Bereitstellung des Windows-Tools zum Entfernen bösartiger Software in Unternehmen

Gilt für: Windows 7 Enterprise NWindows 7 Home BasicWindows 7 Home Premium Mehr

Das Windows-Tool zum Entfernen bösartiger Software eignet sich für Betriebssysteme, die im Abschnitt „Gilt für“ aufgeführt sind. Andere Betriebssysteme, die nicht in der Liste erscheinen, wurden nicht getestet und werden somit auch nicht unterstützt. Die nicht unterstützten Systeme beinhalten alle Versionen bzw. Editions von Embedded-Betriebssystemen.

Einführung


Microsoft veröffentlicht das Windows-Tool zum Entfernen bösartiger Software (MSRT) in der Regel jeden Monat als Teil von Windows Update oder als eigenständiges Tool. Verwenden Sie dieses Tool, um bestimmte aktuelle Bedrohungen zu finden, zu entfernen und die von diesen verursachten Änderungen rückgängig zu machen (siehe abgedeckte Bedrohungen). Für die umfassende Erkennung und Entfernung von Schadsoftware können Sie auch den Microsoft Safety Scanner verwenden.

Das Tool ergänzt vorhandene Antischadsoftware-Lösungen und kann auf den meisten aktuellen Windows-Systemen verwendet werden (siehe Abschnitt „Eigenschaften“).

Die Informationen in diesem Artikel beziehen sich speziell auf die Bereitstellung des Tools in Unternehmen. Wir empfehlen Ihnen den folgenden Knowledge Base-Artikel, um weitere Informationen über das Tool zu erhalten:

Das Tool herunterladen


Bereitstellungs-Übersicht


Es kann in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:

  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS)-Softwarepaket
  • Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers
  • Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung

Die aktuelle Version dieses Tools unterstützt die folgenden Möglichkeiten zur Bereitstellung nicht:

  • Windows Update-Katalog
  • Ausführen des Tools auf einem Remotecomputer
  • Software Update Services (SUS)

Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen darüber, wie Sie die Ausführung des Tools als Teil der Bereitstellung überprüfen.

Codebeispiel


Das hier bereitgestellte Skript und die Schritte sind nur als Beispiele und Szenarios gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarios zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge ServerName (Servername) und ShareName (Freigabename) so ändern, dass sie dem Setup in Ihrer Umgebung entsprechen.

Der nachstehende Beispielcode bewirkt Folgendes:

  • Er führt das Tool im stillen Modus aus.
  • Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe.
  • Er stellt dem Namen der Protokolldatei den Namen des Computers, von dem aus das Tool ausgeführt wird, sowie den Benutzernamen des aktuellen Benutzers als Präfix voran.

    Hinweis Sie müssen gemäß den Anweisungen im Abschnitt Setup und Konfiguration entsprechende Berechtigungen für die Freigabe festlegen.
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.73.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Hinweis In diesem Beispielcode ist ServerName ein Platzhalter für den Namen Ihres Servers und ShareName ein Platzhalter für den Namen Ihrer Freigabe.

Setup und Konfiguration


Dieser Abschnitt richtet sich an Administratoren, die ein Start- oder Anmeldeskript zur Bereitstellung dieses Tools verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt „Bereitstellungsmethoden“ fortfahren.

Gehen Sie folgendermaßen vor, um Server und Freigabe zu konfigurieren:

  1. Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Benennen Sie anschließend die Freigabe.
    ShareName.
  2. Kopieren Sie das Tool und das Beispielskript „RunMRT.cmd“ zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode.
  3. Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:
    • Freigabeberechtigungen:
      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

      2. Entfernen Sie die Gruppe „Jeder“.

      3. Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe „Domänencomputer“ mit Berechtigungen für Ändern und Lesen hinzu.

      4. Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe „Authentifizierte Benutzer“ mit Berechtigungen für Ändern und Lesen hinzu.

    • NTFS-Berechtigungen:
      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
      2. Entfernen Sie die Gruppe „Jeder“, sofern in der Liste enthalten.

        Hinweis Wenn beim Entfernen der Gruppe „Jeder“ ein Fehler auftritt, klicken Sie auf der Registerkarte Sicherheit auf Erweitert und deaktivieren Sie das Kontrollkästchen Das übergeordnete Objekt hat keine erbbaren Berechtigungen, die an dieses Objekt weitergegeben werden können.
      3. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
      4. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
  4. Erstellen Sie einen Unterordner des Ordners ShareName mit dem Namen „Logs“.

    In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt.
  5. Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner „Logs“ zu konfigurieren.

    Hinweis Ändern Sie die Freigabeberechtigungen hier nicht.
    1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
    2. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.
    3. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.

Bereitstellungsmethoden


Hinweis Um dieses Tool ausführen zu können, müssen Sie unabhängig von der von Ihnen gewählten Bereitstellungsoption über Administratorrechte oder Systemberechtigungen verfügen.

Verwendung des SMS-Softwarepakets

Im folgenden Beispiel finden Sie schrittweise Anweisungen zur Verwendung von SMS 2003. Die Schritte zur Verwendung von SMS 2.0 sind diesen Schritten ähnlich.

  1. Extrahieren Sie die Datei „Mrt.exe“ aus dem Paket „Windows-KB890830-V1.34-DEU.exe /x“.
  2. Erstellen Sie eine BAT-Datei, um „Mrt.exe“ zu starten und den Rückgabecode mithilfe von „ISMIF32.exe“ aufzuzeichnen.

    Der folgende Code ist ein Beispiel.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”Goto end:end
    Weitere Informationen zu „Ismif32.exe“ finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    186415 Status-MIF-Ersteller, Ismif32.exe ist verfügbar
  3. Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:
    1. Öffnen Sie die SMS-Administratorkonsole.
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Pakete, klicken Sie dann auf
      Neu und anschließend auf Paket.

      Das
      Dialogfeld Paketeigenschaften wird angezeigt.
    3. Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen.
    4. Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien.
    5. Klicken Sie auf Festlegen, und wählen Sie dann ein Quellverzeichnis aus, in dem das Tool gespeichert ist.
    6. Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest.
    7. Wählen Sie auf der Registerkarte Berichterstattung die Option Diese Felder für MIF-Statusabstimmung verwenden aus, und geben Sie dann einen Namen für die Felder MIF-Dateiname und
      Name ein.

      Version und Herausgeber sind optional.
    8. Klicken Sie auf OK, um das Paket erstellen zu lassen.
  4. So geben Sie einen Verteilungspunkt für das Paket an:
    1. Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket.
    2. Erweitern Sie das Paket. Klicken Sie mit der rechten Maustaste auf Verteilungspunkte, zeigen Sie auf Neu, und klicken Sie dann auf Verteilungspunkte.
    3. Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus.
    4. Klicken Sie auf Fertigstellen, um den Assistenten zu beenden.
  5. So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:
    1. Klicken Sie unter dem Knoten des neuen Pakets auf den Knoten Programme.
    2. Klicken Sie mit der rechten Maustaste auf Programme, zeigen Sie auf
      Neu, und klicken Sie dann auf Programm.
    3. Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann einen gültigen Namen ein.
    4. Klicken Sie in der Befehlszeile auf
      Durchsuchen, um die Batchdatei auszuwählen, die Sie zum Starten von „Mrt.exe“ erstellt haben.
    5. Ändern Sie die Option Ausführen zu
      Versteckt. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich.
    6. Klicken Sie auf die Registerkarte Anforderungen, und wählen Sie dann die Option Dieses Programm kann nur auf den angegebenen Clientplattformen ausgeführt werden aus.
    7. Klicken Sie auf All x86 Windows XP.
    8. Klicken Sie auf die Registerkarte Umgebung, und klicken Sie dann
      in der Liste Programm kann ausgeführt werden auf Unabhängig von Benutzeranmeldung. Legen Sie den Modus Ausführen auf Mit Administratorrechten ausführen fest.
    9. Klicken Sie auf OK, um das Dialogfeld zu schließen.
  6. So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:
    1. Klicken Sie mit der rechten Maustaste auf den Knoten Ankündigung, klicken Sie auf Neu, und klicken Sie anschließend auf
      Ankündigung.
    2. Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Klicken Sie auf Durchsuchen und anschließend auf die Sammlung Alle Systeme, oder wählen Sie eine Sammlung von Computern aus, die nur Windows Vista und höhere Versionen beinhaltet.
    3. Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest.
    4. Setzen Sie die Priorität auf Hoch.
    5. Klicken Sie auf OK, um die Ankündigung erstellen zu lassen.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers

Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und der Anwendung der Gruppenrichtlinieneinstellung.

  1. Erstellen Sie die Freigaben. Befolgen Sie hierzu die Anweisungen im Abschnitt
    Setup und Konfiguration.
  2. Erstellen Sie das Startskript. Gehen Sie dazu wie folgt vor:
     
    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf
      Eigenschaften.
    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    3. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt (GPO) zu erstellen, und geben Sie MRT-Bereitstellung für den Namen der Richtlinie ein.
    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.
    5. Erweitern Sie Computerkonfiguration, erweitern Sie „Windows-Einstellungen“, und klicken Sie auf Skripts.
    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen.

      Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
    7. Geben Sie in das Feld Skriptname
      \\ServerName\ShareName\RunMRT.cmd.
    8. Klicken Sie auf OK und anschließend auf Übernehmen.
  3. Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung

Bei dieser Methode wird vorausgesetzt, dass es sich bei dem zur Anmeldung verwendeten Benutzerkonto um ein Domänenkonto und ein Mitglied der lokalen Administratorengruppe auf dem Clientcomputer handelt.

  1. Erstellen Sie die Freigaben. Befolgen Sie hierzu die Anweisungen im Abschnitt
    Setup und Konfiguration.
  2. Erstellen Sie das Anmeldeskript. Gehen Sie dazu wie folgt vor:
    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf
      Eigenschaften.
    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    3. Klicken Sie auf Neu, um ein neues GPO zu erstellen, und geben Sie MRT-Bereitstellung für den Namen der Richtlinie ein.
    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf
      Bearbeiten.
    5. Erweitern Sie Benutzerkonfiguration, erweitern Sie „Windows-Einstellungen“, und klicken Sie auf Skripts.
    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen. Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
    7. Geben Sie in das Feld Skriptname
      \\ServerName\ShareName\RunMRT.cmd.
    8. Klicken Sie auf OK und anschließend auf Übernehmen.
  3. Melden Sie sich bei den Clientcomputern ab und anschließend wieder an.

In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden. Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Weitere relevante Informationen für eine Unternehmensumgebung


Rückgabecodes überprüfen

Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.

Die folgende Liste enthält die gültigen Rückgabecodes.

0 = No infection found (Keine Infektion gefunden)
1 = OS Environment Error (Betriebssystemumgebungsfehler)
2 = Not running as an Administrator (Nicht als Administrator ausgeführt)
3 = Not a supported OS (Kein unterstütztes Betriebssystem)
4 = Error Initializing the scanner (Fehler bei der Initialisierung des Scanners). (Download a new copy of the tool) (Tool erneut herunterladen)
5 = Not used (Nicht verwendet)
6 = At least one infection detected. (Mindestens eine Infektion gefunden.) No errors. (Keine Fehler.)
7 = At least one infection was detected, but errors were encountered. (Mindestens eine Infektion gefunden, aber es sind Fehler aufgetreten)
8 = At least one infection was detected and removed, but manual steps are required for a complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich)
9 = At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich. Es wurden Fehler gefunden)
10 = At least one infection was detected and removed, but a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich)
11 = At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich. Es wurden Fehler gefunden)
12 = At least one infection was detected and removed, but both manual steps and a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch manuelle Schritte und ein Neustart erforderlich)
13 = At least one infection was detected and removed, but a reboot is required. (Mindestens eine Infektion gefunden und entfernt. Neustart erforderlich) No errors were encountered. (Keine Fehler gefunden)

Protokolldatei analysieren

Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei „%windir%\debug\mrt.log“.

Hinweise

  • Diese Protokolldatei ist nur in englischer Sprache verfügbar.
  • Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet.
  • Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.

    Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an.
  • Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln.
  • Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei „Mrt.log“ im Ordner „%windir%\debug“ und nennt die kopierten Dateien „Mrt.log.old“. Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt.

So sieht beispielsweise eine Mrt.log-Datei von einem Computer aus, der mit dem MPnTestFile-Wurm infiziert war:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  


So sieht beispielsweise eine Protokolldatei aus, wenn keine bösartige Software gefunden wurde.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 


So sieht beispielsweise eine Protokolldatei aus, wenn Fehler aufgetreten sind.


Weitere Informationen zu den von diesem Tool gemeldeten Warnungen und Fehlern finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Bekannte Probleme


Bekanntes Problem 1

Wenn Sie das Tool mithilfe des Startskripts ausführen, erhalten Sie möglicherweise Fehlermeldungen in der Datei „Mrt.log“ mit etwa folgendem Inhalt:
 

Fehler: MemScanGetImagePathFromPid(pid: 552) ist fehlgeschlagen.
0x00000005: Zugriff verweigert.


Hinweis
Die Prozesskennungen (PIDs) können variieren.

Diese Fehlermeldung wird ausgelöst, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Die einzige Auswirkung dieses Fehlers besteht darin, dass der durch die Prozesskennung bezeichnete Prozess nicht untersucht wurde.

Bekanntes Problem 2

Wenn der Administrator das Windows-Tool zum Entfernen bösartiger Software (MSRT) mit der Befehlszeilenoption /q (d. h. im stillen bzw. automatischen Modus) bereitstellt, wird die Bereinigung für eine kleine Gruppe von Infektionen in einigen seltenen Fällen nicht vollständig beseitigt, und zwar, wenn ein zusätzliches Bereinigen nach einem Neustart erforderlich ist. Dies wurde nur beim Entfernen bestimmter Rootkitvarianten festgestellt.

FAQ


F1. Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Woran liegt das?

A1: Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.

F2. Wie kann ich überprüfen, ob das Tool auf einem Clientcomputer ausgeführt wurde?

A2: Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dadurch wird eine mehrmalige Ausführung des Tools verhindert.

Unterschlüssel:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Name des Eintrags:
Version

Bei jeder Ausführung des Tools protokolliert es eine GUID in der Registrierung, um darauf hinzuweisen, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.

F3. Wie kann ich die Infektionsberichterstattung des Tools deaktivieren, sodass der Bericht nicht an Microsoft gesendet wird?

A3: Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.

Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1

F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei „Mrt.log“ zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, diese Daten wiederzuerlangen?

A4: Ab dem Release vom März 2005 wird die Datei „Mrt.log“ als Unicode-Datei gespeichert. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei „Mrt.log“ in eine neue Datei mit dem Namen „Mrt.log.old“ (im Ordner „%WINDIR%\debug“) kopiert und anschließend eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden bei der Unicode-Version die Einträge nach jeder Ausführung des Tools am Ende angehängt.