Windows 7: "Windows-Verwaltungsinstrumentation"-Dienst startet nicht nach Trojanerbefall
 

Hallo,

ich sitze gerade an einem Laptop von einem Freund, der sich den BKA/GVU-Trojaner mit Sperrbildschirm eingefangen hatte. Diesen konnte ich wieder entfernen. Nun startet jedoch ein Windows-Dienst nicht mehr, was vermutlich mit der Infektion in Verbindung steht.

Die Fehlermeldung in den Systemprotokollen lautet:
Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
Das System kann die angegebene Datei nicht finden.
(Ereignis-ID: 7023)

Ich habe bereits einige Schritte durchgeführt:
1. Scan mit Kaspersky RescueDisk10
2. Scan mit Malwarebytes Anti-Malware (Complete-Scan)
3. ADWCleaner
4. ESET-Online-Scanner
5. Temporäre Dateien gelöscht (Windows, Internetexplorer, Java-Cache)
6. Flashplayer, Java (x86+x64) neu installiert + Microsoft Updates installiert
7. Internet Explorer auf Werkseinstellungen zurückgesetzt

Logs:
zu 1.: Der Log fehlt leider. Gefunden und gelöscht wurden rund 50 Infektionen. Darunter die Trojaner Ransomware und SpyEye.

zu 2.: Einziger Fund: Trojan.FakeMS (Datei: C:\ProgramData\31577CDA788B660569CB7D00D219ACB4\friwq9e.dot)

zu 3.:
zu 4.: Ohne Funde durchgelaufen


Ich habe FRST laufen lassen. Hier die Logs:

FRST:
Addition:

Soweit läuft der Laptop wieder ... nur dieser Dienst ist momentan offensichtlich noch problematisch. Zumindest soweit ich das überblicken kann.
Würde mich freuen, wenn sich das einer von euch ansehen könnte, da ich alleine hier nicht mehr weiterkomme.

Wünsche euch ein schönes Wochenende!
Viele Grüße
Jonas

:hallo:

Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Schritt 1
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Guten Morgen Sandra,

vielen Dank, dass du mir helfen möchtest!


Ich habe den Scan laufen lassen. Hier das Ergebnis:

Außerdem:
Ich habe ja gestern Updates installieren lassen durch Windows. Nun kam beim Starten die Meldung, dass ein Fehler dabei passiert ist und die Updates wieder deinstalliert werden. Hat ca. eine halbe Stunde gedauert, bis der Laptop hochgefahren war.

Diese Fehlermeldungen gibt das Systemprotokoll aus:
- Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x800f0826 fehlgeschlagen: Update für Windows 7 für x64-Systeme (KB2592687)
- Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80080005 fehlgeschlagen: Update für Windows 7 für x64-basierte Systeme (KB2830477)
- Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x800f0826 fehlgeschlagen: Update für Windows 7 für x64-Systeme (KB2709981)

Ich weiß nicht, ob das damit zu tun hat, aber ich wollte es dir nicht vorenthalten. ;)

Wünsche dir noch einen schönen Tag!
LG Jonas

Hallo jonnywalker

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Mache nochmal einen neuen Scan mit Farbars Service Scanner, du brauchst ihn dir nicht nochmals downloaden.
Downloade dir bitte Farbar Service Scanner

• Starte das Tool mit Doppelklick auf die FSS.exe
• Gehe sicher, dass folgende Optionen angehakt sind.
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo,

ich habe beides gemacht.

Fixlog:

Und hier der FSS-Log

LG Jonas

Hallo Jonas,

da haben sich unsere Tätigkeiten überschnitten, ich hatte meinen Post editiert, während du ihn abgearbeitet hast.

Müssen wir nochmal bei ;)

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Bitte nochmals einen Scan mit Farbas Service Scanner :)

So ... ein zweites Mal :rolleyes:

Zunächst der Fixlog:

Und hier der FSS-Log:
So ... diesmal ohne Überschneidung :daumenhoc

Hallo Jonas,
Ok, das sieht sehr viel besser aus. Funktioniert nun das Windows Sicherheitscenter auch wieder?

Wie sieht das generell mit einem Antivirenprogramm auf dem Rechner aus?

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt 2
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Klicke im Anschluss auf Suchlauf, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf jetzt starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Aktionen anwenden.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Wähle Exportieren auf Textdatei (.txt) und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

• Setze den Haken bei addition.txt und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und addition.txt erstellt und auf dem Desktop (oder in dem Verzeichnis in dem FRST liegt) gespeichert.
• Poste den Inhalt dieser Logfiles bitte hier in deinen Thread.

Hallo Sandra,

die Schritte werde ich morgen durchführen.

Zum Virenprogramm: Derzeit ist nur eine abgelaufene Version (ca. 1 Monat) von Norman installiert. Ich habe den Laptop-Besitzer gefragt und er hat eingewilligt, dass ich GData Internet Security aufspielen soll.
Wann soll ich das machen? Nach den Schritten oder schon jetzt?

Mach dir noch einen schönen Abend!
Vielen Dank schonmal für deine tolle Hilfe!

LG Jonas

Hallo Jonas,

so ganz ohne Antivirenprogramm ist immer etwas kritisch, mach da bitte nach dem ESET-Scan eins drauf und surf damit nicht rum oder mach was anderes damit. :)

Guten Morgen,

hier schonmal der Fixlog.


Jetzt läuft der Rechner die Scans durch. Melde mich später dann.

LG Jonas

Hier nun der Log von MBAM

ESET ist ohne Fund durchgelaufen:

Mehr gab's da nicht ;)

Und dann hier noch die beiden FRST-Logs

FRST:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---




Addition:

Beim Durchsehen ist mir aufgefallen, dass der gemeldete Systemfehler (Boot und Systemstarttreiber) auch heute wieder gemeldet wurde in den Systemprotokollen. Der wurde in dem Log aber für heute nicht mehr aufgeführt.



Ich installiere dann jetzt GData Internet Security und warte auf Antwort von dir.

LG Jonas

Hallo Jonas,

ja da sitzt auch noch ein Überbleibsel

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Ist es hiernach weg?

Ansonsten sieht das soweit gut aus.

OK
So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber.
Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir.

Schritt 1

Falls Du Malwarebytes-Antimalware und den ESET-Onlinescan nicht mehr benötigst, kannst Du beide Programme einfach über die Programmdeinstallation deinstallieren.
Ich empfehle Dir aber zumindest Malwarebytes zu behalten, und damit einmal die Woche einen Kontrollscan zu machen.

Schritt 2
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.

Falls nach Delfix noch Programme aus unserer Bereinigung vorhanden sein sollten, kannst du diese nun bedenkenlos löschen.

Updates / Programme aktualisieren

• Adobe Reader

Dein Adobe Reader ist veraltet.
Deinstalliere Deinen Reader und lade Dir die neueste Version von hier herunter. Schaue, ob sich noch etwas mit installieren möchte und entferne den Haken gegebenenfalls.

Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems.

Aktualität des Systems
Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.

• Java

Java ist eine große Sicherheitslücke auf deinem System, es werden immer wieder neue Schwachstellen entdeckt, die ausgenutzt werden um Rechner zu infizieren.
Sofern du Java nicht zwingend benötigst, solltest du es komplett deinstallieren.

Windows XP
Gehe auf:
Start --> Systemsteuerung --> Software --> Javaversionen auswählen --> entfernen
Windows Vista
Gehe auf:
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> Javaversionen suchen --> entfernen
Windows 7
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Programm auswählen --> entfernen
Windows 8
Dazu drücke auf:
Windowstaste und X
dann:
Programme und Funktionen -->Javaversionen auswählen --> entfernen

Falls du Java doch unbedingt benötigst, dann

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 60 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.

und sorge dafür, dass Java automatisch updated.
Dazu:

• öffne Java
• klicke auf den Reiter Update
• klicke auf: Benachrichtung ausgeben: Vor dem Download setze den Haken bei Automatisch nach Updates suchen
• klicke auf Erweitert
• ändere das Intervall mindestens auf wöchentlich

und schalte das Browser-Plugin aus.
Hier findest du eine Anleitung dazu.

Antivirensoftware

• Gehe sicher immer eine Antiviren Software installiert zu haben und halte diese unbedingt aktuell.

Zusätzlicher Schutz

• MalwareBytes Anti-Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On-Demand Scantool welches viele aktuelle Malware erkennt und auch entfernt.
  Aktualisiere das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf einen Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Systemleistung
Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu die Datenträgerbereinigung von Windows.
Windows Vista

• Klicke unten links auf das Vistasymbol
• Gehe auf Programme -> Zubehör -> Systemprogramme -> Datenträgerbereinigung
• Wähle nun Dateien von allen Benutzern des Computers aus und bestätige mit OK
• Setze den Haken bei den zu löschenden Dateien zusätzlich bei Temporäre Dateien
• Bestätige mit OK
• Bestätige dass du die Dateien unwiderruflich löschen möchtest

Windows 7

• Gehe auf das Windowsstartsymbol
• Gebe im Suchfeld Datenträgerrereinigung ein
• Setze den Haken zusätzlich bei Temporäre Dateien
• Bestätige mit OK

Windows 8

• Rechtsklicke in die untere linke Ecke deines Bildschirms
• Klicke auf Suchen
• Klicke auf Einstellungen
• Gebe im Suchfeld Datenträgerbereinigung ein
• Klicke in den Einstellungen auf der linken Seite nun auf Speicherplatz durch Löschen nicht erforderlicher Dateien freigeben
• Setze den Haken zusätzlich bei Temporäre Dateien
• Bestätige mit OK
• Bestätige dass du die Dateien unwiderruflich löschen möchtest

Halte dich fern von jeglichen Registry Cleanern.
Diese schaden deinem System mehr als dass sie es schneller machen.

Verhaltensregeln zum sichereren Surfen

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
• Achte besonders bei der Installation von Programmen darauf, ob sich weitere Software mitinstallieren möchte, wähle wo immer es geht die benutzerdefinierte Installation und wähle alles ab, was nichts mit dem Programm zu tun hat, welches du dir installieren möchtest.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind.

Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun.

Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun.

Hallo Sandra,

vielen Dank für deine Hilfe. Ich habe die Fixes durchführen lassen. Der Log sieht so aus:


Mir ist noch eine Sache aufgefallen, zu der ich gerne noch deine Meinung/Einschätzung hätte.

1. Im Taskmanager ist ein Prozess "TrustedInstaller", der immer mal wieder für hohe CPU-Auslastung sorgt und das System ziemlich verlangsamt. Zeitweise wird er dort aber auch nicht aufgeführt. Im Anwendungsprotokoll findet sich zwei Meldungen zu diesem Prozess mit folgendem Inhalt:

Muss ich mir da Gedanken machen?


Ansonsten sind alle anderen Symptome wieder verschwunden und der Laptop arbeitet wieder ordnungsgemäß.

LG Jonas

Hallo Jonas,

das sieht sehr nach dem Windowsdienst Trusted Installer aus. Dieser prüft in regelmäßigen Abständen Windows auf Updates. Der ist notwendig, da hilft nur abwarten, bis er damit fertig ist. :)

Hallo Sandra,

vielen Dank für deine Hilfe! Der Laptop läuft wieder stabil und es gibt nun auch keine Fehlermeldungen mehr in den Protokollen.

Das war wirklich eine gute und klar strukturierte Arbeit von dir! Schön, dass es Menschen wie dich gibt, die anderen ganz selbstverständlich helfen! Danke!

Von mir aus kannst du das Thema nun schließen!

LG Jonas