[English]Noch ein Nachtrag zum Patchday (12. November 2019). Eine Reihe Benutzer bekommen unter Windows 7 SP1 und Windows Server 2008/R2 den Fehler 0x800B0109 bei der Installation des Update KB890830 (MSRT) angezeigt. Hier ein paar Informationen zum Thema und was da los war.
Anzeige
Was macht Update KB890830 (MSRT)?
Beim Update KB890830 handelt es sich um das 'Windows-Tool zum Entfernen bösartiger Software' (Englisch Malicious Software Removal Tool, MSRT). Das Tool steht für alle Windows-Versionen zur Verfügung und wird zyklisch am Patchday als Update ausgerollt, um die Systeme von schädlicher Software (bestimmte gängige Bedrohungen wie z.B. Trickbot) zu bereinigen.
Windows muss neu gestartet werden, damit die Änderungen nach der Installation wirksam werden. Wer das Tool manuell ausführen möchte, kann es im Microsoft Download Center herunterladen oder eine Onlineversion von microsoft.com ausführen. Dieses Tool kann kein Antivirenprodukt ersetzen. Sie sollten daher ein Antivirenprodukt verwenden, um zum Schutz Ihres Computers beizutragen.
Ach ja, abschließend noch der Hinweis auf den Blog-Beitrag Malicious Software Removal Tool schickt auch Telemetriedaten – obwohl dass imho das kleinere Übel im Fall von Infektionen mit Malware ist. Die Telemetriedaten werden von Microsoft verwendet, um einen Überblick über den Malwarebefall von Windows zu erhalten.
Anzeige
Installationsprobleme zum 12. November 2019
Die MSRT-Version, die zum 12. November 2019 als Update KB890830 freigegeben wurde, macht aber unter Windows 7 SP1 und Windows Server 2008/R2 Problem. Bereits am Patchday gab es Kommentare wie diesen:
Bei KB890830 schlagen bei mir alle Versuche der Installation fehl.
Fehler Code 0x800B0109
Weitere Kommentare geben an, dass es die Probleme bei der 32-Bit-Version von Windows 7 SP1 gibt. Der Kommentar hier weist den Installationsfehler auch bei der 64-Bit-Version auf. Mir sind auch Berichte unter die Augen gekommen, dass das Tool wiederkehrend installiert wird. Woody Leonhard hat in einem Artikel auf ComputerWorld ebenfalls diesen Installationsfehler, als bei Anwendern auftretend, erwähnt.
Was besagt der Fehler 0x800B0109
Ich hatte es bereits in diesem Kommentar erwähnt. Der Fehlercode 0x800B0109 steht für CERT_E_UNTRUSTEDROOT, und die Meldung lautet im Klartext:
Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt.
Das bedeutet schlicht, dass das Zertifikat, welches zur Überprüfung der signierten Update-Datei verwendet wird, nicht akzeptiert werden kann. Die digitale Signatur ist zwar im Update-Paket enthalten. Aber die Zertifikatkette, über die die Vertrauenswürdigkeit der digitalen Signatur überprüft werden soll, endet mit einem Stammzertifikat, welches nicht als vertrauenswürdig eingestuft wird.
Ad-hoc hätte ich ein fehlendes Servicing Stack Update (SSU) oder ein SHA-2-Update als Ursache bei Windows 7 SP1 und Windows Server 2008/R2 vermutet. Im Supportbeitrag zu Update KB890830 heißt es:
Note: Starting November 2019, MSRT will be SHA-2 signed exclusively. Your devices must be updated to support SHA-2 in order to run MSRT. To learn more, see 2019 SHA-2 Code Signing Support requirement for Windows and WSUS.
Aber da hat es diesmal nicht dran gelegen. Vielmehr hat Microsoft beim Signieren des betreffenden Update-Pakets einen Fehler gemacht. Es gibt diesen Technet Forenthread zum Problem, wo das Ganze auch nochmals diskutiert und aufbereitet wird.
Interessant ist, dass das Zertifikat im MSRT ab Windows 8.1 und den Server Pendants wohl funktioniert – nur bei Windows 7 und Windows Server 2008/R2 kam es zum Zertifikatsfehler.
Inzwischen wird das Update KB890830 bei den meisten Nutzern nicht mehr über Windows Update angeboten (siehe auch diese Diskussionen hier im Blog). Im Microsoft Update Catalog findet sich zwar noch das Paket (v5.77). Dieses trägt für Windows 7, Windows Server 2008 und Windows Server 2008 R2 aber das Aktualisierungsdatum 13.11.2019, während die Pendants für Windows 8.1 bis Windows 10 und die Server-Pendants das das Aktualisierungsdatum 12.11.2019 aufweisen. Microsoft hat das Paket also aktualisiert und das fehlerhafte Zertifikat ausgetauscht. Ich habe das MSRT v5.77 jetzt in einer 64-Bit-Version für mein Windows 7 SP1 heruntergeladen. Das Tool ließ sich problemlos ausführen.
Im Microsoft Update Catalog werden zwei MSRT-Pakete zum Download angeboten. Bei einem handelt es sich um ein Delta-Update, welches über WSUS verwendet werden kann.
Ähnliche Artikel:
Update KB890830 (Windows Malicious Removal Tool) macht Probleme
Ärger mit dem Tool zum Entfernen bösartiger Software (MSRT)
Windows-Tool zum Entfernen bösartiger Software (KB890830)
Malicious Software Removal Tool schickt auch Telemetriedaten
Anzeige
Danke für die Aufklärung. Hier war auch Windows 7 x64 mit dem besagten Fehlercode 0x800B0109 betroffen. Das Tool hat bei mir noch nie etwas gefunden, weshalb ich auf die manuelle Nachinstallation verzichte. Mit dem Dezember Rollup wird es ohnehin wieder kommen. Eine Security Suite läuft hier sowieso und einmal wöchentlich auch der Defender, mit einem Kurzscan, ohne E-Mail Dateien. Die Suite lasse ich etwa alle 6 Wochen einen Komplettscan machen, bei dem grundsätzlich alles gescannt wird, wozu die Einstellungen angepasst wurden ("Smart-Scan" deaktiviert). Die fand auch noch nie etwas, außer bekannte "potentiell unerwünschte Programme" in Installern, die bei der Installation natürlich nicht mitinstalliert wurden.
das stimmt übrigens nicht, lieber martin,
neben aktuellen, früheren und ggf. zukünftigen "workarounds" (optionen) funktioniert (bis dato):
reg add "HKLM\Software\Policies\Microsoft\MRT" /v DontOfferThroughWUAU /t REG_DWORD /d "1" /f
doch ich wiederhole mich. deswegen; genug 'now'
"das stimmt übrigens nicht"
Ich wüsste nicht, was an meinen obigen Aussagen nicht stimmen sollte. Ich weiß absolut nicht, was Du meinen könntest.
Ah, vielleicht, dass bei mir der Defender einmal wöchentlich einen Kurzscan macht? Das macht er natürlich nicht standardmäßig. Dafür habe ich eine Aufgabe angelegt:
"c:\program files\windows defender\MpCmdRun.exe" /Scan -ScheduleJob -WinTask -RestrictPrivilegesScan
als verantwortungstrõger w³sstest du wo das…
deswegen hier eine kleine übung:
C:\WINDOWS\system32>where.exe [/i] /?
Beschreibung:
Zeigt den Pfade der Dateien an, die mit dem
Suchschema übereinstimmen.
Standardmäßig wird die Suche im aktuellen
Verzeichnis und in den in der Umgebungsvariable
PATH angegebenen Verzeichnissen durchgeführt.
HINWEIS: Bei erfolgreicher Suche wird eine Fehlerstufe
von 0, bei einer erfolglosen Suche wird 1 und bei Fehleschlägen und Fehlern wird Fehlerstufe 2 angezeigt.
das ist mmn nicht einfach! das soll erstmal einer kommen..
hp://go.microsoft.com/fwlink/?LinkId=212732
da kriegst du das "msert" -> enjoy!
und?
alles sicher jetzt? gut!
und wenn nicht? na, da das "msrt" (*ehemals "mrt") zwar aktualisiert wurde, jedoch mit nicht sicherheitsrelevanten inhalten; darf ich vorschlagen?!?:
das "msert" – wer es nicht wahrgenommen hat sieht es vielleicht nicht (zuviel herz oder nachtmodus putt)
*not yet lost in translation
bevor ich's vergess, wo wir schon bei ~drm sind..
warum sec jetzt nicht mehr sicher heisst, da weiß der gefallene altmeier, das bsi, das cyber-angriffs-zentrum der bundeswehr (man beachte die neu geschaffenen arbeitsplätze sowie die gesteigerten sprachlichen, interkulturellen, technischen und psychologischen kenntnisse welche der aktuellen marmelade nicht vorauszusetzen, schlicht intellektuell unzulässig ist)
g
MRST oder MSRT – das ist hier die Frage. 😉
Alter Falter, jetzt ist es mir auch passiert