Microsoft hat das Windows-Tool zum Entfernen bösartiger Software freigegeben, um Sie beim Entfernen derartiger, weit verbreiteter Software von Computern zu unterstützen.
Die Informationen in diesem Artikel beziehen sich ausschließlich auf die Bereitstellung dieses Tools in einer Unternehmensumgebung. Es wird dringend empfohlen, auch den folgenden Artikel in der Microsoft Knowledge Base zu lesen. Der Artikel enthält allgemeine Informationen zu diesem Tool und dessen Download.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830 (http://support.microsoft.com/kb/890830/) Microsoft Windows-Tool zum Entfernen bösartiger Software unterstützt das Entfernen spezifischer, weit verbreiteter bösartiger Software von Computern mit Windows Vista, Windows Server 2003, Windows XP oder Windows 2000
Das Tool wurde primär für nicht in einer Unternehmensumgebung tätige Benutzer entwickelt, auf deren System kein aktuelles Antivirenprogramm installiert ist. Es kann jedoch auch in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:
| ? | Windows Server Update Services |
| ? | Microsoft Systems Management Software (SMS)-Softwarepaket |
| ? | Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers |
| ? | Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung |
Weitere Informationen zur Bereitstellung des Tools mithilfe der Features "Windows Update" oder "Automatische Updates" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830 (http://support.microsoft.com/kb/890830/) Microsoft Windows-Tool zum Entfernen bösartiger Software unterstützt das Entfernen spezifischer, weit verbreiteter bösartiger Software von Computern mit Windows Vista, Windows Server 2003, Windows XP oder Windows 2000
Die aktuelle Version dieses Tools unterstützt die folgenden Möglichkeiten zur Bereitstellung nicht:
| ? | Windows Update-Katalog |
| ? | Ausführen des Tools auf einem Remotecomputer |
| ? | Software Update Services (SUS) |
Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen dazu, wie Sie bereits im Rahmen der Bereitstellung überprüfen können, ob dieses Tool ausgeführt wird.
Zum Anfang
Beispielcode
Die hier beschriebenen Skripts und Schritte sind nur als Muster mit Beispielcharakter gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarien zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge
ServerName (Servername) und
ShareName (Freigabename) so ändern, dass sie dem Setup in Ihrer Umgebung entsprechen.
Der nachstehende Beispielcode bewirkt Folgendes:
| ? | Er führt das Tool im stillen Modus aus. |
| ? | Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe. |
| ? | Er stellt dem Namen der Protokolldatei den Namen des Computers, von dem aus das Tool ausgeführt wird, sowie den Benutzernamen des aktuell angemeldeten Benutzers als Präfix voran. Sie müssen gemäß den Anweisungen im Abschnitt Setup und Konfiguration entsprechende Berechtigungen für die Freigabe festlegen. |
REM In diesem Beispiel heißt das Skript "RunMRT.cmd".
REM Das Dienstprogramm "Sleep.exe" wird verwendet, um die Ausführung des Tools zu verzögern, wenn es als
REM ein Startskript verwendet wird. Weitere Informationen finden Sie im Abschnitt "Bekannte Probleme".
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V2.1.exe /q
copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
In diesem Beispielcode ist
ServerName ein Platzhalter für den Namen Ihres Servers und
ShareName ein Platzhalter für den Namen Ihrer Freigabe.
Zum Anfang
Setup und Konfiguration
Die Informationen in diesem Abschnitt sind für Administratoren gedacht, die für die Bereitstellung dieses Tools ein Anmelde- oder Startskript verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt "Bereitstellungsmethoden" fortfahren.
Gehen Sie folgendermaßen vor, um Server und Freigabe zu konfigurieren:
| 1. | Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Geben Sie der Freigabe Ihren Freigabenamen. |
| 2. | Kopieren Sie das Tool und das Beispielskript "RunMRT.cmd" zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode. |
| 3. | Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:
| ? | Freigabeberechtigungen:
| a. | Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff. | | b. | Entfernen Sie die Gruppe "Jeder". | | c. | Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe "Domänencomputer" mit Berechtigungen für Ändern und Lesen hinzu. | | d. | Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe "Authentifizierte Benutzer" mit Berechtigungen für Ändern und Lesen hinzu.
|
| | ? | NTFS-Berechtigungen:
| a. | Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff. | | b. | Entfernen Sie die Gruppe "Jeder", sofern in der Liste enthalten.
Hinweis Wenn beim Entfernen der Gruppe "Jeder" ein Fehler auftritt, klicken Sie auf der Registerkarte Sicherheit auf Erweitert, und deaktivieren Sie das Kontrollkästchen Das übergeordnete Objekt hat keine erbbaren Berechtigungen, die an dieses Objekt weitergegeben werden können. | | c. | Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe "Domänencomputer" die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu. | | d. | Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe "Authentifizierte Benutzer" die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu. |
|
|
| 4. | Erstellen Sie einen Unterordner des Ordners "ShareName" mit dem Namen "Logs".
In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt. |
| 5. | Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner "Logs" zu konfigurieren.
Hinweis Ändern Sie die Freigabeberechtigungen hier nicht.
| a. | Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff. | | b. | Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe "Domänencomputer" die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu. | | c. | Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe "Authentifizierte Benutzer" die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu. |
|
Zum Anfang
Bereitstellungsmethoden
Hinweis: Unabhängig von der gewählten Bereitstellungsmethode müssen Sie über Administrator- oder Systemberechtigungen verfügen, um dieses Tool ausführen zu können.
Verwendung des SMS-Softwarepakets
Das folgende Beispiel beinhaltet in einzelne Schritte unterteilte Anweisungen für die Verwendung von SMS 2003. Die Schritte für SMS 2.0 sind diesen Schritten sehr ähnlich.
| 1. | Extrahieren Sie die Datei "Mrt.exe" aus dem Paket "Windows-KB890830-V1.34-DEU.exe /x". |
| 2. | Erstellen Sie eine BAT-Datei, um "Mrt.exe" zu starten und den Rückgabecode mithilfe von "ISMIF32.exe" aufzuzeichnen.
Der folgende Code ist ein Beispiel.@echo off
Mrt.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12
Goto end
:error13
Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?Text zu Fehler 13?
Goto end
:error12
Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?Text zu Fehler 12?
Goto end
:end
268791 (http://support.microsoft.com/kb/268791/)
Verarbeitung einer von der Datei "ISMIF32.exe" generierten MIF-Statusdatei (Management Information Format) in SMS 2.0 (englisch) 186415 (http://support.microsoft.com/kb/186415/) Status-MIF-Ersteller, Ismif32.exe ist verfügbar (englisch) |
| 3. | Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:
| a. | Öffnen Sie die SMS-Administratorkonsole. | | b. | Klicken Sie mit der rechten Maustaste auf den Knoten Pakete, klicken Sie auf Neu, und klicken Sie anschließend auf Paket.
Das Dialogfeld Paketeigenschaften wird angezeigt. | | c. | Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen. | | d. | Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien. | | e. | Klicken Sie auf Festlegen, und wählen Sie dann ein Quellverzeichnis aus, in dem das Tool gespeichert ist. | | f. | Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest. | | g. | Wählen Sie auf der Registerkarte Berichterstattung die Option Diese Felder für MIF-Statusabstimmung verwenden aus, und geben Sie dann einen Namen für die Felder MIF-Dateiname und Name ein.
Version und Herausgeber sind optional. | | h. | Klicken Sie auf OK, um das Paket erstellen zu lassen. |
|
| 4. | So geben Sie einen Verteilungspunkt für das Paket an:
| a. | Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket. | | b. | Erweitern Sie das Paket. Klicken Sie mit der rechten Maustaste auf Verteilungspunkte, zeigen Sie auf Neu, und klicken Sie dann auf Verteilungspunkte. | | c. | Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus. | | d. | Klicken Sie auf Fertig stellen, um den Assistenten zu schließen. |
|
| 5. | So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:
| a. | Klicken Sie unter dem Knoten des neuen Pakets auf den Knoten Programme. | | b. | Klicken Sie mit der rechten Maustaste auf Programme, zeigen Sie auf Neu, und klicken Sie dann auf Programm. | | c. | Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann einen gültigen Namen ein. | | d. | Klicken Sie in der Befehlszeile auf Durchsuchen, um die Batchdatei auszuwählen, die Sie zum Starten von "Mrt.exe" erstellt haben. | | e. | Ändern Sie die Option Ausführen zu Versteckt. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich. | | f. | Klicken Sie auf die Registerkarte Anforderungen, und wählen Sie dann die Option Dieses Programm kann nur auf den angegebenen Clientplattformen ausgeführt werden aus. | | g. | Aktivieren Sie die Kontrollkästchen Alle x86 Windows 2000, Alle x86 Windows Server 2003 und Alle x86 Windows XP. | | h. | Klicken Sie auf die Registerkarte Umgebung, klicken Sie in der Liste Programm kann ausgeführt werden auf Unabhängig von Benutzeranmeldung. Legen Sie als Ausführungsmodus Mit Administratorrechten ausführen fest. | | i. | Klicken Sie auf OK, um das Dialogfeld zu schließen.
|
|
| 6. | So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:
| a. | Klicken Sie mit der rechten Maustaste auf den Knoten Ankündigung, klicken Sie auf Neu, und klicken Sie anschließend auf Ankündigung. | | b. | Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Klicken Sie auf Durchsuchen, und klicken Sie dann auf die Sammlung Alle Systeme (oder auf eine Sammlung, die nur Microsoft Windows 2000 und höhere Versionen beinhaltet). | | c. | Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest. | | d. | Setzen Sie die Priorität auf Hoch. | | e. | Klicken Sie auf OK, um die Ankündigung erstellen zu lassen. |
|
Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers
Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und nach der Anwendung der Gruppenrichtlinieneinstellung.
| 1. | Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt Setup und Konfiguration durch. |
| 2. | Erstellen Sie das Startskript. Gehen Sie hierzu folgendermaßen vor:
| a. | Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Eigenschaften. | | b. | Klicken Sie auf die Registerkarte Gruppenrichtlinie.
| | c. | Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie der Richtlinie den Namen MRT-Bereitstellung. | | d. | Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten. | | e. | Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, und klicken Sie auf Skripts. | | f. | Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen.
Das Dialogfeld Hinzufügen eines Skripts wird angezeigt. | | g. | In das Feld Skriptname geben Sie \\Servername\Freigabename\RunMRT.cmd ein. | | h. | Klicken Sie auf OK und anschließend auf Übernehmen. |
|
| 3. | Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind. |
Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung
Bei dieser Methode wird vorausgesetzt, dass es sich bei dem zur Anmeldung verwendeten Benutzerkonto um ein Domänenkonto und ein Mitglied der lokalen Administratorengruppe auf dem Clientcomputer handelt.
| 1. | Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt Setup und Konfiguration durch. |
| 2. | Erstellen Sie das Anmeldeskript. Gehen Sie hierzu folgendermaßen vor:
| a. | Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Eigenschaften. | | b. | Klicken Sie auf die Registerkarte Gruppenrichtlinie. | | c. | Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie diesem den Namen MRT-Bereitstellung. | | d. | Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten. | | e. | Erweitern Sie Benutzerkonfiguration, erweitern Sie Windows-Einstellungen, und klicken Sie auf Skripts. | | f. | Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen. Das Dialogfeld Hinzufügen eines Skripts wird angezeigt. | | g. | In das Feld Skriptname geben Sie \\Servername\Freigabename\RunMRT.cmd ein. | | h. | Klicken Sie auf OK und anschließend auf Übernehmen. |
|
| 3. | Melden Sie sich bei den Clientcomputern ab und anschließend wieder an. |
In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden.
Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
198642 (http://support.microsoft.com/kb/198642/)
Überblick: Anmeldeskripts, Abmeldeskripts, Startskripts und Skripts zum Beenden in Windows 2000
322241 (http://support.microsoft.com/kb/322241/) SO WIRD'S GEMACHT: Zuweisen von Skripts in Windows 2000
Zum Anfang
Weitere relevante Informationen für eine Unternehmensumgebung
Rückgabecodes überprüfen
Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt
Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.
Die folgende Liste enthält die gültigen Rückgabecodes.
| 0 | = | No infection found (Keine Infektion gefunden) |
| 1 | = | OS Environment Error (Betriebssystemumgebungsfehler) |
| 2 | = | Not running as an Administrator (Nicht als Administrator ausgeführt) |
| 3 | = | Not a supported OS (Kein unterstütztes Betriebssystem) |
| 4 | = | Error Initializing the scanner (Fehler bei der Initialisierung des Scanners). (Download a new copy of the tool) (Tool erneut herunterladen) |
| 5 | = | Not used (Nicht verwendet) |
| 6 | = | At least one infection detected. No errors. (Mindestens eine Infektion gefunden. Keine Fehler.) |
| 7 | = | At least one infection was detected, but errors were encountered. (Mindestens eine Infektion gefunden, aber es sind Fehler aufgetreten) |
| 8 | = | At least one infection was detected and removed, but manual steps are required for a complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich) |
| 9 | = | At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich. Es wurden Fehler gefunden) |
| 10 | = | At least one infection was detected and removed, but a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich) |
| 11 | = | At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich. Es wurden Fehler gefunden) |
| 12 | = | At least one infection was detected and removed, but both manual steps and a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch manuelle Schritte und ein Neustart erforderlich) |
| 13 | = | At least one infection was detected and removed, but a reboot is required. (Mindestens eine Infektion gefunden und entfernt. Neustart erforderlich) No errors were encountered. (Keine Fehler gefunden) |
SO WIRD'S GEMACHT: Protokolldatei analysieren
Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei "%windir%\debug\mrt.log".
Hinweise| ? | Diese Protokolldatei ist nur in englischer Sprache verfügbar. |
| ? | Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet. |
| ? | Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.
Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an. |
| ? | Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln. |
| ? | Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei "Mrt.log" im Ordner "%windir%\debug" und nennt die kopierten Dateien "Mrt.log.old". Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei "Mrt.log" erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt. |
Die folgende Beispieldatei "Mrt.log" stammt von einem Computer, der mit dem Wurm "Sasser.A" infiziert war:
Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
Quick Scan Results: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007
So sieht beispielsweise eine Protokolldatei aus, wenn keine bösartige Software gefunden wurde.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
Results Summary: ---------------- No infection found.
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002
So sieht beispielsweise eine Protokolldatei aus, wenn Fehler aufgetreten sind.
Weitere Informationen zu den gemeldeten Warnungen und Fehlern von diesem Tool finden Sie im folgenden Artikel der Microsoft Knowledge Base:
891717 (http://support.microsoft.com/kb/891717/) Fehlermeldung beim Ausführen des Microsoft Windows-Tools zum Entfernen bösartiger Software
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
Terminating process with pid 1880 Operation had previously completed.
Terminating process with pid 1880 Operation had previously completed.
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
Terminating process with pid 1880 Operation had previously completed.
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
Results Summary: ---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system needs to be restarted. Found Win32/HLLW.Gaobot.ZF, partially removed.
Zum Anfang
Bekannte Probleme
Wenn Sie das Tool mithilfe des Startskripts ausführen, erhalten Sie möglicherweise Fehlermeldungen in der Datei "Mrt.log" mit etwa folgendem Inhalt.
Fehler: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Access is denied.
Hinweis Die Prozesskennungen (PIDs) können variieren.
Diese Fehlermeldung wird ausgelöst, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Die einzige Auswirkung dieses Fehlers besteht darin, dass der durch die Prozesskennung bezeichnete Prozess nicht untersucht wurde.
Verwenden Sie das Plattform-SDK-Dienstprogramm "Sleep.exe", um im Startskript eine Verzögerung von fünf Sekunden vor Ausführung des Tools festzulegen und so das Problem zu umgehen. Betrachten Sie dazu das vorstehende Beispielskript. Durch diese Verzögerung können sich Prozesse auf dem Computer nach dem Startvorgang zunächst stabilisieren.
Zum Anfang
Häufig gestellte Fragen
F1: Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Woran liegt das?A1: Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.
F2. Wie kann ich überprüfen, ob das Tool auf einem Clientcomputer ausgeführt wurde?A2: Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dadurch wird eine mehrmalige Ausführung des Tools verhindert.
Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Name des Eintrags: Version
Bei jeder Ausführung des Tools protokolliert es eine GUID in der Registrierung, um darauf hinzuweisen, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.
| Version | Wert |
|---|
| Januar 2005 | E5DD9936-C147-4CD1-86D3-FED80FAADA6C |
| Februar 2005
| 805647C6-E5ED-4F07-9E21-327592D40E83 |
| März 2005 | F8327EEF-52AA-439A-9950-CE33CF0D4FDD |
| April 2005 | D89EBFD1-262C-4990-9927-5185FED1F261 |
| Mai 2005 | 08112F4F-11BF-4129-A90A-9C8DD0104005 |
| Juni 2005 | 63C08887-00BE-4C9B-9EFC-4B9407EF0C4C |
| Juli 2005 | 2EEAB848-93EB-46AE-A3BF-9F1A55F54833 |
| August 2005 | 3752278B-57D3-4D44-8F30-A98F957EC3C8 |
| August 2005 A | 4066DA74-2DDE-4752-8186-101A7C543C5F |
| September 2005 | 33B662A4-4514-4581-8DD7-544021441C89 |
| Oktober 2005 | 08FFB7EB-5453-4563-A016-7DBC4FED4935 |
| November 2005 | 1F5BA617-240A-42FF-BE3B-14B88D004E43
|
| Dezember 2005 | F8FEC144-AA00-48B8-9910-C2AE9CCE014A |
| Januar 2006 | 250985ee-62e6-4560-b141-997fc6377fe2
|
| Februar 2006 | 99cb494b-98bf-4814-bff0-cf551ac8e205
|
| März 2006 | b5784f56-32ca-4756-a521-ca57816391ca |
| April 2006 | d0f3ea76-76c8-4287-8cdf-bdfee5e446ec |
| Mai 2006 | ce818d5b-8a25-47c0-a9cd-7169da3f9b99 |
| Juni 2006 | 7cf4b321-c0dd-42d9-afdf-edbb85e59767 |
| Juli 2006 | 5df61377-4916-440f-b23f-321933b0afd3 |
| August 2006 | 37949d24-63f1-4fdc-ad24-5dc3eb3ad265 |
| September 2006 | ac3fa517-20f0-4a42-95ca-6383f04773c8
|
| Oktober 2006 | 79e385d0-5d28-4743-aeb3-ed101c828abd
|
| November 2006 | 1d21fa19-c296-4020-a7c2-c5a9ba4f2356 |
| Dezember 2006 | 621498ca-889b-48ef-872b-84b519365c76 |
| Januar 2007 | 2F9BC264-1980-42b6-9EE3-2BE36088BB57 |
| Februar 2007 | FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE |
| März 2007 | 5ABA0A63-8B4C-4197-A6AB-A1035539234D |
| April 2007 | 57FA0F48-B94C-49ea-894B-10FDA39A7A64 |
| Mai 2007 | 15D8C246-6090-450f-8261-4BA8CA012D3C |
| Juni 2007 | 234C3382-3B87-41ca-98D1-277C2F5161CC |
| Juli 2007 | 4AD02E69-ACFE-475C-9106-8FB3D3695CF8 |
| August 2007 | 0CEFC17E-9325-4810-A979-159E53529F47 |
| September 2007 | A72DDD48-8356-4D06-A8E0-8D9C24A20A9A |
| Oktober 2007 | 52168AD3-127E-416C-B7F6-068D1254C3A4 |
| November 2007 | EFC91BC1-FD0D-42EE-AA86-62F59254147F
|
| Dezember 2007 | 73D860EC-4829-44DD-A064-2E36FCC21D40 |
| Januar 2008 | 330FCFD4-F1AA-41D3-B2DC-127E699EEF7D |
| Februar 2008 | 0E918EC4-EE5F-4118-866A-93f32EC73ED6 |
| März 2008 | 24A92A45-15B3-412D-9088-A3226987A476 |
| April 2008 | F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA |
| Mai 2008 | 0A1A070A-25AA-4482-85DD-DF69FF53DF37 |
| Juni 2008 | 0D9785CC-AEEC-49F7-81A8-07B225E890F1 |
| Juli 2008 | BC308029-4E38-4D89-85C0-8A04FC9AD976 |
| August 2008 | F3889559-68D7-4AFB-835E-E7A82E4CE818 |
F3. Wie kann ich die Infektionsberichterstattung des Tools deaktivieren, sodass der Bericht nicht an Microsoft gesendet wird?A3: Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.
Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1
Diese Funktionalität ist automatisch deaktiviert, wenn der folgende Registrierungsschlüssel vorhanden ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer
Dieser Registrierungswert weist darauf hin, dass der Computer mit einem SUS-Server verbunden ist.
F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei "Mrt.log" zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, diese Daten wiederzuerlangen?A4: Ab dem Release vom März 2005 wird die Datei "Mrt.log" als Unicode-Datei gespeichert. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei "Mrt.log" in eine neue Datei mit dem Namen "Mrt.log.old" (im Ordner "%WINDIR%\debug") kopiert und anschließend eine neue Unicode-Version der Datei "Mrt.log" erstellt. Wie bei der ANSI-Version werden bei der Unicode-Version die Einträge nach jeder Ausführung des Tools am Ende angehängt.
Zum Anfang
Help and Support
