ati2evxx.exe

進程信息

進程檔案：ati2evxx 或者 ati2evxx.exe

進程名稱：ATI External Event Utility EXE Module

出品者： ATI Technologies Inc.

屬於： ATI display drivers

系統進程：否

後台程式：是

使用網路：否

硬體相關：是

常見錯誤：未知N/A

記憶體使用：未知N/A

安全等級 (0-5): 0

間諜軟體：否

廣告軟體：否

病毒：可能

木馬：可能

木馬相關解惑

用戶名是SYSTEM的ati2evxx.exe進程是正常的，求奔企宙登入的用戶名是Administrator的ati2evxx.exe進程是木馬進程。下面介紹下登入用戶名下判定ati2evxx.exe進程是否是木馬：

在創建計算機管理員（如"123"）的情況下，那么在用戶"123"下有ati2evxx.exe進程是正常的，表明該汗斷用戶下正在使用ATI顯示卡，不是所謂木馬。如果登入用戶是"123"，而ati2evxx.exe進程的用戶是Administrator，那么此ati2evxx.exe進程肯定是木馬。

反之在沒有創建任何計算機管理員的情況下，Windows默認登入是Administrator（域），那么進程中有許多使用用戶都是Administrator，當然ati2evxx.exe進程使用用戶也是Administrator，那你只能用下面描述中尋棵祖的辦法來檢測刪除了，因此大部分情況下不推薦不建立任何計算機管理員，使用Administrator（域）更容易被黑客攻擊。

總之在有ATI顯示卡的情況下，非Administrator（域）下的ati2evxx.exe進程是正常的。沒有ATI顯示卡下只要出現ati2evxx.exe進程就是木馬進程。

描述

英文描述：ati2evxx.exe is the ATI External Event Utility for your ATI display drivers. It manages the ATI Hotkey feature. This process can be removed to free up resources without comprimising system performance.

正常路徑是：C:\WINDOWS\system32\Ati2evxx.exe

正常情況下可能有兩個ati2evxx進程，這是因為開了顯示卡加速的原因。

如果為ati2evxx 則為木馬。其他的資料夾也應該是章嘗戰木馬

最近電腦突然卡，發現進程了多了很多個ati2evxx.exe

感覺不對，馬上用線上防毒查殺，果然，報毒。

行為分析坑煉員：

本地行為：

1、檔案運行洪辣奔熱後會釋放以下檔案：

%DriverLetter%\ntldr.exe 19,124位元組

%DriverLetter%\autorun.inf 85位元組

%Windir%\Fonts\system\ati2evxx.exe　19,124字囑遷請節

2、感染本地除系統資料夾以外的exe檔案：

在exe檔案的尾部添加名為.ani一個節，改變檔案的大小，

以下為添加到新節的代碼：

3、新增註冊表：

添加註冊表啟動項，實現自啟動

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

註冊表值："TBMonEX"

類型： REG_SZ

字元串："%Windir%\Fonts\system\ati2evxx.exe"

描述：添加自啟動

添加註冊表對安全軟體映像劫持

清除方案：

先去把要用的工具找來

(1)右擊系統列打開任務管理器，結束ati2evxx.exe進程。

注意：如果你的顯示卡是ATi的，用戶名是SYSTEM的ati2evxx.exe進程是正常的，而你登入的用戶名或是Administrator的ati2evxx.exe進程才是木馬進程。

(2)刪除病毒檔案：

C:\Program Files\Common Files\ati2evxx.exe

C:\Program Files\Common Files\ATi\ati2evxx.exe

%DriverLetter%\ntldr.exe

%Windir%\Fonts\system\ati2evxx.exe

%Temporary Internet Files%\00001[1].exe

%Temporary Internet Files%\00002[1].exe

%Temporary Internet Files%\000031].exe

%Temporary Internet Files%\00004[1].exe

%Temporary Internet Files%\00005[1].exe

%Temporary Internet Files%\00006[1].exe

%Temporary Internet Files%\00007[1].exe

%Temporary Internet Files%\00008[1].exe

%Temporary Internet Files%\00009[1].exe

%Temporary Internet Files%\00010[1].exe

%Temporary Internet Files%\00011[1].exe

%Temporary Internet Files%\00012[1].exe

%Temporary Internet Files%\00013[1].exe

%Temporary Internet Files%\00015[1].exe

%Temporary Internet Files%\00016[1].exe

%Temporary Internet Files%\00017[1].exe

%Temporary Internet Files%\00023[1].exe

%Temporary Internet Files%\host[1].exe

%Temporary Internet Files%\wdlm[1].exe

%Temporary Internet Files%\soundma[1].exe

%Temporary Internet Files%\lmmy[1].exe

%Temporary Internet Files%\lmmh[1].exe

(3)恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Run]