^{<noscript id="ma2g8"></noscript>}

ati2evxx.exe進(jìn)程簡(jiǎn)介

2020-05-06 13:32:47

字體：大中小

供稿：網(wǎng)友

ati2evxx - ati2evxx.exe - 進(jìn)程信息
　　進(jìn)程文件： ati2evxx 或者 ati2evxx.exe
　　進(jìn)程名稱(chēng)： ATI External Event Utility EXE Module
　　描述：
　　ati2evxx.exe是ATI顯示卡增強(qiáng)工具。它用于管理ATI HotKey特性。
　　正常路徑是：C:/windows/system32/Ati2evxx.exe
　　正常情況下可能有兩個(gè)ati2evxx進(jìn)程，這是因?yàn)殚_(kāi)了顯卡加速的原因。
　　如果為ati2evxx 則為木馬。其他的文件夾也應(yīng)該是木馬
　　出品者： ATI Technologies Inc.
　　屬于： ATI display drivers
　　系統(tǒng)進(jìn)程：否
　　后臺(tái)程序：是
　　使用網(wǎng)絡(luò)：否
　　硬件相關(guān)：是
　　常見(jiàn)錯(cuò)誤：未知N/A
　　內(nèi)存使用：未知N/A
　　安全等級(jí) (0-5): 0
　　間諜軟件：否
　　廣告軟件：否
　　病毒：否
　　木馬：否
　　最近電腦突然卡，發(fā)現(xiàn)進(jìn)程了多了很多個(gè)ati2evxx.exe
　　感覺(jué)不對(duì)，馬上用在線(xiàn)殺毒http://www.antidu.cn/board/online/ 查殺
　　果然，瑞星報(bào)毒！！！
　　行為分析：
　　本地行為：
　　1、文件運(yùn)行后會(huì)釋放以下文件：
　　%DriverLetter%/ntldr.exe 19,124字節(jié)
　　%DriverLetter%/autorun.inf 85字節(jié)
　　%Windir%/Fonts/system/ati2evxx.exe　19,124字節(jié)
　　2、感染本地除系統(tǒng)文件夾以外的exe文件：
　　在exe文件的尾部添加名為.ani一個(gè)節(jié)，改變文件的大小，
　　以下為添加到新節(jié)的代碼：
　　3、新增注冊(cè)表：
　　添加注冊(cè)表啟動(dòng)項(xiàng)，實(shí)現(xiàn)自啟動(dòng)
　　[HKEY_LOCAL_macHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
　　注冊(cè)表值："TBMonEX"
　　類(lèi)型： REG_SZ
　　字符串："%Windir%/Fonts/system/ati2evxx.exe"
　　描述：添加自啟動(dòng)
　　添加注冊(cè)表對(duì)安全軟件映像劫持
　　清除方案：
　　(1)右擊任務(wù)欄打開(kāi)任務(wù)管理器，結(jié)束ati2evxx.exe進(jìn)程。
　　注意：如果你的顯卡是ATi的，用戶(hù)名是SYSTEM的ati2evxx.exe進(jìn)程是正常的，而你登入的用戶(hù)名或是Administrator的ati2evxx.exe進(jìn)程才是木馬進(jìn)程。
　　(2)刪除病毒文件：
　　C:/Program Files/Common Files/ati2evxx.exe
　　C:/Program Files/Common Files/ATi/ati2evxx.exe[1]
　　%DriverLetter%/ntldr.exe
　　%DriverLetter%/ntldr.exe
　　%Windir%/Fonts/system/ati2evxx.exe
　　%Temporary Inte.net Files%/00001[1].exe
　　%Temporary Internet Files%/00002[1].exe
　　%Temporary Internet Files%/000031].exe
　　%Temporary Internet Files%/00004[1].exe
　　%Temporary Internet Files%/00005[1].exe
　　%Temporary Internet Files%/00006[1].exe
　　%Temporary Internet Files%/00007[1].exe
　　%Temporary Internet Files%/00008[1].exe
　　%Temporary Internet Files%/00009[1].exe
　　%Temporary Internet Files%/00010[1].exe
　　%Temporary Internet Files%/00011[1].exe
　　%Temporary Internet Files%/00012[1].exe
　　%Temporary Internet Files%/00013[1].exe
　　%Temporary Internet Files%/00015[1].exe
　　%Temporary Internet Files%/00016[1].exe
　　%Temporary Internet Files%/00017[1].exe
　　%Temporary Internet Files%/00023[1].exe
　　%Temporary Internet Files%/host[1].exe
　　%Temporary Internet Files%/wdlm[1].exe
　　%Temporary Internet Files%/soundma[1].exe
　　%Temporary Internet Files%/lmmy[1].exe
　　%Temporary Internet Files%/lmmh[1].exe
　　(3)恢復(fù)病毒修改的注冊(cè)表項(xiàng)目，刪除病毒添加的注冊(cè)表項(xiàng)：
　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft
　　/Windows/CurrentVersion/Run]
　　注冊(cè)表值："TBMonEX"
　　類(lèi)型： REG_SZ
　　字符串："%Windir%/Fonts/system/ati2evxx.exe"
　　描述：添加自啟動(dòng)
(責(zé)任編輯：武林網(wǎng))

上一篇：dw[1].exe進(jìn)程 dw[1].exe是什么文件

下一篇：optimize[1].exe是什么文件