На рабочей станции Windows 7, на которой установлен современный антивирус (Kaspersky), я обнаружил несколько подозрительных процессов. Чтобы посмотреть на активность процесса, я использовал отличный ProcessMonitor от SysInternals.
Один из них имел исполняемый файл wauctla.exe
расположенный в C:\Windows
. Обновление: имя, вероятно, выбрано намеренно, чтобы путать его с wuauclt.exe
- утилитой управления агентом обновления Windows.
Этот процесс выполняется как системная служба. С помощью оснастки "Консоль управления" мне удалось изменить параметры запуска этого процесса с "Автоматически" на "Отключено". Однако я никак не мог остановить запущенный процесс через оснастку MMC.
Мне все же удалось остановить процесс с помощью команды taskkill /f /PID
. Я перезапустил ОС, и процесс больше не отображается в списке процессов.
В superuser есть отличная ветка о процедурах, необходимых для удаления вредоносных программ с компьютеров под управлением Windows. Когда подозрительные процессы были остановлены, а их исполняемые файлы перемещены в безопасное место вдали от пути поиска исполняемых файлов, я хочу узнать больше о новом вредоносном ПО.
Какая угроза исходит из этого файла? Существует ли какое-либо антивирусное программное обеспечение, способное обнаружить этот вирус? Как это распространяется, должен ли я проверять другие компьютеры, к которым обращался тот же пользователь после заражения этой рабочей станции?
Обновление 2: после ответов, относящихся к virustotal, приведена ссылка на сводку virustotal об этой части вредоносного ПО.