ati2evxx.exe - ati2evxx.exe

来源:岁月联盟 编辑:zhuzhu 时间:2009-09-10
ati2evxx.exe - ati2evxx.exe内容简介:ati2evxx - ati2evxx.exe - 进程信息 进程文件: ati2evxx 或者 ati2evxx.exe 进程名称: ATI External Event Utility EXE Module 描述: ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。 正常路径是:C:

ati2evxx - ati2evxx.exe - 进程信息
  进程文件: ati2evxx 或者 ati2evxx.exe
  进程名称: ATI External Event Utility EXE Module
  描述:
  ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
  正常路径是:C:/WINDOWS/system32/Ati2evxx.exe
  正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。
  如果为ati2evxx 则为木马。其他的文件夹也应该是木马
  出品者: ATI Technologies Inc.
  属于: ATI display drivers
  系统进程: 否
  后台程序: 是
  使用网络: 否
  硬件相关: 是
  常见错误: 未知N/A
  内存使用: 未知N/A
  安全等级 (0-5): 0
  间谍软件: 否
  广告软件: 否
  病毒: 否
  木马: 否
  最近电脑突然卡,发现进程了多了很多个ati2evxx.exe
  感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
  果然,瑞星报毒!!!
  行为分析:
  本地行为:
  1、文件运行后会释放以下文件:
  %DriverLetter%/ntldr.exe 19,124字节
  %DriverLetter%/autorun.inf 85字节
  %Windir%/Fonts/system/ati2evxx.exe 19,124字节
  2、感染本地除系统文件夹以外的exe文件:
  在exe文件的尾部添加名为.ani一个节,改变文件的大小,
  以下为添加到新节的代码:
  3、新增注册表:
  添加注册表启动项,实现自启动
  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
  注册表值:"TBMonEX"
  类型: REG_SZ
  字符串:"%Windir%/Fonts/system/ati2evxx.exe"
  描述:添加自启动
  添加注册表对安全软件映像劫持
  清除方案:
  (1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。
  注意:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
  (2)删除病毒文件:
  C:/Program Files/Common Files/ati2evxx.exe
  C:/Program Files/Common Files/ATi/ati2evxx.exe[1]
  %DriverLetter%/ntldr.exe
  %DriverLetter%/ntldr.exe
  %Windir%/Fonts/system/ati2evxx.exe
  %Temporary Internet Files%/00001[1].exe
  %Temporary Internet Files%/00002[1].exe
  %Temporary Internet Files%/000031].exe
  %Temporary Internet Files%/00004[1].exe
  %Temporary Internet Files%/00005[1].exe
  %Temporary Internet Files%/00006[1].exe
  %Temporary Internet Files%/00007[1].exe
  %Temporary Internet Files%/00008[1].exe
  %Temporary Internet Files%/00009[1].exe
  %Temporary Internet Files%/00010[1].exe
  %Temporary Internet Files%/00011[1].exe
  %Temporary Internet Files%/00012[1].exe
  %Temporary Internet Files%/00013[1].exe
  %Temporary Internet Files%/00015[1].exe
  %Temporary Internet Files%/00016[1].exe
  %Temporary Internet Files%/00017[1].exe
  %Temporary Internet Files%/00023[1].exe
  %Temporary Internet Files%/host[1].exe
  %Temporary Internet Files%/wdlm[1].exe
  %Temporary Internet Files%/soundma[1].exe
  %Temporary Internet Files%/lmmy[1].exe
  %Temporary Internet Files%/lmmh[1].exe
  (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft
  /Windows/CurrentVersion/Run]
  注册表值:"TBMonEX"
  类型: REG_SZ
  字符串:"%Windir%/Fonts/system/ati2evxx.exe"
  描述:添加自启动

下一篇:ntldr.exe - ntldr

图片内容