电脑突然发卡,打开进程管理器看到许多ati2evxx.exe,于是怀疑ati2evxx.exe就是病毒文件。其实,该名字的进程有两个是完全正常的,如果不放心的话,可以察看这两进程文件是否相同,如果系统装在C盘,那么文件路径应该是:C:\WINDOWS\system32 \ati2evxx.exe,命令行:C:\WINDOWS\system32\Ati2evxx.exe,文件大小:368 KB,如果不相同就有问题了。
ati2evxx.exe进程信息如下: 英文描述:ati2evxx.exe is the ATI External Event Utility for your ATI display drivers. It manages the ATI Hotkey feature. This process can be removed to free up resources wIThout comprimising system performance. 中文描述:ati2evxx.exe是ATI的显卡增强工具。它用于管理ATI HotKey特性。 出品者:ATI Technologies Inc. 属于:ATI display drivers 系统进程:否 后台程序:是 使用网络:否 硬件相关:是 常见错误:未知N/A 内存使用:未知N/A 安全等级 (0-5):0 间谍软件:否 广告软件:否 病毒:否 木马:否 ati2evxx.exe病毒信息如下: 此木马伪装成ATI显卡服务,生成文件C:\Program Files\Common Files\ati2evxx.exe或C:\Program Files\Common Files\ATi\ati2evxx.exe,并创建注册表服务项。 行为分析: 1、文件运行后会释放以下文件: %DriverLetter%
tldr.exe 19,124字节 %DriverLetter%\autorun.inf 85字节 %Windir%\Fonts\system\ati2evxx.exe 19,124字节 2、感染本地除系统文件夹以外的.exe文件,在exe文件的尾部添加名为.ani一个节,改变文件大小。 3、新增注册表: 添加注册表启动项,实现自启动 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 注册表值:"TBMonEX" 类型:REG_SZ 字符串:"%Windir%\Fonts\system\ati2evxx.exe" 描述:添加自启动 添加注册表对安全软件映像劫持 手工清除方案: 1.右击任务栏打开任务管理器,结束ati2evxx.exe进程。 注意:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。 2. 删除病毒文件: C:\Program Files\Common Files\ati2evxx.exe C:\Program Files\Common Files\ATi\ati2evxx.exe %DriverLetter%
tldr.exe %DriverLetter%
tldr.exe %Windir%\Fonts\system\ati2evxx.exe %Temporary Internet Files%\00001[1].exe %Temporary Internet Files%\00002[1].exe %Temporary Internet Files%\000031].exe %Temporary Internet Files%\00004[1].exe %Temporary Internet Files%\00005[1].exe %Temporary Internet Files%\00006[1].exe %Temporary Internet Files%\00007[1].exe %Temporary Internet Files%\00008[1].exe %Temporary Internet Files%\00009[1].exe %Temporary Internet Files%\00010[1].exe %Temporary Internet Files%\00011[1].exe %Temporary Internet Files%\00012[1].exe %Temporary Internet Files%\00013[1].exe %Temporary Internet Files%\00015[1].exe %Temporary Internet Files%\00016[1].exe %Temporary Internet Files%\00017[1].exe %Temporary Internet Files%\00023[1].exe %Temporary Internet Files%\host[1].exe %Temporary Internet Files%\wdlm[1].exe %Temporary Internet Files%\soundma[1].exe %Temporary Internet Files%\lmmy[1].exe %Temporary Internet Files%\lmmh[1].exe 3. 删除注册表服务项: 运行regedIT打开注册表,用寻找ati2evxx.exe的方法来删除,路径为C:\Program Files\Common Files\ati2evxx.exe和C:\Program Files\Common Files\ATi\ati2evxx.exe的就是木马项。 注意:不要把正常注册表项给删除掉,不过要是删错的话,清完病毒后,重装一下ATI显卡驱动也可以。