Pada workstation Windows 7 menjalankan suite antivirus terbaru (Kaspersky) saya menemukan beberapa proses yang mencurigakan. Untuk melihat aktivitas proses, saya menggunakan ProcessMonitor yang sangat baik dari SysInternals.
Salah satunya memiliki nama yang dapat dieksekusi yang wauctla.exe
terletak di C:\Windows
. Pembaruan: nama ini mungkin sengaja dipilih untuk dikacaukan dengan wuauclt.exe
- utilitas Windows Update Agent Control.
Proses ini berjalan sebagai Layanan Sistem. Menggunakan snap-in layanan Konsol Manajemen, saya dapat mengubah pengaturan startup untuk proses ini dari "Otomatis" menjadi "Nonaktif". Namun tidak ada cara saya bisa menghentikan proses yang berjalan melalui snap-in MMC.
Saya masih berhasil menghentikan proses dengan taskkill /f /PID
perintah. Saya me-restart OS dan prosesnya tidak lagi terlihat dalam daftar proses.
Ada utas superuser tentang prosedur yang diperlukan untuk menghapus malware generik dari komputer yang menjalankan Windows. Ketika proses mencurigakan telah dihentikan dan file yang dapat dieksekusi dipindahkan ke lokasi yang aman jauh dari jalur pencarian yang dapat dieksekusi, saya ingin mempelajari lebih lanjut tentang malware baru.
Ancaman macam apa yang datang dari file ini? Apakah ada perangkat lunak antivirus di sekitar yang dapat mendeteksi virus ini? Bagaimana cara penyebarannya, haruskah saya memeriksa komputer lain yang diakses oleh pengguna yang sama setelah workstation ini terinfeksi?
Pembaruan 2: Mengikuti jawaban yang merujuk pada virustotal, berikut adalah tautan ke ringkasan virustotal dari bagian malware ini.
wuauclt.exe
saya percaya.
wauctla.exe
adalah malware, dan terdeteksi oleh Avast.
wauctla.exe
tidak berbahayawauctla.exe
digunakan oleh Pembaruan Windows .