在运行最新防病毒套件(卡巴斯基)的 Windows 7 工作站上,我发现了几个可疑进程。为了查看进程活动,我使用了 SysInternals 的出色 ProcessMonitor。
其中一个的可执行文件名称wauctla.exe
位于C:\Windows
。更新:wuauclt.exe
该名称可能是故意选择的,以便与“Windows 更新代理控制实用程序”相混淆。
此进程作为系统服务运行。使用管理控制台服务管理单元,我能够将此进程的启动设置从“自动”更改为“禁用”。但是,我无法通过 MMC 管理单元停止正在运行的进程。
我仍然设法使用该taskkill /f /PID
命令停止该进程。我重新启动了操作系统,该进程不再出现在进程列表中。
有一个优秀线程以超级用户身份了解从运行 Windows 的计算机中删除通用恶意软件所需的程序。当可疑进程被停止并且其可执行文件被移至远离可执行搜索路径的安全位置时,我想了解有关新恶意软件的更多信息。
该文件会带来什么样的威胁?是否有任何防病毒软件可以检测到此病毒?它如何传播?我是否应该检查此工作站被感染后同一用户访问过的其他计算机?
更新 2:根据对virustotal的回答,以下是一条链接到virustotal对该恶意软件的摘要。
答案1
不要为此使用进程监视器。像@DavidPostill 建议的那样使用 VirusTotal,但不要手动发送文件。进程探索器SysInternals 已内置 VirusTotal 功能。只需访问选项 -> VirusTotal.com -> 检查 VirusTotal.com并且会出现一个标题为 VirusTotal 的列。几秒钟后,您将获得每个可执行文件的 VirusTotal 评级。
从 Process Explorer 中,您可以直接终止恶意进程,或者找出启动此进程的 Windows 服务,然后停止并禁用此服务。这是一种很好的方法,因为如果您终止进程,底层服务可能会立即重新创建恶意进程。要找出进程的服务,请双击该进程并转到“服务”选项卡。