请输入您要查询的百科知识:

 

词条 ati2evxx.exe
释义

ati2evxx.exe是ATI显示卡增强工具,是ATI显卡运行所必须的一个进程,用于管理ATI HotKey特性,Windows启动时自动载入。如果显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,登入的用户名是Administrator的ati2evxx.exe进程是木马进程。

进程信息

进程文件:ati2evxx 或者 ati2evxx.exe

进程名称:ATI External Event Utility EXE Module

出品者: ATI Technologies Inc.

属于: ATI display drivers

系统进程: 否

后台程序: 是

使用网络: 否

硬件相关: 是

常见错误: 未知N/A

内存使用: 未知N/A

安全等级 (0-5): 0

间谍软件: 否

广告软件: 否

病毒: 否

木马: 否

木马相关解惑

用户名是SYSTEM的ati2evxx.exe进程是正常的,登入的用户名是Administrator的ati2evxx.exe进程是木马进程。下面介绍下登陆用户名下判定ati2evxx.exe进程是否是木马:

在创建计算机管理员(如"123")的情况下,那么在用户"123"下有ati2evxx.exe进程是正常的,表明该用户下正在使用ATI显卡,不是所谓木马。如果登陆用户是"123",而ati2evxx.exe进程的用户是Administrator,那么此ati2evxx.exe进程肯定是木马。

反之在没有创建任何计算机管理员的情况下,Windows默认登陆是Administrator(域),那么进程中有许多使用用户都是Administrator,当然ati2evxx.exe进程使用用户也是Administrator,那你只能用下面描述中的办法来检测删除了,因此大部分情况下不推荐不建立任何计算机管理员,使用Administrator(域)更容易被黑客攻击。

总之在有ATI显卡的情况下,非Administrator(域)下的ati2evxx.exe进程是正常的。没有ATI显卡下只要出现ati2evxx.exe进程就是木马进程。

描述

英文描述:ati2evxx.exe is the ATI External Event Utility for your ATI display drivers. It manages the ATI Hotkey feature. This process can be removed to free up resources without comprimising system performance.

正常路径是:C:\\WINDOWS\\system32\\Ati2evxx.exe

正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。

如果为ati2evxx 则为木马。其他的文件夹也应该是木马

最近电脑突然卡,发现进程了多了很多个ati2evxx.exe

感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀,果然,瑞星报毒。

行为分析:

本地行为:

1、文件运行后会释放以下文件:

%DriverLetter%\tldr.exe 19,124字节

%DriverLetter%\\autorun.inf 85字节

%Windir%\\Fonts\\system\\ati2evxx.exe 19,124字节

2、感染本地除系统文件夹以外的exe文件:

在exe文件的尾部添加名为.ani一个节,改变文件的大小,

以下为添加到新节的代码:

3、新增注册表:

添加注册表启动项,实现自启动

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

注册表值:"TBMonEX"

类型: REG_SZ

字符串:"%Windir%\\Fonts\\system\\ati2evxx.exe"

描述:添加自启动

添加注册表对安全软件映像劫持

清除方案:

先去把要用的工具找来 http://www.antidu.cn/board/helpst/

(1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。

注意:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。

(2)删除病毒文件:

C:\\Program Files\\Common Files\\ati2evxx.exe

C:\\Program Files\\Common Files\\ATi\\ati2evxx.exe

%DriverLetter%\tldr.exe

%DriverLetter%\tldr.exe

%Windir%\\Fonts\\system\\ati2evxx.exe

%Temporary Internet Files%\\00001[1].exe

%Temporary Internet Files%\\00002[1].exe

%Temporary Internet Files%\\000031].exe

%Temporary Internet Files%\\00004[1].exe

%Temporary Internet Files%\\00005[1].exe

%Temporary Internet Files%\\00006[1].exe

%Temporary Internet Files%\\00007[1].exe

%Temporary Internet Files%\\00008[1].exe

%Temporary Internet Files%\\00009[1].exe

%Temporary Internet Files%\\00010[1].exe

%Temporary Internet Files%\\00011[1].exe

%Temporary Internet Files%\\00012[1].exe

%Temporary Internet Files%\\00013[1].exe

%Temporary Internet Files%\\00015[1].exe

%Temporary Internet Files%\\00016[1].exe

%Temporary Internet Files%\\00017[1].exe

%Temporary Internet Files%\\00023[1].exe

%Temporary Internet Files%\\host[1].exe

%Temporary Internet Files%\\wdlm[1].exe

%Temporary Internet Files%\\soundma[1].exe

%Temporary Internet Files%\\lmmy[1].exe

%Temporary Internet Files%\\lmmh[1].exe

(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run]

注册表值:"TBMonEX"

类型: REG_SZ

字符串:"%Windir%\\Fonts\\system\\ati2evxx.exe"

描述:添加自启动

(PS:大家如果怕麻烦,可以到http://www.antidu.cn/antidu_tags/ati2evxx%2Eexe 有专杀工具)。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 11:23:09