Pada workstation Windows 7 menjalankan suite antivirus terbaru (Kaspersky) saya menemukan beberapa proses yang mencurigakan. Untuk melihat aktivitas proses, saya menggunakan ProcessMonitor yang sangat baik dari SysInternals.
Salah satunya memiliki nama yang dapat dieksekusi yang wauctla.exe
terletak di C:\Windows
. Pembaruan: nama ini mungkin sengaja dipilih untuk dikacaukan dengan wuauclt.exe
- utilitas Windows Update Agent Control.
Proses ini berjalan sebagai Layanan Sistem. Menggunakan snap-in layanan Konsol Manajemen, saya dapat mengubah pengaturan startup untuk proses ini dari "Otomatis" menjadi "Nonaktif". Namun tidak ada cara saya bisa menghentikan proses yang berjalan melalui snap-in MMC.
Saya masih berhasil menghentikan proses dengan taskkill /f /PID
perintah. Saya me-restart OS dan prosesnya tidak lagi terlihat dalam daftar proses.
Ada utas superuser tentang prosedur yang diperlukan untuk menghapus malware generik dari komputer yang menjalankan Windows. Ketika proses mencurigakan telah dihentikan dan file yang dapat dieksekusi dipindahkan ke lokasi yang aman jauh dari jalur pencarian yang dapat dieksekusi, saya ingin mempelajari lebih lanjut tentang malware baru.
Ancaman macam apa yang datang dari file ini? Apakah ada perangkat lunak antivirus di sekitar yang dapat mendeteksi virus ini? Bagaimana cara penyebarannya, haruskah saya memeriksa komputer lain yang diakses oleh pengguna yang sama setelah workstation ini terinfeksi?
Pembaruan 2: Mengikuti jawaban yang merujuk pada virustotal, berikut adalah tautan ke ringkasan virustotal dari bagian malware ini.
sumber
wauctla.exe
tidak berbahayawauctla.exe
digunakan oleh Pembaruan Windows .wuauclt.exe
saya percaya.wauctla.exe
adalah malware, dan terdeteksi oleh Avast.Jawaban:
Jangan gunakan Monitor Proses untuk itu. Gunakan seperti @DavidPostill menyarankan VirusTotal tetapi tanpa mengirim file secara manual. Process Explorer dari SysInternals telah membangun fungsionalitas VirusTotal. Cukup buka Opsi -> VirusTotal.com -> Periksa VirusTotal.com dan kolom dengan header VirusTotal akan muncul. Setelah beberapa detik, Anda akan mendapatkan nilai VirusTotal untuk setiap yang dapat dieksekusi.
Dari Process Explorer, Anda dapat langsung mematikan proses jahat atau mengetahui Layanan Windows mana yang memulai proses ini dan menghentikan dan menonaktifkan layanan ini. Ini adalah cara yang baik untuk dilakukan, karena jika Anda mematikan proses layanan yang mendasarinya mungkin segera menciptakan kembali proses jahat. Untuk mengetahui layanan untuk suatu proses, klik dua kali prosesnya dan buka tab Layanan.
sumber
Bagaimana cara saya mengevaluasi ancaman yang disebabkan oleh malware?
Anda dapat mengirimkan file Anda ke VirusTotal untuk analisis online.
Apa itu VirusTotal
Sumber VirusTotal
sumber