Killwind.exe KillIt.exe

#1 Ich hätte gerne mal ein paar Meinungen zu beiden Dateien..
Sie liegen bei mir auf der Hauptfestplatte (aktive Partition)

In beiden Fällen habe ich nach Antivirs Alarm erstmal fein den Virustotal durchlaufen lassen...



Complete scanning result of "KillWind.exe", received in VirusTotal at 03.22.2007, 09:07:03 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.22.1 03.22.2007 no virus found
AntiVir 7.3.1.44 03.22.2007 APPL/KillApplicat.A
Authentium 4.93.8 03.22.2007 no virus found
Avast 4.7.936.0 03.21.2007 no virus found
AVG 7.5.0.447 03.21.2007 no virus found
BitDefender 7.2 03.22.2007 no virus found
CAT-QuickHeal 9.00 03.21.2007 no virus found
ClamAV devel-20070312 03.22.2007 no virus found
DrWeb 4.33 03.22.2007 no virus found
eSafe 7.0.14.0 03.21.2007 no virus found
eTrust-Vet 30.6.3499 03.21.2007 no virus found
Ewido 4.0 03.21.2007 no virus found
FileAdvisor 1 03.22.2007 no virus found
Fortinet 2.85.0.0 03.22.2007 no virus found
F-Prot 4.3.1.45 03.21.2007 no virus found
F-Secure 6.70.13030.0 03.22.2007 no virus found
Ikarus T3.1.1.3 03.22.2007 not-a-virus:RiskTool.Win32.PsKill.p
Kaspersky 4.0.2.24 03.22.2007 not-a-virus:RiskTool.Win32.PsKill.p
McAfee 4989 03.21.2007 potentially unwanted program RemAdm-PSKill
Microsoft 1.2306 03.22.2007 no virus found
NOD32v2 2134 03.22.2007 no virus found
Norman 5.80.02 03.21.2007 no virus found
Panda 9.0.0.4 03.21.2007 no virus found
Prevx1 V2 03.22.2007 no virus found
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.22.2007 no virus found
Symantec 10 03.22.2007 no virus found
TheHacker 6.1.6.079 03.22.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.21.2007 no virus found
VirusBuster 4.3.7:9 03.21.2007 no virus found
Webwasher-Gateway 6.0.1 03.22.2007 Riskware.KillApplicat.A





Complete scanning result of "KillIt.exe", received in VirusTotal at 03.22.2007, 09:08:34 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.3.22.1 03.22.2007 no virus found
AntiVir 7.3.1.44 03.22.2007 APPL/KillApp.A
Authentium 4.93.8 03.22.2007 no virus found
Avast 4.7.936.0 03.21.2007 no virus found
AVG 7.5.0.447 03.21.2007 no virus found
BitDefender 7.2 03.22.2007 no virus found
CAT-QuickHeal 9.00 03.21.2007 no virus found
ClamAV devel-20070312 03.22.2007 no virus found
DrWeb 4.33 03.22.2007 no virus found
eSafe 7.0.14.0 03.21.2007 no virus found
eTrust-Vet 30.6.3499 03.21.2007 no virus found
Ewido 4.0 03.21.2007 no virus found
FileAdvisor 1 03.22.2007 no virus found
Fortinet 2.85.0.0 03.22.2007 ProcKill
F-Prot 4.3.1.45 03.21.2007 no virus found
F-Secure 6.70.13030.0 03.22.2007 no virus found
Ikarus T3.1.1.3 03.22.2007 no virus found
Kaspersky 4.0.2.24 03.22.2007 no virus found
McAfee 4989 03.21.2007 potentially unwanted program ProcKill-BU
Microsoft 1.2306 03.22.2007 no virus found
NOD32v2 2134 03.22.2007 no virus found
Norman 5.80.02 03.21.2007 no virus found
Panda 9.0.0.4 03.21.2007 Application/KillApp.B
Prevx1 V2 03.22.2007 no virus found
Sophos 4.15.0 03.13.2007 no virus found
Sunbelt 2.2.907.0 03.22.2007 no virus found
Symantec 10 03.22.2007 no virus found
TheHacker 6.1.6.079 03.22.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.2 03.21.2007 no virus found
VirusBuster 4.3.7:9 03.21.2007 no virus found
Webwasher-Gateway 6.0.1 03.22.2007 Riskware.KillApp.A

#2 Hi,

KillWind.exe wird wohl mit HP-Rechnern (C:\hp\bin\) ausgeliefert, es handelt sich dabei um

Zitat

einen Teil der HP Backweb Software, über die deine HP Software automatisch aktuallisiert werden kann.
Die Datei im speziellen kann laufende Prozesse beenden.
(Z.b. wennn ein Update abgeschlossen wäre)

Als Riskware wird diese erkannt da theoretisch Malware auf diese Datei zugreifen könnte und ebenfalls Prozesse darüber beenden könnte.
Dies soll dich aber nicht weiter stören da:
In diesem Fall die Malware die dies tun könnte bereits auf dem System installiert sein müsste und das Kind somit ohnehin bereits in den Brunnen gefallen wäre.

Falls Du keine Aktualisierungen durchführst, kannst Du die Dateien temporär umbenennen (z.B. von *.exe *.ex_). Das würde auf jeden Fall die "unbeabsichtigte" Nutzung durch Maleware verhindern. Bei Bedarf (Aktualisierung) einfach wieder auf den ursprünglichen Namen rücksetzten...

Chris