ati2evxx。exeati2evxx。exe进程是什么有什么用

　　ati2evxx - ati2evxx.exe - 进程信息
　　进程文件： ati2evxx 或者 ati2evxx.exe
　　进程名称： ATI External Event Utility EXE Module
　　描述：
　　ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
　　正常路径是：C:\WINDOWS\system32\Ati2evxx.exe
　　正常情况下可能有两个ati2evxx进程，这是因为开了显卡加速的原因。
　　如果为ati2evxx 则为木马。其他的文件夹也应该是木马
　　出品者： ATI Technologies Inc.
　　属于： ATI display drivers
　　系统进程： 否
　　后台程序： 是
　　使用网络： 否
　　硬件相关： 是
　　常见错误： 未知N/A
　　内存使用： 未知N/A
　　安全等级 (0-5): 0
　　间谍软件： 否
　　广告软件： 否
　　病毒： 否
　　木马： 否
　　最近电脑突然卡，发现进程了多了很多个ati2evxx.exe
　　感觉不对，马上用在线杀毒
　　行为分析：
　　本地行为：
　　1、文件运行后会释放以下文件：
　　%DriverLetter%\ntldr.exe 19，124字节
　　%DriverLetter%\autorun.inf 85字节
　　%Windir%\Fonts\system\ati2evxx.exe　19，124字节
　　2、感染本地除系统文件夹以外的exe文件：
　　在exe文件的尾部添加名为.ani一个节，改变文件的大小，
　　以下为添加到新节的代码：
　　3、新增注册表：
　　添加注册表启动项，实现自启动
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　注册表值：＂TBMonEX＂
　　类型： REG_SZ
　　字符串：＂%Windir%\Fonts\system\ati2evxx.exe＂
　　描述：添加自启动
　　添加注册表对安全软件映像劫持
　　清除方案：
　　(1)右击任务栏打开任务管理器，结束ati2evxx.exe进程。
　　注意：如果你的显卡是ATi的，用户名是SYSTEM的ati2evxx.exe进程是正常的，而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程。
　　(2)删除病毒文件：
　　C:\Program Files\Common Files\ati2evxx.exe
　　C:\Program Files\Common Files\ATi\ati2evxx.exe[1]
　　%DriverLetter%\ntldr.exe
　　%DriverLetter%\ntldr.exe
　　%Windir%\Fonts\system\ati2evxx.exe
　　%Temporary Internet Files%\00001[1].exe
　　%Temporary Internet Files%\00002[1].exe
　　%Temporary Internet Files%\000031].exe
　　%Temporary Internet Files%\00004[1].exe
　　%Temporary Internet Files%\00005[1].exe
　　%Temporary Internet Files%\00006[1].exe
　　%Temporary Internet Files%\00007[1].exe
　　%Temporary Internet Files%\00008[1].exe
　　%Temporary Internet Files%\00009[1].exe
　　%Temporary Internet Files%\00010[1].exe
　　%Temporary Internet Files%\00011[1].exe
　　%Temporary Internet Files%\00012[1].exe
　　%Temporary Internet Files%\00013[1].exe
　　%Temporary Internet Files%\00015[1].exe
　　%Temporary Internet Files%\00016[1].exe
　　%Temporary Internet Files%\00017[1].exe
　　%Temporary Internet Files%\00023[1].exe
　　%Temporary Internet Files%\host[1].exe
　　%Temporary Internet Files%\wdlm[1].exe
　　%Temporary Internet Files%\soundma[1].exe
　　%Temporary Internet Files%\lmmy[1].exe
　　%Temporary Internet Files%\lmmh[1].exe
　　(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　\Windows\CurrentVersion\Run]
　　注册表值：＂TBMonEX＂
　　类型： REG_SZ
　　字符串：＂%Windir%\Fonts\system\ati2evxx.exe＂
　　描述：添加自启动