ati2evxx.exe进程简介
网络安全 2021-07-03 17:55www.168986.cn网络安全知识
ati2evxx - ati2evxx.exe - 进程信息
进程文件 ati2evxx 或者 ati2evxx.exe
进程名称 ATI External Event Utility EXE Module
描述
ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
正常路径是C:\WINDOWS\system32\Ati2evxx.exe
正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。
如果为ati2evxx 则为木马。其他的文件夹也应该是木马
出品者 ATI Technologies Inc.
属于 ATI display drivers
系统进程 否
后台程序 是
使用网络 否
硬件相关 是
常见错误 未知N/A
内存使用 未知N/A
安全等级 (0-5): 0
间谍软件 否
广告软件 否
病毒 否
木马 否
最近电脑突然卡,发现进程了多了很多个ati2evxx.exe
感觉不对,马上用在线杀毒http://.antidu./board/online/ 查杀
果然,瑞星报毒!!!
行为分析
本地行为
1、文件运行后会释放以下文件
%DriverLetter%\ntldr.exe 19,124字节
%DriverLetter%\autorun.inf 85字节
%Windir%\Fonts\system\ati2evxx.exe 19,124字节
2、感染本地除系统文件夹以外的exe文件
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码
3、新增注册表
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值"TBMonEX"
类型 REG_SZ
字符串"%Windir%\Fonts\system\ati2evxx.exe"
描述添加自启动
添加注册表对安全软件映像劫持
清除方案
(1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。
注意如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
(2)删除病毒文件
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Inter Files%\00001[1].exe
%Temporary Inter Files%\00002[1].exe
%Temporary Inter Files%\000031].exe
%Temporary Inter Files%\00004[1].exe
%Temporary Inter Files%\00005[1].exe
%Temporary Inter Files%\00006[1].exe
%Temporary Inter Files%\00007[1].exe
%Temporary Inter Files%\00008[1].exe
%Temporary Inter Files%\00009[1].exe
%Temporary Inter Files%\00010[1].exe
%Temporary Inter Files%\00011[1].exe
%Temporary Inter Files%\00012[1].exe
%Temporary Inter Files%\00013[1].exe
%Temporary Inter Files%\00015[1].exe
%Temporary Inter Files%\00016[1].exe
%Temporary Inter Files%\00017[1].exe
%Temporary Inter Files%\00023[1].exe
%Temporary Inter Files%\host[1].exe
%Temporary Inter Files%\wdlm[1].exe
%Temporary Inter Files%\soundma[1].exe
%Temporary Inter Files%\lmmy[1].exe
%Temporary Inter Files%\lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值"TBMonEX"
类型 REG_SZ
字符串"%Windir%\Fonts\system\ati2evxx.exe"
描述添加自启动
进程文件 ati2evxx 或者 ati2evxx.exe
进程名称 ATI External Event Utility EXE Module
描述
ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
正常路径是C:\WINDOWS\system32\Ati2evxx.exe
正常情况下可能有两个ati2evxx进程,这是因为开了显卡加速的原因。
如果为ati2evxx 则为木马。其他的文件夹也应该是木马
出品者 ATI Technologies Inc.
属于 ATI display drivers
系统进程 否
后台程序 是
使用网络 否
硬件相关 是
常见错误 未知N/A
内存使用 未知N/A
安全等级 (0-5): 0
间谍软件 否
广告软件 否
病毒 否
木马 否
最近电脑突然卡,发现进程了多了很多个ati2evxx.exe
感觉不对,马上用在线杀毒http://.antidu./board/online/ 查杀
果然,瑞星报毒!!!
行为分析
本地行为
1、文件运行后会释放以下文件
%DriverLetter%\ntldr.exe 19,124字节
%DriverLetter%\autorun.inf 85字节
%Windir%\Fonts\system\ati2evxx.exe 19,124字节
2、感染本地除系统文件夹以外的exe文件
在exe文件的尾部添加名为.ani一个节,改变文件的大小,
以下为添加到新节的代码
3、新增注册表
添加注册表启动项,实现自启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值"TBMonEX"
类型 REG_SZ
字符串"%Windir%\Fonts\system\ati2evxx.exe"
描述添加自启动
添加注册表对安全软件映像劫持
清除方案
(1)右击任务栏打开任务管理器,结束ati2evxx.exe进程。
注意如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
(2)删除病毒文件
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
%DriverLetter%\ntldr.exe
%DriverLetter%\ntldr.exe
%Windir%\Fonts\system\ati2evxx.exe
%Temporary Inter Files%\00001[1].exe
%Temporary Inter Files%\00002[1].exe
%Temporary Inter Files%\000031].exe
%Temporary Inter Files%\00004[1].exe
%Temporary Inter Files%\00005[1].exe
%Temporary Inter Files%\00006[1].exe
%Temporary Inter Files%\00007[1].exe
%Temporary Inter Files%\00008[1].exe
%Temporary Inter Files%\00009[1].exe
%Temporary Inter Files%\00010[1].exe
%Temporary Inter Files%\00011[1].exe
%Temporary Inter Files%\00012[1].exe
%Temporary Inter Files%\00013[1].exe
%Temporary Inter Files%\00015[1].exe
%Temporary Inter Files%\00016[1].exe
%Temporary Inter Files%\00017[1].exe
%Temporary Inter Files%\00023[1].exe
%Temporary Inter Files%\host[1].exe
%Temporary Inter Files%\wdlm[1].exe
%Temporary Inter Files%\soundma[1].exe
%Temporary Inter Files%\lmmy[1].exe
%Temporary Inter Files%\lmmh[1].exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值"TBMonEX"
类型 REG_SZ
字符串"%Windir%\Fonts\system\ati2evxx.exe"
描述添加自启动
网络安全培训
- 网络安全常见漏洞类型 网络安全常见漏洞类型包
- 绿色上网顺口溜七言 绿色上网的宣传标语
- 网络安全等级保护测评 网络安全等级保护条例
- 如何加强网络安全 网络安全隐患有哪些
- 网络安全防护措施有哪些 网络安全等级保护等级
- 如何保障网络安全 如何做好网络安全保障工作
- 维护网络安全的措施有哪些 维护网络安全的主要
- 网络安全工程师好学吗 2024年网络安全工程师好学
- 网络安全注意事项简短 网络安全注意事项100字
- 网络安全面临的挑战 当前网络安全面临的新问题
- 网络安全培训哪个靠谱 网络安全培训找哪个
- 普及网络安全知识内容 普及网络安全教育
- 网络安全防范知识宣传内容 网络安全防范知识宣
- 如何做好网络安全工作 如何做好网络安全工作
- 网络安全常识的丰富内容 网络安全的相关知识
- 青少年网络安全教育片 青少年网络安全知识讲座