ist KHALMNPR.exe ein Virus oder nicht?

Hi.
Gestern habe ich einen Virus bemerkt.
Heute (Über Knoppix/Installations-DVD von Windows 7) habe ich die Datei KHALMNPR.exe gefunden. Sie Steht im Autorun der Registry (Screenshot: http://img842.imageshack.us/img842/491/181220114621.jpg) und im Systemdatenträger (Screenshot: http://img202.imageshack.us/img202/9639/bildschirmphoto1.png).
Ist diese Datei zu löschen und aus der Registr runterzu schmeißen?
Hier noch der Virustotal-Report: http://www.virustotal.com/file-scan/report.html?id=366e99603fba0f7ff7f7564b062ac1cd51113e679e71c39f8c72fcd89af85ac5-1324193598

Zuckermais

 

http://www.processlibrary.com/de/directory/files/khalmnpr/25304/

 

ich habe keine Logitech-Maus oder Tastatur, die kommen von MS
Zweitens: Wie im Screenshot gesehen, zeichnet der sich als "Kernel and Hardware Abstraction Layer" aus.
Drittens: Würde Logitech das ganz einfach sich machen und einfach nur den Dateinamen KHALMNPR.EXE in die Registry ohne Pfad reinschreiben? Dazu muss er im Systemordner sein. Für einen Treiber OK, aber für ein Konfigurationsprogramm doch ungewöhnlich, die wären (wenn ich eine Logitech Maus hätte) z. B. in
C:\Programme\Logitech\Maus oder änlichem.
Viertens: Ich sehe den Bundespolizei-Virus, wie in diesem Screenshot von YouTube http://img829.imageshack.us/img829/7051/bpv.png

Zuckermais

 

Dann ist doch alles klar und Du kannst mit dieser Erkenntnis versuchen, das Teil zu entfernen oder mußt notfalls formatieren, wenn es mit Offline-Scannern von CD nichts wird.

Merkwürdig ist allerdings, daß keiner der (großen) Virenscanner die Datei als schädlich identifiziert, sprich es ist vermutlich eher eine andere Datei, in der der Trojaner sitzt.

 

Der Computer läuft gerade von einer Knoppix-LiveCd mit Knoppix 5.2 (lag mal bei der c't bei). Kann ich irgendwie den benutzen, ich habe grade weder CDs, DVDs noch USB-Sticks verfügbar.

Andere Frage: Hängen sich Viren nicht in den Autostart der Registry ein?
Ich habe den Screenshot mit meinem Smartphone von der Windows 7 Installations-CD im Reparaturmodus (Shell auf -> Regedit.exe eingetippt, die Registry importiert und durchsucht)

Zuckermais

 

Ist denn da ein aktueller Virenscanner/Entferner dabei?
Viren hängen sich überall rein, die wenigsten lassen sich einfach so aus dem Autostart rauswerfen.

 

ClamAV ist dabei, Taugt der was?

Zuckermais

 

nixxxxxxxxxx

ClamAV ist keine Referenz. Ein unbekannter Schädling ist aber ein gefundenes Fressen für die Virenlabore wie
http://analysis.avira.com/samples/index.php
http://support.kaspersky.ru/virlab/helpdesk.html?LANG=de

 

In einem anderen Account läuft der Rechner.
Ich habe ihn einfach mal gestartet und mich nicht mit meinem normalen Login angemeldet.

Zuckermais

 

Dann solltest Du die Datei veilleicht doch mal testweise umbenennen und schauen, ob das was ändert. Notfalls mit Linux, wenn der Admin-Account nicht die nötigen Rechte hat.

 

Ok, dann schaun wir mal

OT: warum werde ich automatisch ausgeloggt?

Zuckermais

Probleme!
Ich habe mal den Explorer mit Adminrechten gestartet, sehe ich folgende Dateien die nicht von mir sein können: Abhöreinrichtung und [benutzername].dll

Die Dateibeschreibung von der KHALMNPR.exe ist Logitech KHAL Main Process von Logitech Inc.
Wie gesagt, besitze ich keine Hardware von Logitech, also kanns ich nicht draufgespielt haben.

Dann habe ich den Taskmanager geöffnet. Unter Prozesse war kurz vor dem "Eilshutdown" ein Programm Consist.exe drin.
Ich habe den Verdacht, dass er nun auch in diesem Account drin ist.

Zuckermais

Beiträge zusammengeführt von ~phoenix~
Bitte nutze künftig den Button

 

Das klingt irgendwie nach: Daten sichern und plattmachen, sofern keine Backups vorhanden sind.

 

Ein mit Malware infizierter Rechner lässt sich nicht durch Löschen einzelner als schädlich entdeckter oder vermuteter Dateien oder Registry-Einträge wieder in einen vertrauenswürdigen Zustand versetzen.

Das System ist über eine Live-CD neu aufzusetzen, inkl. Überschreiben des Master Boot Records, für den Fall, dass ein Rootkit an Bord ist.
Malware lädt weitere Malware nach. Daher ist ein gefundener Schädling meist nur die Spitze des Eisbergs.

 

Boote gerade den Rechner nochmal von Knoppix 5.2 (neuer habe ich nicht da) und spiele mal Avira Antivir drauf

Während des Schreibens dieses Posts ist Knoppix bis zur Grafik gestartet.

Zuckermais

Nachtrag: Fertig gebootet.

 

Vollversion mit tagesaktueller Virensignatur?
Wie auch immer, ich würde dieser Installation auch nicht mehr trauen und alles löschen.

 

Problem: ich kriege grade keine I-Net Verbindung vom PC mit Knoppix hin
Probleme mit der Netzwerkhardware wären allerhöchstens in der Onboard-Netzwerkkarte, die andere Hardware (Switch, 2 dLan-Adapter, Router, Netzwerkkabel) können nicht betroffen sein, da der gesammte Datenverkehr über den Switch/dLan-Adapter/Router geht. Laut Switch ist der PC auch angeschlossen. Außerdem ist es unwarscheinlich, dass nach 09:04 die Hardware einfach so versagt, da ich den Ersten Post von diesem Knoppix getätigt habe.

Zuckermais

zu ner anderen veranstaltung.
Nicht dass sich hier jemand wundert, warum nix kommt.

Lösungsvorschläge mit Knoppix 5.2 oder ner Win7 InstallationsDVD sind immer willkommen.

Zuckermais

Beiträge zusammengeführt von ~phoenix~
Bitte nutze künftig den Button

 

Was soll das booten mittels Lice CD? Datensichern kannst du knicken.....Schieb die Win7 Disc rein und mach was iron und die anderen sagten!

du brauchst weder Knoppix noch Internet für die Neuinstallation

und innerhalb 60 min kannst du deine Beiträge ergänzen/editieren

 

Na das stimmt aber nicht so ganz. Eine Live-CD erleichtert das Datenretten, sofern kein sauberes Image existiert und man kann auch gleich notwendige Updates fürs OS zur späteren Offline-Installation herunterladen und brennen. Ebenso kann das Überschreiben des MBR über die CD erledigt werden.

 

wobei Ottonormaluser leicht wieder Infiziertes mit einpacken...

 

Habe mal den PC normal gestartet, auch normal eingeloggt, und alles ist normal abgelaufen. Habe ich den Wurm dann besiegt, oder nicht?

Habe ich erwähnt, dass ich vorher Teamspeak von Teamspeak.com runtergeladen und gestartet.

Zuckermais