temporary Internet Files%\00004[1].exe
%Temporary Internet Files%\00005[1].exe
%Temporary Internet Files%\00006[1].exe
%Temporary Internet Files%\00007[1].exe
%Temporary Internet Files%\00008[1].exe
%Temporary Internet Files%\00009[1].exe
%Temporary Internet Files%\00010[1].exe
%Temporary Internet Files%\00011[1].exe
%Temporary Internet Files%\00012[1].exe
%Temporary Internet Files%\00013[1].exe
%Temporary Internet Files%\00015[1].exe
%Temporary Internet Files%\00016[1].exe
%Temporary Internet Files%\00017[1].exe
%Temporary Internet Files%\00023[1].exe
%Temporary Internet Files%\host[1].exe
%Temporary Internet Files%\wdlm[1].exe
%Temporary Internet Files%\soundma[1].exe
%Temporary Internet Files%\lmmy[1].exe
%Temporary Internet Files%\lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
进程文件: ati2evxx 或者 ati2evxx.exe
进程名称: ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
正常路径是:C:\WINDOWS\system32\Ati2evxx.exe
正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。
如果为ati2evxx 则为木马。其他的文件夹也应该是木马
出品者: ATI Technologies Inc.
属于: ATI display drivers
系统进程: 否
后台程序: 是
使用网络: 否
硬件相关: 是
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
最近电脑突然卡,发现进程了多了很多个ati2evxx.exe
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
果然,瑞星报毒!!!
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%DriverLetter%\ntldr.exe 19,124字节
%DriverLetter%\autorun.inf 85字节
%Windir%\Fonts\system\ati2evxx.exe 19,124字节
2、感染本地除系统文件夹以外的exe文件:
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码:
3、新增注册表:
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
添加注册表对安全软件映像劫持
清除方案:
(1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。
注意:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
(2)删除病毒文件:
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Internet Files%\00001[1].exe
%Temporary Internet Files%\00002[1].exe
%Temporary Internet Files%\000031].exe
%Temporary Internet Files%\00004[1].exe
%Temporary Internet Files%\00005[1].exe
%Temporary Internet Files%\00006[1].exe
%Temporary Internet Files%\00007[1].exe
%Temporary Internet Files%\00008[1].exe
%Temporary Internet Files%\00009[1].exe
%Temporary Internet Files%\00010[1].exe
%Temporary Internet Files%\00011[1].exe
%Temporary Internet Files%\00012[1].exe
%Temporary Internet Files%\00013[1].exe
%Temporary Internet Files%\00015[1].exe
%Temporary Internet Files%\00016[1].exe
%Temporary Internet Files%\00017[1].exe
%Temporary Internet Files%\00023[1].exe
%Temporary Internet Files%\host[1].exe
%Temporary Internet Files%\wdlm[1].exe
%Temporary Internet Files%\soundma[1].exe
%Temporary Internet Files%\lmmy[1].exe
%Temporary Internet Files%\lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动