System cmd.exe öffnet sich von alleine

Hallo,

seit einiger Zeit öffnet sich in regelmäßigen Abständen die cmd Konsole mit der Nachricht:

"C:\Users\benutzername\AppData\Roaming\Microsoft\Windows\heaiewhu\bichwavb.exe" konnte nicht gefunden werden. Stellen sie sicher, dass Sie den Namen richtig eingegeben haben und wiederholen sie den Vorgang.

Dabei habe ich gar keinen Namen eingegeben

Danke für eure Hilfe

Hallo werwe,
bitte lade dir hier Malwarebytes | AdwCleaner - kostenloses Bereinigungs- und Entfernungstool zur Beseitigung von Adware mal den AdwCleaner herunter und führe ihn aus. Lade danach noch Malwarebytes von hier Malwarebytes | Kostenlose Software für Internetsicherheit und Schutz vor Schadsoftware herunter und führe dies ebenfalls einmal aus.

Nachtrag
AdwCleaner erstellt nach jedem Scan / Löschen LOGs im Ordner C:\AdwCleaner. Im LOG AdwCleaner[Sx].txt steht drin was gefunden wurde und im LOG AdwCleaner[Cx].txt steht drin was gelöscht wurde. Das Log von Malwarebytes findest du wie hier Malwarebytes Anti-Malware Logfile finden - Anleitungen beschrieben. Füge bitte die LOGs mal an deine nächste Antwort an, wie das geht siehst du hier Hinweis: Fotos/Screenshots bei Dr.Windows hochladen leicht gemacht - Funktioniert auch mit TXT-Dateien.

Hi skorpion68,

vielen Dank für die schnelle Antwort.

Die folgenden Logdateien sind enthalten

@werwe
Bitte lies noch einmal genau den Nachtrag in meinem Beitrag #2 durch.

@werwe
Du hast nicht zufällig SlimDrivers oder einen anderen Treiberupdater benutzt, um Deine Treiber zu aktualisieren?

Mir ist das neulich schon begegnet, wo die Sicherheitsoftware gepatzt hat, erst bei Ausführung wurde es gestoppt. Nennt mich skeptisch, aber das sieht alles andere als nach harmloser Adware aus.
Gerade dieses <random name>.exe unter appdata ist eher als Trojaner einzustufen.

Das Problem - wo es einmal war, kommt es wieder. Solche System sind nicht mehr als Sicher zu bezeichnen, ich würde da gar kein Risiko mehr eingehen wollen.

Aber - wenn hier ein leeres Fenster angezeigt wird, und das Ziel nicht mehr existiert, muss ja irgendwas diese Datei(en) gelöscht haben. Selbst der Windows Defender sollte ein Protokoll haben, auch der Blick in die Quarantäne in WD sollte weiterhelfen, wahlweise das andere installierte Sicherheitsprogramm. Der kluge Kopf kennt seine installierte Software!

So etwas in der Form eines Trojaners:
WINWEBSE - Threat Encyclopedia - Trend Micro APAC
TROJ_FAKEAV.KTW - Threat Encyclopedia - Trend Micro TH

This Trojan drops the following copies of itself into the affected system:

{All User's Profile}\Application Data\{random folder name}\{random file name}.exe

Zum Vergrößern anklicken....

\Application Data\ ist das heutige \appdata\roaming\

Fake-AV sind definitiv keine Adware-Beigaben, das sind Beigaben von irgendwelchen "ungesunden" Programmen, oder evtl Chat-Dreingaben (zB Steam) oder via Mail. Oder eine neue Variante von Zeus -> [random folder]\[random name].exe und das ist mehr als gefährlich.

@.Bernd
Du hast sicher recht!

Aber, es kann eben auch einfacher sein. Denn so mancher Treiberupdater hat in der Vergangenheit auch schon Treibersuchen in Windows eingebaut, die regelmässig nach Treibern verschiedener Hersteller fahnden wollten - deren Hardware auf dem betroffenen Rechner gar nicht auffindbar war. Und genau dies äusserte sich dann ebenfalls in Cmd Fenstern, die regelmässig aufgingen und solche Fehlermeldungen wiedergaben.

Slim Drivers ist dabei ein besonders unrühmliches Beispiel, denn dieses "Programm" installierte auf den Rechnern seiner Nutzer immer wieder Updater von Acer und HP - obwohl diese Rechner keine entsprechende Hardware besassen. Die Folge waren eben diese Cmd-Fenster und die zugehörigen Meldungen.

Deshalb sollte man das auf keinen Fall ausser Acht lassen.

Hallo,

Vielen Dank für eure Nachrichten. Zunächst einmal habe ich die Malwarebytes durchlaufen lassen und hat nur beim ersten mal etwas gefunden. Verschiede Treiber habe ich nicht installiert.

Viele Grüße

Du zeigst oben zwar die Bilder von den vorhandenen Suchläufen, aber es wurde nach dem Inhalt jener Textdateien gefragt. Auf den Bildern wird der Pfad gezeigt, hole es bitte nach, den Inhalt jener Textdateien hier einzufügen!

edit
@Alex
bzgl Slimware (Slimdriver Free/DriverUpdate) habe ich beides (free 2.3.1 von heise/Demo v5 von der slim-page)in der Sandbox laufen lassen - Adwcleaner war dahingehend eindeutig. Bei der Demo bin ich beim Update (Maustreiber) nicht weiter als bis zur Registrierung gekommen, die Free hat nichts gefunden. Neustart fiel ebenfalls weg.

MBAM hat bei der Demo 3 Dateien im Installationsordner gefunden, bei der Free das Programm selbst und die MSI dazu.

Der Blick in die Registry von beiden zeigt auch keine versteckten oder randomisierten Namen.

PS falls von Interesse - VT zur Demo
https://www.virustotal.com/#/file/9...c8aaef110cf04450ad1200d652e8735810a/detection
Die Datei war vorher nicht bekannt.