其实,该名字的进程有两个是完全正常的,如果不放心的话,可以察看这两进程文件是否相同,如果系统装在c盘,那么文件路径应该是:c:\windows\system32\ati2evxx.exe,命令行:c:\windows\system32\ati2evxx.exe,文件大小:368kb,如果不相同就有问题了。ati2evxx.exe进程信息如下:英文描述:ati2evxx.exeistheatiexternaleventutilityforyouratidisplaydrivers.itmanagestheatihotkeyfeature.thisprocesscanberemovedtofreeupresourceswithoutcomprimisingsystemperformance.中文描述:ati2evxx.exe是ati的显卡增强工具。它用于管理atihotkey特性。出品者:atitechnologiesinc.属于:atidisplaydrivers系统进程:否后台程序:是使用网络:否硬件相关:是常见错误:未知n/a内存使用:未知n/a安全等级(0-5):0间谍软件:否广告软件:否病毒:否木马:否ati2evxx.exe病毒信息如下:此木马伪装成ati显卡服务,生成文件c:\programfiles\commonfiles\ati2evxx.exe或c:\programfiles\commonfiles\ati\ati2evxx.exe,并创建注册表服务项。行为分析:1、文件运行后会释放以下文件:%driverletter%\ntldr.exe19,124字节%driverletter%\autorun.inf85字节%windir%\fonts\system\ati2evxx.exe19,124字节2、感染本地除系统文件夹以外的.exe文件,在exe文件的尾部添加名为.ani一个节,改变文件大小。3、新增注册表:添加注册表启动项,实现自启动[hkey_local_machine\software\microsoft\windows\currentversion\run]注册表值:"tbmonex"类型:reg_sz字符串:"%windir%\fonts\system\ati2evxx.exe"描述:添加自启动添加注册表对安全软件映像劫持手工清除方案:1.右击任务栏打开任务管理器,结束ati2evxx.exe进程。注意:如果你的显卡是ati的,用户名是system的ati2evxx.exe进程是正常的,而你登入的用户名或是administrator的ati2evxx.exe进程才是木马进程。2.删除病毒文件:c:\programfiles\commonfiles\ati2evxx.exec:\programfiles\commonfiles\ati\ati2evxx.exe%driverletter%\ntldr.exe%driverletter%\ntldr.exe%windir%\fonts\system\ati2evxx.exe%temporaryinternetfiles%\00001.exe%temporaryinternetfiles%\00002.exe%temporaryinternetfiles%\000031].exe%temporaryinternetfiles%\00004.exe%temporaryinternetfiles%\00005.exe%temporaryinternetfiles%\00006.exe%temporaryinternetfiles%\00007.exe%temporaryinternetfiles%\00008.exe%temporaryinternetfiles%\00009.exe%temporaryinternetfiles%\00010.exe%temporaryinternetfiles%\00011.exe%temporaryinternetfiles%\00012.exe%temporaryinternetfiles%\00013.exe%temporaryinternetfiles%\00015.exe%temporaryinternetfiles%\00016.exe%temporaryinternetfiles%\00017.exe%temporaryinternetfiles%\00023.exe%temporaryinternetfiles%\host.exe%temporaryinternetfiles%\wdlm.exe%temporaryinternetfiles%\soundma.exe%temporaryinternetfiles%\lmmy.exe%temporaryinternetfiles%\lmmh.exe3.删除注册表服务项:运行regedit打开注册表,用寻找ati2evxx.exe的方法来删除,路径为c:\programfiles\commonfiles\ati2evxx.exe和c:\programfiles\commonfiles\ati\ati2evxx.exe的就是木马项。来源:病毒安全-考试资料网
