На робочій станції Windows 7, що працює з оновленим антивірусним пакетом (Kaspersky), я знайшов кілька підозрілих процесів. Щоб подивитися на процес, я використовував відмінний ProcessMonitor від SysInternals.
Один з них мав виконавче ім'я wauctla.exe
розташований у C:\Windows
. Оновити: Ім'я, ймовірно, вибирається навмисно, щоб його можна було збити wuauclt.exe
- утиліту керування агентом Windows Update.
Цей процес виконується як служба системи. За допомогою оснащення служб консолі керування я зміг змінити налаштування запуску цього процесу з "Автоматичний" на "Вимкнено". Проте я не міг зупинити запущений процес за допомогою оснащення MMC.
Мені все ж вдалося зупинити процес з taskkill /f /PID
команду. Я перезавантажив ОС, і процес більше не бачив у списку процесів.
Є відмінна нитка на суперкористувача на процедури, необхідні для видалення загальних шкідливих програм з комп'ютерів під управлінням Windows. Коли підозрілі процеси були зупинені, а виконувані файли перенесені на безпечне місце, від шляху до виконуваного пошуку, я хочу дізнатися більше про новий зловмисне програмне забезпечення.
Яку загрозу має цей файл? Чи існує антивірусне програмне забезпечення, яке може виявити цей вірус? Як він поширюється, чи слід перевіряти інші комп'ютери, до яких користувався той самий користувач після зараження цієї робочої станції?
Оновлення 2: Слідуючи відповідям, що стосуються вірусоталу, ось посилання до загального підсумку цієї частини шкідливого програмного забезпечення.
wuauclt.exe
Я вірю.
wauctla.exe
є шкідливе програмне забезпечення, і його виявляє Avast.
wauctla.exe
не є шкідливим.wauctla.exe
використовується Windows Update .