Na stacji roboczej Windows 7 z aktualnym pakietem antywirusowym (Kaspersky) znalazłem kilka podejrzanych procesów. Aby zobaczyć aktywność procesu, użyłem doskonałego ProcessMonitor z SysInternals.
Jeden z nich miał nazwę pliku wykonywalnego wauctla.exe
znajdującą się w C:\Windows
. Aktualizacja: nazwa jest prawdopodobnie wybierana celowo, aby ją pomylić wuauclt.exe
- narzędzie Windows Update Agent Control.
Ten proces działa jako usługa systemowa. Za pomocą przystawki Usługi konsoli zarządzania mogłem zmienić ustawienia uruchamiania tego procesu z „Automatyczny” na „Wyłączony”. Jednak nie było sposobu, żebym mógł zatrzymać uruchomiony proces za pomocą przystawki MMC.
Nadal udało mi się zatrzymać proces za pomocą taskkill /f /PID
polecenia. Zrestartowałem system operacyjny i proces nie jest już widoczny na liście procesów.
Jest doskonały gwint na administratora o procedurach niezbędnych do usuwania złośliwego oprogramowania z rodzajowe komputerach z systemem Windows. Kiedy podejrzane procesy zostaną zatrzymane, a ich pliki wykonywalne przeniesione w bezpieczne miejsce z dala od ścieżki wyszukiwania plików wykonywalnych, chcę dowiedzieć się więcej o nowym złośliwym oprogramowaniu.
Jakie zagrożenie pochodzi z tego pliku? Czy istnieje jakieś oprogramowanie antywirusowe, które może wykryć tego wirusa? Jak się rozprzestrzenia, czy powinienem sprawdzić inne komputery, do których dostęp miał ten sam użytkownik po zainfekowaniu tej stacji roboczej?
Aktualizacja 2: Po odpowiedziach dotyczących virustotal tutaj znajduje się link do podsumowania virustotal tego elementu złośliwego oprogramowania.
wuauclt.exe
wierzę.
wauctla.exe
to złośliwe oprogramowanie wykrywane przez Avast.
wauctla.exe
nie jest złośliwy.wauctla.exe
jest używany przez Windows Update .