• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营

    • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    ati2evxx.exe进程简介
           ati2evxx - ati2evxx.exe - 进程信息
      进程文件: ati2evxx 或者 ati2evxx.exe
      进程名称: ATI External Event Utility EXE Module
      描述:
      ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
      正常路径是:C:\WINDOWS\system32\Ati2evxx.exe
      正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。
      如果为ati2evxx 则为木马。其他的文件夹也应该是木马
      出品者: ATI Technologies Inc.
      属于: ATI display drivers
      系统进程: 否
      后台程序: 是
      使用网络: 否
      硬件相关: 是
      常见错误: 未知N/A
      内存使用: 未知N/A
      安全等级 (0-5): 0
      间谍软件: 否
      广告软件: 否
      病毒: 否
      木马: 否
      最近电脑突然卡,发现进程了多了很多个ati2evxx.exe
      感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
      果然,瑞星报毒!!!
      行为分析:
      本地行为:
      1、文件运行后会释放以下文件:
      %DriverLetter%\ntldr.exe 19,124字节
      %DriverLetter%\autorun.inf 85字节
      %Windir%\Fonts\system\ati2evxx.exe 19,124字节
      2、感染本地除系统文件夹以外的exe文件:
      在exe文件的尾部添加名为.ani一个节,改变文件的大小,
      以下为添加到新节的代码:
      3、新增注册表:
      添加注册表启动项,实现自启动
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      注册表值:"TBMonEX"
      类型: REG_SZ
      字符串:"%Windir%\Fonts\system\ati2evxx.exe"
      描述:添加自启动
      添加注册表对安全软件映像劫持
      清除方案:
      (1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。
      注意:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
      (2)删除病毒文件:
      C:\Program Files\Common Files\ati2evxx.exe
      C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
      %DriverLetter%\ntldr.exe
      %DriverLetter%\ntldr.exe
      %Windir%\Fonts\system\ati2evxx.exe
      %Temporary Internet Files%\00001[1].exe
      %Temporary Internet Files%\00002[1].exe
      %Temporary Internet Files%\000031].exe
      %Temporary Internet Files%\00004[1].exe
      %Temporary Internet Files%\00005[1].exe
      %Temporary Internet Files%\00006[1].exe
      %Temporary Internet Files%\00007[1].exe
      %Temporary Internet Files%\00008[1].exe
      %Temporary Internet Files%\00009[1].exe
      %Temporary Internet Files%\00010[1].exe
      %Temporary Internet Files%\00011[1].exe
      %Temporary Internet Files%\00012[1].exe
      %Temporary Internet Files%\00013[1].exe
      %Temporary Internet Files%\00015[1].exe
      %Temporary Internet Files%\00016[1].exe
      %Temporary Internet Files%\00017[1].exe
      %Temporary Internet Files%\00023[1].exe
      %Temporary Internet Files%\host[1].exe
      %Temporary Internet Files%\wdlm[1].exe
      %Temporary Internet Files%\soundma[1].exe
      %Temporary Internet Files%\lmmy[1].exe
      %Temporary Internet Files%\lmmh[1].exe
      (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
      \Windows\CurrentVersion\Run]
      注册表值:"TBMonEX"
      类型: REG_SZ
      字符串:"%Windir%\Fonts\system\ati2evxx.exe"
      描述:添加自启动
    上一篇:ntldr.exe - ntldr
    下一篇:Win8系统Windows音乐文件夹删除方法
  • 相关文章
    • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    ati2evxx.exe进程简介 ati2evxx.exe,进程,简介,ati2evxx.exe,