Sur un poste de travail Windows 7 exécutant une suite antivirus à jour (Kaspersky), j'ai trouvé plusieurs processus suspects. Pour regarder l'activité du processus, j'ai utilisé l'excellent ProcessMonitor de SysInternals.
L'un d'eux avait un nom exécutable wauctla.exe
situé dans C:\Windows
. Mise à jour: le nom est probablement choisi délibérément pour être confondu avec wuauclt.exe
- l'utilitaire Windows Update Agent Control.
Ce processus s'exécute en tant que service système. À l'aide du composant logiciel enfichable des services de la console de gestion, j'ai pu modifier les paramètres de démarrage de ce processus de «Automatique» à «Désactivé». Cependant, je ne pouvais pas arrêter le processus en cours via le composant logiciel enfichable MMC.
J'ai quand même réussi à arrêter le processus avec la taskkill /f /PID
commande. J'ai redémarré le système d'exploitation et le processus n'est plus visible dans la liste des processus.
Il existe un excellent fil conducteur sur le superutilisateur sur les procédures nécessaires pour supprimer les logiciels malveillants génériques des ordinateurs exécutant Windows. Lorsque les processus suspects ont été arrêtés et que leurs fichiers exécutables ont été déplacés vers un emplacement sûr à l'écart du chemin de recherche exécutable, je souhaite en savoir plus sur le nouveau malware.
Quelle sorte de menace provient de ce fichier? Existe-t-il un logiciel antivirus pour détecter ce virus? Comment se propage-t-il, dois-je vérifier les autres ordinateurs auxquels le même utilisateur a accédé après l'infection de ce poste de travail?
Mise à jour 2: Suite aux réponses concernant virustotal, voici un lien vers le résumé virustotal de ce logiciel malveillant.
la source
wauctla.exe
n'est pas malveillant.wauctla.exe
est utilisé par Windows Update .wuauclt.exe
je crois.wauctla.exe
est un malware, et il est détecté par Avast.Réponses:
N'utilisez pas Process Monitor pour cela. Utilisez comme @DavidPostill suggéré VirusTotal mais sans envoyer manuellement des fichiers. Process Explorer de SysInternals a intégré la fonctionnalité VirusTotal. Allez simplement dans Options -> VirusTotal.com -> Vérifiez VirusTotal.com et une colonne avec l'en-tête VirusTotal apparaîtra. Après quelques secondes, vous obtiendrez la note VirusTotal pour chaque exécutable.
Depuis Process Explorer, vous pouvez directement tuer le processus malveillant ou découvrir à quel service Windows a démarré ce processus et arrêter et désactiver ce service. C'est une bonne façon de faire, car si vous tuez le processus, le service sous-jacent pourrait recréer immédiatement le processus malveillant. Pour connaître le service d'un processus, double-cliquez sur le processus et accédez à l'onglet Services.
la source
Comment évaluer la menace causée par un malware?
Vous pouvez soumettre votre fichier à VirusTotal pour une analyse en ligne.
Qu'est-ce que VirusTotal
VirusTotal source
la source