Artikel-ID: 891716 - Geändert am: Dienstag, 10. November 2009 - Version: 60.0

Bereitstellung des Microsoft Windows-Tools zum Entfernen bösartiger Software in einer Unternehmensumgebung

Produkte anzeigen, auf die sich dieser Artikel bezieht
Das Microsoft Windows-Tool zum Entfernen bösartiger Software eignet sich für die Verwendung mit den in diesem Artikel aufgelisteten Betriebssystemen. Andere Betriebssysteme, die nicht in der Liste erscheinen, wurden nicht getestet und werden somit auch nicht unterstützt. Die nicht unterstützten Systeme beinhalten alle Versionen bzw. Editions von Embedded-Betriebssystemen.

Auf dieser Seite

Alles erweitern | Alles schließen

Einführung

Microsoft hat das Windows-Tool zum Entfernen bösartiger Software freigegeben, um Sie beim Entfernen derartiger, weit verbreiteter Software von Computern zu unterstützen.

Die Informationen in diesem Artikel beziehen sich ausschließlich auf die Bereitstellung dieses Tools in einer Unternehmensumgebung. Es wird dringend empfohlen, auch den folgenden Artikel in der Microsoft Knowledge Base zu lesen. Der Artikel enthält allgemeine Informationen zu diesem Tool und dessen Download.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830  (http://support.microsoft.com/kb/890830/ ) Das Microsoft Windows-Tool zum Entfernen bösartiger Software unterstützt das Entfernen spezifischer, weit verbreiteter bösartiger Software von Computern mit Windows Vista, Windows Server 2003, Windows Server 2008, Windows XP oder Windows 2000.
Das Tool wurde primär für nicht in einer Unternehmensumgebung tätige Benutzer entwickelt, auf deren System kein aktuelles Antivirenprogramm installiert ist. Es kann jedoch auch in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:
  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS)-Softwarepaket
  • Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers
  • Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung
Weitere Informationen zur Bereitstellung des Tools mithilfe der Features "Windows Update" oder "Automatische Updates" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830  (http://support.microsoft.com/kb/890830/ ) Das Microsoft Windows-Tool zum Entfernen bösartiger Software unterstützt das Entfernen spezifischer, weit verbreiteter bösartiger Software von Computern mit Windows Vista, Windows Server 2003, Windows Server 2008, Windows XP oder Windows 2000.
Die aktuelle Version dieses Tools unterstützt die folgenden Möglichkeiten zur Bereitstellung nicht:
  • Windows Update-Katalog
  • Ausführen des Tools auf einem Remotecomputer
  • Software Update Services (SUS)
Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen dazu, wie Sie bereits im Rahmen der Bereitstellung überprüfen können, ob dieses Tool ausgeführt wird.
Zum Anfang

Beispielcode

Die hier beschriebenen Skripts und Schritte sind nur als Muster mit Beispielcharakter gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarien zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge ServerName (Servername) und ShareName (Freigabename) so ändern, dass sie dem Setup in Ihrer Umgebung entsprechen.

Der nachstehende Beispielcode bewirkt Folgendes:
  • Er führt das Tool im stillen Modus aus.
  • Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe.
  • Er stellt dem Namen der Protokolldatei den Namen des Computers, von dem aus das Tool ausgeführt wird, sowie den Benutzernamen des aktuell angemeldeten Benutzers als Präfix voran. Sie müssen gemäß den Anweisungen im Abschnitt Setup und Konfiguration entsprechende Berechtigungen für die Freigabe festlegen.
REM In diesem Beispiel heißt das Skript "RunMRT.cmd".
REM Das Dienstprogramm "Sleep.exe" wird verwendet, um die Ausführung des Tools zu verzögern, wenn es als
REM-Startskript verwendet wird. Weitere Informationen finden Sie im Abschnitt "Bekannte Probleme".
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V3.1.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
Hinweis: In diesem Beispielcode ist ServerName ein Platzhalter für den Namen Ihres Servers und ShareName ein Platzhalter für den Namen Ihrer Freigabe.
Zum Anfang

Setup und Konfiguration

Die Informationen in diesem Abschnitt sind für Administratoren gedacht, die für die Bereitstellung dieses Tools ein Anmelde- oder Startskript verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt "Bereitstellungsmethoden" fortfahren.

Gehen Sie folgendermaßen vor, um Server und Freigabe zu konfigurieren:
  1. Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Geben Sie der Freigabe Ihren Freigabenamen.
  2. Kopieren Sie das Tool und das Beispielskript "RunMRT.cmd" zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode.
  3. Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:
    • Freigabeberechtigungen:
      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
      2. Entfernen Sie die Gruppe "Jeder".
      3. Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe "Domänencomputer" mit Berechtigungen für Ändern und Lesen hinzu.
      4. Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe "Authentifizierte Benutzer" mit Berechtigungen für Ändern und Lesen hinzu.
    • NTFS-Berechtigungen:
      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
      2. Entfernen Sie die Gruppe "Jeder", sofern in der Liste enthalten.

        Hinweis Wenn beim Entfernen der Gruppe "Jeder" ein Fehler auftritt, klicken Sie auf der Registerkarte Sicherheit auf Erweitert, und deaktivieren Sie das Kontrollkästchen Das übergeordnete Objekt hat keine erbbaren Berechtigungen, die an dieses Objekt weitergegeben werden können.
      3. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe "Domänencomputer" die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
      4. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe "Authentifizierte Benutzer" die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
  4. Erstellen Sie einen Unterordner des Ordners "ShareName" mit dem Namen "Logs".

    In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt.
  5. Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner "Logs" zu konfigurieren.

    Hinweis Ändern Sie die Freigabeberechtigungen hier nicht.
    1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
    2. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe "Domänencomputer" die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.
    3. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe "Authentifizierte Benutzer" die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.
Zum Anfang

Bereitstellungsmethoden

Hinweis: Unabhängig von der gewählten Bereitstellungsmethode müssen Sie über Administrator- oder Systemberechtigungen verfügen, um dieses Tool ausführen zu können.

Verwendung des SMS-Softwarepakets

Das folgende Beispiel beinhaltet in einzelne Schritte unterteilte Anweisungen für die Verwendung von SMS 2003. Die Schritte für SMS 2.0 sind diesen Schritten sehr ähnlich.
  1. Extrahieren Sie die Datei "Mrt.exe" aus dem Paket "Windows-KB890830-V1.34-DEU.exe /x".
  2. Erstellen Sie eine BAT-Datei, um "Mrt.exe" zu starten und den Rückgabecode mithilfe von "ISMIF32.exe" aufzuzeichnen.

    Der folgende Code ist ein Beispiel.
    @echo off
Mrt.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12
Goto end

:error13
Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?Text zu Fehler 13?
Goto end

:error12
Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?Text zu Fehler 12?
Goto end

:end
    Weitere Informationen zu "Ismif32.exe" finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
    268791  (http://support.microsoft.com/kb/268791/ ) Verarbeitung einer von der Datei "ISMIF32.exe" generierten MIF-Statusdatei (Management Information Format) in SMS 2.0 (englisch)
    186415  (http://support.microsoft.com/kb/186415/ ) Status-MIF-Ersteller, Ismif32.exe ist verfügbar (englisch)
  3. Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:
    1. Öffnen Sie die SMS-Administratorkonsole.
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Pakete, klicken Sie auf Neu, und klicken Sie anschließend auf Paket.

      Das Dialogfeld Paketeigenschaften wird angezeigt.
    3. Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen.
    4. Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien.
    5. Klicken Sie auf Festlegen, und wählen Sie dann ein Quellverzeichnis aus, in dem das Tool gespeichert ist.
    6. Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest.
    7. Wählen Sie auf der Registerkarte Berichterstattung die Option Diese Felder für MIF-Statusabstimmung verwenden aus, und geben Sie dann einen Namen für die Felder MIF-Dateiname und Name ein.

      Version und Herausgeber sind optional.
    8. Klicken Sie auf OK, um das Paket erstellen zu lassen.
  4. So geben Sie einen Verteilungspunkt für das Paket an:
    1. Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket.
    2. Erweitern Sie das Paket. Klicken Sie mit der rechten Maustaste auf Verteilungspunkte, zeigen Sie auf Neu, und klicken Sie dann auf Verteilungspunkte.
    3. Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus.
    4. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.
  5. So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:
    1. Klicken Sie unter dem Knoten des neuen Pakets auf den Knoten Programme.
    2. Klicken Sie mit der rechten Maustaste auf Programme, zeigen Sie auf Neu, und klicken Sie dann auf Programm.
    3. Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann einen gültigen Namen ein.
    4. Klicken Sie in der Befehlszeile auf Durchsuchen, um die Batchdatei auszuwählen, die Sie zum Starten von "Mrt.exe" erstellt haben.
    5. Ändern Sie die Option Ausführen zu Versteckt. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich.
    6. Klicken Sie auf die Registerkarte Anforderungen, und wählen Sie dann die Option Dieses Programm kann nur auf den angegebenen Clientplattformen ausgeführt werden aus.
    7. Aktivieren Sie die Kontrollkästchen Alle x86 Windows 2000, Alle x86 Windows Server 2003 und Alle x86 Windows XP.
    8. Klicken Sie auf die Registerkarte Umgebung, klicken Sie in der Liste Programm kann ausgeführt werden auf Unabhängig von Benutzeranmeldung. Legen Sie als Ausführungsmodus Mit Administratorrechten ausführen fest.
    9. Klicken Sie auf OK, um das Dialogfeld zu schließen.
  6. So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:
    1. Klicken Sie mit der rechten Maustaste auf den Knoten Ankündigung, klicken Sie auf Neu, und klicken Sie anschließend auf Ankündigung.
    2. Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Klicken Sie auf Durchsuchen, und klicken Sie dann auf die Sammlung Alle Systeme (oder auf eine Sammlung, die nur Microsoft Windows 2000 und höhere Versionen beinhaltet).
    3. Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest.
    4. Setzen Sie die Priorität auf Hoch.
    5. Klicken Sie auf OK, um die Ankündigung erstellen zu lassen.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers

Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und der Anwendung der Gruppenrichtlinieneinstellung.
  1. Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt Setup und Konfiguration durch.
  2. Erstellen Sie das Startskript. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    3. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie der Richtlinie den Namen MRT-Bereitstellung.
    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.
    5. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, und klicken Sie auf Skripts.
    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen.

      Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
    7. In das Feld Skriptname geben Sie \\Servername\Freigabename\RunMRT.cmd ein.
    8. Klicken Sie auf OK und anschließend auf Übernehmen.
  3. Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung

Bei dieser Methode wird vorausgesetzt, dass es sich bei dem zur Anmeldung verwendeten Benutzerkonto um ein Domänenkonto und ein Mitglied der lokalen Administratorengruppe auf dem Clientcomputer handelt.
  1. Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt Setup und Konfiguration durch.
  2. Erstellen Sie das Anmeldeskript. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    3. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie diesem den Namen MRT-Bereitstellung.
    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.
    5. Erweitern Sie Benutzerkonfiguration, erweitern Sie Windows-Einstellungen, und klicken Sie auf Skripts.
    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen. Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
    7. In das Feld Skriptname geben Sie \\Servername\Freigabename\RunMRT.cmd ein.
    8. Klicken Sie auf OK und anschließend auf Übernehmen.
  3. Melden Sie sich bei den Clientcomputern ab und anschließend wieder an.
In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden. Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
198642  (http://support.microsoft.com/kb/198642/ ) Überblick: Anmeldeskripts, Abmeldeskripts, Startskripts und Skripts zum Beenden in Windows 2000
322241  (http://support.microsoft.com/kb/322241/ ) SO WIRD'S GEMACHT: Zuweisen von Skripts in Windows 2000
Zum Anfang

Weitere relevante Informationen für eine Unternehmensumgebung

Rückgabecodes überprüfen

Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.

Die folgende Liste enthält die gültigen Rückgabecodes.
Tabelle minimierenTabelle vergrößern
0=No infection found (Keine Infektion gefunden)
1=OS Environment Error (Betriebssystemumgebungsfehler)
2=Not running as an Administrator (Nicht als Administrator ausgeführt)
3=Not a supported OS (Kein unterstütztes Betriebssystem)
4=Error Initializing the scanner (Fehler bei der Initialisierung des Scanners). (Download a new copy of the tool) (Tool erneut herunterladen)
5=Not used (Nicht verwendet)
6=At least one infection detected. No errors. (Mindestens eine Infektion gefunden. Keine Fehler.)
7=At least one infection was detected, but errors were encountered. (Mindestens eine Infektion gefunden, aber es sind Fehler aufgetreten)
8=At least one infection was detected and removed, but manual steps are required for a complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich)
9=At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich. Es wurden Fehler gefunden)
10=At least one infection was detected and removed, but a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich)
11=At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich. Es wurden Fehler gefunden)
12=At least one infection was detected and removed, but both manual steps and a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch manuelle Schritte und ein Neustart erforderlich)
13=At least one infection was detected and removed, but a reboot is required. (Mindestens eine Infektion gefunden und entfernt. Neustart erforderlich) No errors were encountered. (Keine Fehler gefunden)

Analysieren der Protokolldatei

Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei "%windir%\debug\mrt.log".

Hinweise
  • Diese Protokolldatei ist nur in englischer Sprache verfügbar.
  • Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet.
  • Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.

    Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an.
  • Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln.
  • Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei "Mrt.log" im Ordner "%windir%\debug" und nennt die kopierten Dateien "Mrt.log.old". Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei "Mrt.log" erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt.
Die folgende Beispieldatei "Mrt.log" stammt von einem Computer, der mit dem Wurm "Sasser.A" infiziert war:
Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

So sieht beispielsweise eine Protokolldatei aus, wenn keine bösartige Software gefunden wurde.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary: ---------------- No infection found.
 
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

So sieht beispielsweise eine Protokolldatei aus, wenn Fehler aufgetreten sind.

Weitere Informationen zu den gemeldeten Warnungen und Fehlern von diesem Tool finden Sie im folgenden Artikel der Microsoft Knowledge Base:
891717  (http://support.microsoft.com/kb/891717/ ) Fehlermeldung beim Ausführen des Microsoft Windows-Tools zum Entfernen bösartiger Software
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary: ---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted. Found Win32/HLLW.Gaobot.ZF, partially removed.
Zum Anfang

Bekannte Probleme

Wenn Sie das Tool mithilfe des Startskripts ausführen, erhalten Sie möglicherweise Fehlermeldungen in der Datei "Mrt.log" mit etwa folgendem Inhalt:
Fehler: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Access is denied.
Hinweis Die Prozesskennungen (PIDs) können variieren.

Diese Fehlermeldung wird ausgelöst, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Die einzige Auswirkung dieses Fehlers besteht darin, dass der durch die Prozesskennung bezeichnete Prozess nicht untersucht wurde.

Verwenden Sie das Plattform-SDK-Dienstprogramm "Sleep.exe", um im Startskript eine Verzögerung von fünf Sekunden vor Ausführung des Tools festzulegen und so das Problem zu umgehen. Betrachten Sie dazu das vorstehende Beispielskript. Durch diese Verzögerung können sich Prozesse auf dem Computer nach dem Startvorgang zunächst stabilisieren.
Zum Anfang

Häufig gestellte Fragen

F1: Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Woran liegt das?

A1: Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.

F2. Wie kann ich überprüfen, ob das Tool auf einem Clientcomputer ausgeführt wurde?

A2: Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dadurch wird eine mehrmalige Ausführung des Tools verhindert.
Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Name des Eintrags: Version
Bei jeder Ausführung des Tools protokolliert es eine GUID in der Registrierung, um darauf hinzuweisen, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.
Tabelle minimierenTabelle vergrößern
VersionWert
Januar 2005E5DD9936-C147-4CD1-86D3-FED80FAADA6C
Februar 2005 805647C6-E5ED-4F07-9E21-327592D40E83
März 2005F8327EEF-52AA-439A-9950-CE33CF0D4FDD
April 2005D89EBFD1-262C-4990-9927-5185FED1F261
Mai 200508112F4F-11BF-4129-A90A-9C8DD0104005
Juni 200563C08887-00BE-4C9B-9EFC-4B9407EF0C4C
Juli 20052EEAB848-93EB-46AE-A3BF-9F1A55F54833
August 20053752278B-57D3-4D44-8F30-A98F957EC3C8
August 2005 A4066DA74-2DDE-4752-8186-101A7C543C5F
September 200533B662A4-4514-4581-8DD7-544021441C89
Oktober 200508FFB7EB-5453-4563-A016-7DBC4FED4935
November 20051F5BA617-240A-42FF-BE3B-14B88D004E43
Dezember 2005F8FEC144-AA00-48B8-9910-C2AE9CCE014A
Januar 2006250985ee-62e6-4560-b141-997fc6377fe2
Februar 200699cb494b-98bf-4814-bff0-cf551ac8e205
März 2006b5784f56-32ca-4756-a521-ca57816391ca
April 2006d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
Mai 2006ce818d5b-8a25-47c0-a9cd-7169da3f9b99
Juni 20067cf4b321-c0dd-42d9-afdf-edbb85e59767
Juli 20065df61377-4916-440f-b23f-321933b0afd3
August 200637949d24-63f1-4fdc-ad24-5dc3eb3ad265
September 2006ac3fa517-20f0-4a42-95ca-6383f04773c8
Oktober 200679e385d0-5d28-4743-aeb3-ed101c828abd
November 20061d21fa19-c296-4020-a7c2-c5a9ba4f2356
Dezember 2006621498ca-889b-48ef-872b-84b519365c76
Januar 20072F9BC264-1980-42b6-9EE3-2BE36088BB57
Februar 2007FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
März 20075ABA0A63-8B4C-4197-A6AB-A1035539234D
April 200757FA0F48-B94C-49ea-894B-10FDA39A7A64
Mai 200715D8C246-6090-450f-8261-4BA8CA012D3C
Juni 2007234C3382-3B87-41ca-98D1-277C2F5161CC
Juli 20074AD02E69-ACFE-475C-9106-8FB3D3695CF8
August 20070CEFC17E-9325-4810-A979-159E53529F47
September 2007A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
Oktober 200752168AD3-127E-416C-B7F6-068D1254C3A4
November 2007EFC91BC1-FD0D-42EE-AA86-62F59254147F
Dezember 200773D860EC-4829-44DD-A064-2E36FCC21D40
Januar 2008330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
Februar 20080E918EC4-EE5F-4118-866A-93f32EC73ED6
März 200824A92A45-15B3-412D-9088-A3226987A476
April 2008F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
Mai 20080A1A070A-25AA-4482-85DD-DF69FF53DF37
Juni 20080D9785CC-AEEC-49F7-81A8-07B225E890F1
Juli 2008BC308029-4E38-4D89-85C0-8A04FC9AD976
August 2008F3889559-68D7-4AFB-835E-E7A82E4CE818
September 20087974CF06-BE58-43D5-B635-974BD92029E2
Oktober 2008131437DE-87D3-4801-96F0-A2CB7EB98572
November 2008F036AE17-CD74-4FA5-81FC-4FA4EC826837
Dezember 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Dezember 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Januar 20092B730A83-F3A6-44F5-83FF-D9F51AF84EA0
Februar 2009C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
März 2009BDEB63D0-4CEC-4D5B-A360-FB1985418E61
April 2009276F1693-D132-44EF-911B-3327198F838B
Mai 2009AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
Juni 20098BD71447-AAE4-4B46-B652-484001424290
Juli 2009F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
August 200991590177-69E5-4651-854D-9C95935867CE
September 2009B279661B-5861-4315-ABE9-92A3E26C1FF4
Oktober 20094C64200A-6786-490B-9A0C-DEF64AA03934
November 200978070A38-A2A9-44CE-BAB1-304D4BA06F49
F3. Wie kann ich die Infektionsberichterstattung des Tools deaktivieren, sodass der Bericht nicht an Microsoft gesendet wird?

A3: Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.
Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1
Diese Funktionalität ist automatisch deaktiviert, wenn der folgende Registrierungsschlüssel vorhanden ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer
Dieser Registrierungswert weist darauf hin, dass der Computer mit einem SUS-Server verbunden ist.

F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei "Mrt.log" zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, diese Daten wiederzuerlangen?

A4: Ab dem Release vom März 2005 wird die Datei "Mrt.log" als Unicode-Datei gespeichert. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei "Mrt.log" in eine neue Datei mit dem Namen "Mrt.log.old" (im Ordner "%WINDIR%\debug") kopiert und anschließend eine neue Unicode-Version der Datei "Mrt.log" erstellt. Wie bei der ANSI-Version werden bei der Unicode-Version die Einträge nach jeder Ausführung des Tools am Ende angehängt.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Zum Anfang
Keywords: 
kbinfo KB891716
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN