Hallo zusammen,

ich habe gestern Abend eine wiederkehrende Meldung über ein Windows-Update bekommen (Screenshot im Anhang).
Mir kommt sie aus mehreren Gründen komisch vor:
1. Die Konsole, die sich zur Meldung links im Bild mitöffnet.
2. In der Meldung sollte offenkundig eine Zeit stehen, zu der das Update angekündigt war. Übrig geblieben ist davon nur eine 1. Das spricht nicht unbedingt für professionelle Programmierung.
3. Ich weiß von keinem angekündigten Update. Dazu, dass es im September ein Update geben soll, gibt es vereinzelt Meldungen, allerdings habe ich auf die Schnelle nichts dazu gefunden, dass dieses so groß ausfallen sollte, eine solche Ankündigung zu rechtfertigen. Für gewöhnlich laufen Windows-Updaters schließlich stillschweigend im Hintergrund ab, solange nicht gerade eine komplett neue Version herauskommt.

Ich habe dann mit Klick auf "Eine Stunde warten" zurück ins System kommen können, den Laptop heruntergefahren und heute einen Defender-Scan laufen lassen. Zwischendurch wieder mehrfach mit "Eine Stunde warten" die Meldung weggeklickt und irgendwann - der Komplettscan dauerte einige Stunden - den Rechner verlassen. Als ich wiederkam, wurde wohl längere Inaktivität als "Jetzt Installieren"-Befehl interpretiert, jedenfalls musste ich einige Privatsphäre-Einstellungen vornehmen, um zurück zu meinem Desktop zu kommen. Dieser sieht jetzt tatsächlich leicht verändert aus (z.B ein paar neue Icons in der Taskleiste; diese Icons jetzt linksbündig statt mittig angeordnet, leicht verändertes Start-Menü). Ansonsten scheint sich der Rechner normal zu verhalten - so als ob eben erfolgreich ein System-Update installiert wurde - mit der Ausnahme, dass die Taskleisten-Icons etwa alle 30 Sekunden kurz verschwinden und neu laden.

Bis ich den Rechner verlassen hatte, hatte der Defender nichts gefunden. Ob der Suchlauf komplett durchgelaufen ist, kann ich nicht beurteilen. Auf dem neuen System ist jedoch im Defender - der jetzt Windows Defender Security Center heißt und ebenfalls anders aussieht - ein vollständiger Suchlauf mit aktuellem Datum vermerkt. Ein Bedrohungs-Suchlauf mit MBAM hat ebenfalls keine Auffälligkeiten ergeben.

Optisch scheint es sich um die Neuerungen zu handeln, die laut kurzer Google-Suche offenbar dem April 2018 Update entsprechen (obwohl es mich dann erstaunt, dass das gerade jetzt kommt).

Was möglicherweise auch noch von Interesse sein kann: Einige Zeit bevor die erste Update-Meldung kam - ich bin mir nicht mehr sicher, ob noch am selben Tag oder bereits einen Tag zuvor - war ein Defender-Virendefinitionsupdate fehlgeschlagen. Zusammenhang unklar. Vor dem erneuten Scan heute wurde natürlich nochmal eins angestoßen, das auch durchlief.

Tja, was habe ich nun: Ein regulär geupdatetes Windows und Paranoia oder ein korrumpiertes System? Kann jemand mit einiger Sicherheit verifizieren, dass es ein legitimes Update gab, das sich wie beschrieben verhielt? Das wollte ich erstmal abklären, bevor ich noch den FRST anschmeiße.

So einen Update-Screen hab ich noch nie gesehen. Und nichtmal Microsoft selbst weiß so richtig was

Ich verschieb mal nach Diskussion, Schädlinge hast du ja keine lt. Windows Defender und Malwarebytes.

Wow...mal was ganz anderes. Lass mal Emsisoft Emergency Kit drüber schauen, das ganze schaut doch recht komisch aus

Warum nicht einfach mal nach "osrss osrrb.exe" suchen? Dann könnte man diese finden:
https://superuser.com/questions/1294303/unable-to-end-remove-a-process-i-think-is-a-keylogger
https://answers.microsoft.com/en-us/windows/forum/windows_10-other_settings/os-remediation-system-service/671c62b2-705a-44c1-870d-e1ed6555be37
https://superuser.com/questions/1294164/i-may-have-a-keylogger-on-my-desktop-but-am-unsure/1294207
https://www.virustotal.com/fr/file/1e6c393b2165164ab2f2795f3c4d7b4ddaf022d8176fa0fee0cc0a81002c99d0/analysis/1527597177/
P.S. das Virustotalergebnis fand ich hier
https://forums.cnetfrance.fr/topic/1407139-pc-infecte-mise-a-jour-impossible/
Grüße.

Also da --> https://answers.microsoft.com/en-us/...d-e1ed6555be37


kommen doch auch nur wieder uninformative Allgemeinplätze von Microsoft:

"OS Remediation System Service is a legit service from Microsoft included in KB4056254 update. We are still looking for additional documentation that shows the full description of the service. In the meantime, you can check this link about the update where osrss is included."

(von einem Microsoft-Agent/Moderator dort)

Ich weiß nicht was uns das sagen soll und was das mit dem Updatescreen zu tun hat.

Vielen Dank erst mal für Eure Antworten!

Zusammenfassung nach meinem Verständnis:

Microsoft sagt: OSRSS ist ein legitimer Update-Prozess. Genauere Infos gibt's aber nicht.
Bleeping Computer und Sophos sagen: OSRSS.exe liegt im Windows-Verzeichnis und ist schadhaft.
Virustotal beschreibt osrrb.exe (!) ohne eine Aussage über die Schadhaftigkeit zu treffen.

In meinem Fall legt die Konsole im Update-Screen nahe, dass eine Datei osrrb.exe im Verzeichnis C:\OSRSS ausgeführt wird. Hinweise auf eine OSRSS.exe sind bei mir nicht zu finden, gleichwohl ein Prozess des Namens osrss im Dienste-Tab des Task-Managers auffindbar ist.

Laien-Interpretation: OSRSS ist grundsätzlich ein legitimer Microsoft Prozess, der Name wird jedoch auch als Maskierung von einem Schadprogramm genutzt. Nur eine OSRSS.exe im Windows-Verzeichnis lässt auf Befall schließen, nicht aber der Prozess selbst oder meine osrrb.exe im OSRSS-Verzeichnis? Das würde aber immernoch nicht den seltsamen Update-Screen erklären.

Zugegeben, mich in Prozessstruktur und Befallsszenarien hineinzudenken überschreitet meinen Kompetenzbereich deutlich (deswegen ja meine Rückfrage hier). Ergibt das Sinn, was ich mir da zusammenspinne?

Emsisoft lasse ich gerade laufen. Ist es möglich/erwünscht/ratsam auch hier im Diskussionsbereich ein Logfile zu posten? Gibt es sonst etwas, was Ihr mir zu tun raten würdet? Entwarnung, wenn die Scanner nichts finden? Doch noch einen Bereinigungsprozess mit Eurer Hilfe und Startpunkt FRST anstoßen oder wäre das angesichts unklarer Bedrohungslage ohnehin fruchtlos?

Immerhin ist mir noch eine Erklärung eingefallen, warum, falls es sich um ein ganz gewöhnliches Update handeln sollte, es erst jetzt auftaucht: Meine Festplatte war immer recht voll, bis ich vor ein paar Tagen mal mit TFC eine beachtliche GB-Zahl freigeschaufelt habe. Ist es möglich, dass Windows sich seit monaten updaten wollte, aber mangels Speicherplatz nicht konnte? Und würde das einen solchen Screen erklären?

1. für mich steht noch nichtmal fest, dass die besagte Datei irgendwas mit deinem Bild zu tun hat
2. nur über einen Dateinamen lässt sich keine Datei festmachen, was man braucht ist eine Prüfsumme!

1. Obwohl sich das mit C:\OSRSS\osrrb.exe überschriebene Fenster nur im Zusammenhang mit der Update-Meldung zeigte?
2. Wie gesagt: außerhalb meines Kompetenzbereichs.
Also was tun nach Deiner Einschätzung? Tendenziell entspannen und abwarten? Panisch werden und Rechner notwendig neu aufsetzen? Irgendetwas dazwischen?

Zitat:

Zitat von Creature

1. Obwohl sich das mit C:\OSRSS\osrrb.exe überschriebene Fenster nur im Zusammenhang mit der Update-Meldung zeigte?
2. Wie gesagt: außerhalb meines Kompetenzbereichs.
Also was tun nach Deiner Einschätzung? Tendenziell entspannen und abwarten? Panisch werden und Rechner notwendig neu aufsetzen? Irgendetwas dazwischen?

Ich glaube FRST ist eine gute Idee. Panik ist IMMER falsch. Neuaufsetzen oder Systemwiederherstellung ist verfrüht. Würde den Spuk aber mit Sicherheit beenden.
Man sollte aber schon rausfinden, woher dieses eindeutig nicht legitime "Updatefenster" nun her kommt.

Auch der Emsisoft hat nichts gefunden.
Wie ist das mit den Gepflogenheiten hier: FSRT-Log in diesen Thread oder neuen im Subforum "Log-Analyse und Auswertung" aufmachen, um Unterstützung zu bekommen?

Zitat:

Zitat von Creature

Auch der Emsisoft hat nichts gefunden.
Wie ist das mit den Gepflogenheiten hier: FSRT-Log in diesen Thread oder neuen im Subforum "Log-Analyse und Auswertung" aufmachen, um Unterstützung zu bekommen?

Hier=jeder kann hier posten.

Log Analyse..=nur TB-Helfer können posten.

Deine Entscheidung

Ich würde Dir den geschützten Bereich anraten, da kann kein Unbefugter dümmlich dazwischen posten

In dem Fall geht's hier weiter: https://www.trojaner-board.de/192818-seltsames-windows-update.html

- allerdings ohne mir die Apostrophierung aller Unbefugten als dümmlich zueigen zu machen.

Herzlichen Dank an alle, die sich bis jetzt zu Wort gemeldet haben.