ati2evxx - ati2evxx.exe - 进程信息
进程文件: ati2evxx 或者 ati2evxx.exe
进程名称: ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
出品者: ATI Technologies Inc.
属于: ATI display drivers
系统进程: 否
后台程序: 是
使用网络: 否
硬件相关: 是
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
但它可能哟问题的
http://baike.baidu.com/view/605020.htm后半部分
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%DriverLetter%\ntldr.exe 19,124字节
%DriverLetter%\autorun.inf 85字节
%Windir%\Fonts\system\ati2evxx.exe 19,124字节
2、感染本地除系统文件夹以外的exe文件:
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码:
3、新增注册表:
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
添加注册表对安全软件映像劫持
清除方案:
先去把要用的工具找来
http://www.antidu.cn/board/helpst/ (1)关闭病毒进程。
(2)删除病毒文件:
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Internet Files%\00001[1].exe
%Temporary Internet Files%\00002[1].exe
%Temporary Internet Files%\000031].exe
%Temporary Internet Files%\00004[1].exe
%Temporary Internet Files%\00005[1].exe
%Temporary Internet Files%\00006[1].exe
%Temporary Internet Files%\00007[1].exe
%Temporary Internet Files%\00008[1].exe
%Temporary Internet Files%\00009[1].exe
%Temporary Internet Files%\00010[1].exe
%Temporary Internet Files%\00011[1].exe
%Temporary Internet Files%\00012[1].exe
%Temporary Internet Files%\00013[1].exe
%Temporary Internet Files%\00015[1].exe
%Temporary Internet Files%\00016[1].exe
%Temporary Internet Files%\00017[1].exe
%Temporary Internet Files%\00023[1].exe
%Temporary Internet Files%\host[1].exe
%Temporary Internet Files%\wdlm[1].exe
%Temporary Internet Files%\soundma[1].exe
%Temporary Internet Files%\lmmy[1].exe
%Temporary Internet Files%\lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值:"TBMonEX"
类型: REG_SZ
字符串:"%Windir%\Fonts\system\ati2evxx.exe"
描述:添加自启动
(PS:大家如果怕麻烦,可以到
http://www.antidu.cn/antidu_tags/ati2evxx%2Eexe 有专杀工具)
