點評:ati2evxx.exe介紹
ati2evxx – ati2evxx.exe – 進程信息
進程文件: ati2evxx 或者 ati2evxx.exe
進程名稱: ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI顯示卡增強工具。它用於管理ATI HotKey特性。
正常路徑是:C:\WINDOWS\system32\Ati2evxx.exe
正常情況下可能有兩個ati2evxx進程,這是因為開瞭顯卡加速的原因。
如果為ati2evxx 則為木馬。其他的文件夾也應該是木馬
出品者: ATI Technologies Inc.
屬於: ATI display drivers
系統進程: 否
後臺程序: 是
使用網絡: 否
硬件相關: 是
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 0
間諜軟件: 否
廣告軟件: 否
病毒: 否
木馬: 否
最近電腦突然卡,發現進程瞭多瞭很多個ati2evxx.exe
感覺不對,馬上用在線殺毒http://www.antidu.cn/board/online/ 查殺
果然,瑞星報毒!!!
行為分析:
本地行為:
1、文件運行後會釋放以下文件:
%DriverLetter%\ntldr.exe 19,124字節
%DriverLetter%\autorun.inf 85字節
%Windir%\Fonts\system\ati2evxx.exe 19,124字節
2、感染本地除系統文件夾以外的exe文件:
在exe文件的尾部添加名為.ani一個節,改變文件的大小,
以下為添加到新節的代碼:
3、新增註冊表:
添加註冊表啟動項,實現自啟動
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值:"TBMonEX"
類型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自啟動
添加註冊表對安全軟件映像劫持
清除方案:
(1)右擊任務欄打開任務管理器,結束ati2evxx.exe進程。
註意:如果你的顯卡是ATi的,用戶名是SYSTEM的ati2evxx.exe進程是正常的,而你登入的用戶名或是Administrator的ati2evxx.exe進程才是木馬進程。
(2)刪除病毒文件:
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Internet Files%\00001[1].exe
%Temporary Internet Files%\00002[1].exe
%Temporary Internet Files%\000031].exe
%Temporary Internet Files%\00004[1].exe
%Temporary Internet Files%\00005[1].exe
%Temporary Internet Files%\00006[1].exe
%Temporary Internet Files%\00007[1].exe
%Temporary Internet Files%\00008[1].exe
%Temporary Internet Files%\00009[1].exe
%Temporary Internet Files%\00010[1].exe
%Temporary Internet Files%\00011[1].exe
%Temporary Internet Files%\00012[1].exe
%Temporary Internet Files%\00013[1].exe
%Temporary Internet Files%\00015[1].exe
%Temporary Internet Files%\00016[1].exe
%Temporary Internet Files%\00017[1].exe
%Temporary Internet Files%\00023[1].exe
%Temporary Internet Files%\host[1].exe
%Temporary Internet Files%\wdlm[1].exe
%Temporary Internet Files%\soundma[1].exe
%Temporary Internet Files%\lmmy[1].exe
%Temporary Internet Files%\lmmh[1].exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
註冊表值:"TBMonEX"
類型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自啟動