ati2evxx.exe進程信息如下: 英文描述:ati2evxx.exe is the ATI External Event Utility for your ATI display drivers. It manages the ATI Hotkey feature. This process can be removed to free up resources wIThout comprimising system performance. 中文描述:ati2evxx.exe是ATI的顯卡增強工具。它用於管理ATI HotKey特性。 出品者:ATI Technologies Inc. 屬於:ATI display drivers 系統進程:否 後臺程序:是 使用網絡:否 硬件相關:是 常見錯誤:未知N/A 內存使用:未知N/A 安全等級 (0-5):0 間諜軟件:否 廣告軟件:否 病毒:否 木馬:否 ati2evxx.exe病毒信息如下: 此木馬偽裝成ATI顯卡服務,生成文件C:\Program Files\Common Files\ati2evxx.exe或C:\Program Files\Common Files\ATi\ati2evxx.exe,並創建註冊表服務項。 行為分析: 1、文件運行後會釋放以下文件: %DriverLetter%
tldr.exe 19,124字節 %DriverLetter%\autorun.inf 85字節 %Windir%\Fonts\system\ati2evxx.exe 19,124字節 2、感染本地除系統文件夾以外的.exe文件,在exe文件的尾部添加名為.ani壹個節,改變文件大小。 3、新增註冊表: 添加註冊表啟動項,實現自啟動 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 註冊表值:"TBMonEX" 類型:REG_SZ 字符串:"%Windir%\Fonts\system\ati2evxx.exe" 描述:添加自啟動 添加註冊表對安全軟件映像劫持 手工清除方案: 1.右擊任務欄打開任務管理器,結束ati2evxx.exe進程。 註意:如果妳的顯卡是ATi的,用戶名是SYSTEM的ati2evxx.exe進程是正常的,而妳登入的用戶名或是Administrator的ati2evxx.exe進程才是木馬進程。 2. 刪除病毒文件: C:\Program Files\Common Files\ati2evxx.exe C:\Program Files\Common Files\ATi\ati2evxx.exe %DriverLetter%
tldr.exe %DriverLetter%
tldr.exe %Windir%\Fonts\system\ati2evxx.exe %Temporary Internet Files%\00001[1].exe %Temporary Internet Files%\00002[1].exe %Temporary Internet Files%\000031].exe %Temporary Internet Files%\00004[1].exe %Temporary Internet Files%\00005[1].exe %Temporary Internet Files%\00006[1].exe %Temporary Internet Files%\00007[1].exe %Temporary Internet Files%\00008[1].exe %Temporary Internet Files%\00009[1].exe %Temporary Internet Files%\00010[1].exe %Temporary Internet Files%\00011[1].exe %Temporary Internet Files%\00012[1].exe %Temporary Internet Files%\00013[1].exe %Temporary Internet Files%\00015[1].exe %Temporary Internet Files%\00016[1].exe %Temporary Internet Files%\00017[1].exe %Temporary Internet Files%\00023[1].exe %Temporary Internet Files%\host[1].exe %Temporary Internet Files%\wdlm[1].exe %Temporary Internet Files%\soundma[1].exe %Temporary Internet Files%\lmmy[1].exe %Temporary Internet Files%\lmmh[1].exe 3. 刪除註冊表服務項: 運行regedIT打開註冊表,用尋找ati2evxx.exe的方法來刪除,路徑為C:\Program Files\Common Files\ati2evxx.exe和C:\Program Files\Common Files\ATi\ati2evxx.exe的就是木馬項。 註意:不要把正常註冊表項給刪除掉,不過要是刪錯的話,清完病毒後,重裝壹下ATI顯卡驅動也可以。