ati2evxx - ati2evxx.exe - 进程信息 进程文件: ati2evxx 或者 ati2evxx.exe 进程名称: ATI External Event Utility EXE Module 描述: ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。 出品者: ATI Technologies Inc. 属于: ATI display drivers 系统进程: 否 后台程序: 是 使用网络: 否 硬件相关: 是 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 但是也有可能是病毒1、文件运行后会释放以下文件: %DriverLetter%\ntldr.exe 19,124字节 %DriverLetter%\autorun.inf 85字节 %Windir%\Fonts\system\ati2evxx.exe 19,124字节 2、感染本地除系统文件夹以外的exe文件: 在exe文件的尾部添加名为.ani一个节,改变文件的大小, 以下为添加到新节的代码: 3、新增注册表: 添加注册表启动项,实现自启动 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 注册表值:"TBMonEX" 类型: REG_SZ 字符串:"%Windir%\Fonts\system\ati2evxx.exe" 描述:添加自启动 添加注册表对安全软件映像劫持 清除方案: 先去把要用的工具找来 http://www.antidu.cn/board/helpst/ (1)关闭病毒进程。 (2)删除病毒文件: %DriverLetter%\ntldr.exe %DriverLetter%\ntldr.exe %Windir%\Fonts\system\ati2evxx.exe %Temporary Internet Files%\00001[1].exe %Temporary Internet Files%\00002[1].exe %Temporary Internet Files%\000031].exe %Temporary Internet Files%\00004[1].exe %Temporary Internet Files%\00005[1].exe %Temporary Internet Files%\00006[1].exe %Temporary Internet Files%\00007[1].exe %Temporary Internet Files%\00008[1].exe %Temporary Internet Files%\00009[1].exe %Temporary Internet Files%\00010[1].exe %Temporary Internet Files%\00011[1].exe %Temporary Internet Files%\00012[1].exe %Temporary Internet Files%\00013[1].exe %Temporary Internet Files%\00015[1].exe %Temporary Internet Files%\00016[1].exe %Temporary Internet Files%\00017[1].exe %Temporary Internet Files%\00023[1].exe %Temporary Internet Files%\host[1].exe %Temporary Internet Files%\wdlm[1].exe %Temporary Internet Files%\soundma[1].exe %Temporary Internet Files%\lmmy[1].exe %Temporary Internet Files%\lmmh[1].exe (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run] 注册表值:"TBMonEX" 类型: REG_SZ 字符串:"%Windir%\Fonts\system\ati2evxx.exe" 描述:添加自启动 (PS:大家如果怕麻烦,可以到http://www.antidu.cn/antidu_tags/ati2evxx%2Eexe 有专杀工具)
