ati2evxx.exe進程簡介
2020-07-07 19:26:22
供稿:網友
ati2evxx - ati2evxx.exe - 進程信息
進程文件: ati2evxx 或者 ati2evxx.exe
進程名稱: ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI顯示卡增強工具。它用于管理ATI HotKey特性。
正常路徑是:C:/WINDOWS/system32/Ati2evxx.exe
正常情況下可能有兩個ati2evxx進程,這是因為開了顯卡加速的原因。
如果為ati2evxx 則為木馬。其他的文件夾也應該是木馬
出品者: ATI Technologies Inc.
屬于: ATI display drivers
系統進程: 否
后臺程序: 是
使用網絡: 否
硬件相關: 是
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 0
間諜軟件: 否
廣告軟件: 否
病毒: 否
木馬: 否
最近電腦突然卡,發現進程了多了很多個ati2evxx.exe
感覺不對,馬上用在線殺毒http://www.antidu.cn/board/online/ 查殺
果然,瑞星報毒!!!
行為分析:
本地行為:
1、文件運行后會釋放以下文件:
%DriverLetter%/ntldr.exe 19,124字節
%DriverLetter%/autorun.inf 85字節
%Windir%/Fonts/system/ati2evxx.exe 19,124字節
2、感染本地除系統文件夾以外的exe文件:
在exe文件的尾部添加名為.ani一個節,改變文件的大小,
以下為添加到新節的代碼:
3、新增注冊表:
添加注冊表啟動項,實現自啟動
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
注冊表值:"TBMonEX"
類型: REG_SZ
字符串:"%Windir%/Fonts/system/ati2evxx.exe"
描述:添加自啟動
添加注冊表對安全軟件映像劫持
清除方案:
(1)右擊任務欄打開任務管理器,結束ati2evxx.exe進程。
注意:如果你的顯卡是ATi的,用戶名是SYSTEM的ati2evxx.exe進程是正常的,而你登入的用戶名或是Administrator的ati2evxx.exe進程才是木馬進程。
(2)刪除病毒文件:
C:/Program Files/Common Files/ati2evxx.exe
C:/Program Files/Common Files/ATi/ati2evxx.exe[1]
%DriverLetter%/ntldr.exe
%DriverLetter%/ntldr.exe
%Windir%/Fonts/system/ati2evxx.exe
%Temporary Internet Files%/00001[1].exe
%Temporary Internet Files%/00002[1].exe
%Temporary Internet Files%/000031].exe
%Temporary Internet Files%/00004[1].exe
%Temporary Internet Files%/00005[1].exe
%Temporary Internet Files%/00006[1].exe
%Temporary Internet Files%/00007[1].exe
%Temporary Internet Files%/00008[1].exe
%Temporary Internet Files%/00009[1].exe
%Temporary Internet Files%/00010[1].exe
%Temporary Internet Files%/00011[1].exe
%Temporary Internet Files%/00012[1].exe
%Temporary Internet Files%/00013[1].exe
%Temporary Internet Files%/00015[1].exe
%Temporary Internet Files%/00016[1].exe
%Temporary Internet Files%/00017[1].exe
%Temporary Internet Files%/00023[1].exe
%Temporary Internet Files%/host[1].exe
%Temporary Internet Files%/wdlm[1].exe
%Temporary Internet Files%/soundma[1].exe
%Temporary Internet Files%/lmmy[1].exe
%Temporary Internet Files%/lmmh[1].exe
(3)恢復病毒修改的注冊表項目,刪除病毒添加的注冊表項:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft
/Windows/CurrentVersion/Run]
注冊表值:"TBMonEX"
類型: REG_SZ
字符串:"%Windir%/Fonts/system/ati2evxx.exe"
描述:添加自啟動
