Na stacji roboczej Windows 7 z aktualnym pakietem antywirusowym (Kaspersky) znalazłem kilka podejrzanych procesów. Aby zobaczyć aktywność procesu, użyłem doskonałego ProcessMonitor z SysInternals.
Jeden z nich miał nazwę pliku wykonywalnego wauctla.exe
znajdującą się w C:\Windows
. Aktualizacja: nazwa jest prawdopodobnie wybierana celowo, aby ją pomylić wuauclt.exe
- narzędzie Windows Update Agent Control.
Ten proces działa jako usługa systemowa. Za pomocą przystawki Usługi konsoli zarządzania mogłem zmienić ustawienia uruchamiania tego procesu z „Automatyczny” na „Wyłączony”. Jednak nie było sposobu, żebym mógł zatrzymać uruchomiony proces za pomocą przystawki MMC.
Nadal udało mi się zatrzymać proces za pomocą taskkill /f /PID
polecenia. Zrestartowałem system operacyjny i proces nie jest już widoczny na liście procesów.
Jest doskonały gwint na administratora o procedurach niezbędnych do usuwania złośliwego oprogramowania z rodzajowe komputerach z systemem Windows. Kiedy podejrzane procesy zostaną zatrzymane, a ich pliki wykonywalne przeniesione w bezpieczne miejsce z dala od ścieżki wyszukiwania plików wykonywalnych, chcę dowiedzieć się więcej o nowym złośliwym oprogramowaniu.
Jakie zagrożenie pochodzi z tego pliku? Czy istnieje jakieś oprogramowanie antywirusowe, które może wykryć tego wirusa? Jak się rozprzestrzenia, czy powinienem sprawdzić inne komputery, do których dostęp miał ten sam użytkownik po zainfekowaniu tej stacji roboczej?
Aktualizacja 2: Po odpowiedziach dotyczących virustotal tutaj znajduje się link do podsumowania virustotal tego elementu złośliwego oprogramowania.
źródło
wauctla.exe
nie jest złośliwy.wauctla.exe
jest używany przez Windows Update .wuauclt.exe
wierzę.wauctla.exe
to złośliwe oprogramowanie wykrywane przez Avast.Odpowiedzi:
Nie używaj do tego Monitora procesów. Użyj jak @DavidPostill sugerowany VirusTotal, ale bez ręcznego wysyłania plików. Process Explorer z SysInternals ma wbudowaną funkcjonalność VirusTotal. Wystarczy przejść do Opcje -> VirusTotal.com -> Sprawdź VirusTotal.com, a pojawi się kolumna z nagłówkiem VirusTotal.com. Po kilku sekundach otrzymasz ocenę VirusTotal dla każdego pliku wykonywalnego.
W Eksploratorze procesów możesz bezpośrednio zabić złośliwy proces lub dowiedzieć się, do której usługi Windows rozpoczął ten proces oraz zatrzymać i wyłączyć tę usługę. Jest to dobry sposób, ponieważ zabicie procesu, w którym usługa bazowa może natychmiast odtworzyć złośliwy proces. Aby znaleźć usługę dla procesu, kliknij dwukrotnie proces i przejdź do karty Usługi.
źródło
Jak ocenić zagrożenie spowodowane przez złośliwe oprogramowanie?
Możesz przesłać plik do VirusTotal do analizy online.
Co to jest VirusTotal
Źródło VirusTotal
źródło