瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » ati2evxx.exe问题~QQ经常异地登陆
极品拽拽 - 2007-11-17 23:49:00
我的电脑进程里有两个ati2evxx.exe文件~用户名是system和administrator的~~

网上介绍说 administrator下的ati2evxx.exe 可能是木马~~我用瑞星和卡巴都找不出来这个病毒~~~(难道不是这个病毒在盗我的QQ号?)

网上那个专杀方法我看了~~好象没用~~我系统是装在C盘下~C:\Driver\VGA\ATi\B_32846这个路径下有两个ati2evxx 一个是DL_文件,大小33KB;一个是EX_文件,大小212KB。

高手帮忙分析一下  急~~先谢谢了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 97887820071118134403.txt
已成过去 - 2007-11-17 23:51:00
http://download.kztechs.com/files/sreng2.zip 下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来,不要修改

newcenturymoon - 2007-11-17 23:52:00
ati2evxx.exe 应该是ati显卡的吧...
开始 运行 输入services.msc找到Ati HotKey Poller这个服务 启动类型设置为手动
重启以后
看看还有没有
琼台听雨 - 2007-11-17 23:54:00
administrator下的ati2evxx.exe 可能是木马
仅仅是可能,实际上最优可能是ATI显卡的设置程序,建议上传至http://www.virustotal.com/en/indexf.html 看看
极品拽拽 - 2007-11-18 0:07:00
先谢谢大家了~~
先按版主的方法试了一下,再启动,发现进程里的两个ati2evxx.exe 都没有了~~
是不是就是 确定ati2evxx.exe  两个这个文件都不是木马了?

那我的QQ怎么办啊?我怎么查不出来木马啊??我机器里肯定是有盗号木马~!~ 因为我是QQ会员,他盗不走,可能是急眼了,把我QQ群全退了!还加我QQ骂我~晕``老是发生 异地登陆 这种情况!
我该怎么办?
极品拽拽 - 2007-11-18 0:13:00
已成过去`~~谢谢你
扫描后的文件格式是.log啊~~只能上传.txt的 改成.txt吗?
极品拽拽 - 2007-11-18 0:19:00
晕``为什么我加了后缀.txt还是说我上传文件错误啊???
已成过去 - 2007-11-18 10:15:00
。。。。。。。你的文件名应该给你设置成不显示后缀了。。你点文本文档的另存为。然后随意名字加“.TXT”这个后缀就可以了。。
Sherryaptx4869 - 2007-11-18 10:50:00
如图!

附件: 97656120071118103907.bmp
Sherryaptx4869 - 2007-11-18 10:53:00
如图!

附件: 97656120071118104153.bmp
Sherryaptx4869 - 2007-11-18 10:54:00
去掉隐藏以知文件类型的扩展名
极品拽拽 - 2007-11-18 13:57:00
好了 OK了 我已经上传好了 谢谢各位啦
高手帮我分析一下吧``感谢``
已成过去 - 2007-11-18 14:33:00
引用:
【琼台听雨的贴子】administrator下的ati2evxx.exe 可能是木马
仅仅是可能,实际上最优可能是ATI显卡的设置程序,建议上传至http://www.virustotal.com/en/indexf.html 看看
………………

我看了他的SRENG日记了。。确实。哪里是病毒来的。如果是显卡驱动的话应该不是在“服务”那拦的。。
服务
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>


正确的我看过。好像是在“驱动”那拦的。。。。。


正确的驱动:
驱动程序:
ahci8086 / ahci8086][Running/Boot Start]
  <\SystemRoot\System32\Drivers\ahci8086.sys><ATI Technologies Inc.>


希望没说错吧~~
已成过去 - 2007-11-18 14:41:00
这个木马伪装成ATi显卡服务,有点可恶!生成文件:
如果系统在C盘就是
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe
并创建注册表服务项

清除方法
==========
1.右击任务栏打开任务管理器,结束ati2evxx.exe进程
(注:如果你的显卡是ATi的,用户名是SYSTEM的ati2evxx.exe进程是正常的,而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程)

2. 删除病毒文件:
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe

3. 删除注册表服务项:
运行regedit打开注册表,用寻找ati2evxx.exe的方法来删除,如果你的显卡是ATi的注意路径是
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe

不要把正常的给删除了,不过要是删错的话,清完毒后,重装一下ATi的显卡驱动也可以
极品拽拽 - 2007-11-18 19:42:00
可是在 我的电脑里搜索 ati2evxx.exe 根本找不到
lovethemm - 2007-11-18 21:48:00
就是显卡的进程么  即使关闭启动项或者服务  你在运行一些和显卡有关的地方还会出来的  比如说更改显示器刷新率  这个进程就又会出现
极品拽拽 - 2007-11-19 0:42:00
这个木马这么厉害吗?
为什么在我的电脑里搜索不到ati2evxx.exe这个东西?
为什么卡巴 瑞星 360 等工具扫描 我的电脑所有盘符 都找不出来 我中的盗号木马啊???不明白~~
newcenturymoon - 2007-11-19 0:46:00
日志没有问题
1
查看完整版本: ati2evxx.exe问题~QQ经常异地登陆
© 2000 - 2026 Rising Corp. Ltd.