Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Das Tool zum Entfernen bösartiger Software von Windows (MSRT) ist für die Verwendung mit den Betriebssystemen vorgesehen, die im Abschnitt „Gilt für“ aufgeführt sind. Betriebssysteme, die nicht in der Liste enthalten sind, wurden nicht getestet und werden daher nicht unterstützt. Diese nicht unterstützten Betriebssysteme umfassen alle Versionen und Editionen eingebetteter Betriebssysteme.

Einführung

Microsoft veröffentlicht das MSRT in der Regel monatlich als Teil des Windows Updates oder als eigenständiges Tool. (Ausnahmen finden Sie unter Übersprungene Versionen.) Verwenden Sie dieses Tool, um bestimmte weit verbreitete Bedrohungen zu finden und zu entfernen und die vorgenommenen Änderungen rückgängig zu machen (siehe die Liste von „Abgedeckten Schadsoftwarefamilien“ im Abschnitt „Versionsinformationen“ von KB 890830). Für eine umfassende Erkennung und Entfernung von Schadsoftware sollten Sie Windows Defender Offline oder Microsoft Safety Scanner verwenden.

Dieses Tool funktioniert in komplementärer Weise mit vorhandenen Antischadsoftwarelösungen und kann für die meisten aktuellen Windows-Versionen verwendet werden.

Die in diesem Artikel enthaltenen Informationen beziehen sich speziell auf die Unternehmensbereitstellung des Tools. Es wird empfohlen, den folgenden Wissensdatenbank Artikel zu lesen, um weitere Informationen zum Tool zu finden:

890830 Entfernen bestimmter weit verbreiteter Schadsoftware mit dem Tool zum Entfernen bösartiger Software von Windows

Tool herunterladen

Sie können das MSRT manuell aus dem Microsoft Download Center herunterladen. Die folgende Dateien stehen zum Download zur Verfügung:

Für 32-Bit-x86-basierte Systeme:

Downloadsymbol Laden Sie das x86 MSRT-Paket jetzt herunter.


Für 64-Bit-x64-basierte Systeme:

Downloadsymbol Laden Sie das x64 MSRT-Paket jetzt herunter.

Bereitstellungsübersicht

Es kann in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:

  • Windows Server Update Services

  • Microsoft Systems Management Software (SMS)-Softwarepaket

  • Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers

  • Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung

Die aktuelle Version dieses Tools unterstützt die folgenden Möglichkeiten zur Bereitstellung nicht:

  • Windows Update-Katalog

  • Ausführen des Tools auf einem Remotecomputer

  • Software Update Services (SUS)

Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen darüber, wie Sie die Ausführung des Tools als Teil der Bereitstellung überprüfen.

Codebeispiel

Das hier bereitgestellte Skript und die Schritte sind nur als Beispiele und Szenarios gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarios zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge ServerName (Servername) und ShareName (Freigabename) so ändern, dass sie dem Setup in Ihrer Umgebung entsprechen.

Der nachstehende Beispielcode bewirkt Folgendes:

  • Er führt das Tool im stillen Modus aus.

  • Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe.

  • Präfixiert den Dateinamen des Protokolls mit dem Namen des Computers, von dem aus das Tool ausgeführt wird, und dem Benutzernamen des aktuellen Benutzers

    Hinweis Sie müssen die entsprechenden Berechtigungen für die Freigabe gemäß den Anweisungen im Abschnitt Ersteinrichtung und Konfiguration festlegen.

REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a 
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.123.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Hinweis In diesem Codebeispiel ist ServerName ein Platzhalter für den Namen Ihres Servers, und ShareName ist ein Platzhalter für den Namen Ihrer Freigabe.

Setup und Konfiguration

Dieser Abschnitt richtet sich an Administratoren, die ein Start- oder Anmeldeskript zur Bereitstellung dieses Tools verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt „Bereitstellungsmethoden“ fortfahren.

Gehen Sie folgendermaßen vor, um den Server und die Freigabe zu konfigurieren:

  1. Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Benennen Sie dann die Freigabe
    ShareName.

  2. Kopieren Sie das Tool und das Beispielskript „RunMRT.cmd“ zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode.

  3. Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:

    • Freigabeberechtigungen:

      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

      2. Entfernen Sie die Gruppe „Jeder“.

      3. Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe „Domänencomputer“ mit Berechtigungen für Ändern und Lesen hinzu.

      4. Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe „Authentifizierte Benutzer“ mit Berechtigungen für Ändern und Lesen hinzu.

    • NTFS-Berechtigungen:

      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

      2. Entfernen Sie die Gruppe "Jeder", wenn sie sich in der Liste befindet.

        Hinweis Wenn beim Entfernen der Gruppe „Jeder“ eine Fehlermeldung angezeigt wird, wählen Sie auf der Registerkarte Sicherheit die Option Erweitert aus, und deaktivieren Sie dann das Kontrollkästchen Vererbbare Berechtigungen vom übergeordneten Element zulassen, um an dieses Objekt weitergegeben zu werden.

      3. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.

      4. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.

  4. Erstellen Sie unter dem Ordner „ShareName“ einen Ordner mit dem Namen „Logs“.

    In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt.

  5. Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner „Logs“ zu konfigurieren.

    Hinweis Ändern Sie die Freigabeberechtigungen in diesem Schritt nicht.

    1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

    2. Wenn Sie die Computerstartskriptmethode verwenden, erteilen Sie der Gruppe "Domänencomputer" Berechtigungen zum Ändern, "Lesen & Ausführen", Berechtigungen für Listenordnerinhalte, Leseberechtigungen und Schreibberechtigungen.

    3. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.

Bereitstellungsmethoden

Hinweis Um dieses Tool ausführen zu können, müssen Sie über Administratorberechtigungen oder Systemberechtigungen verfügen, unabhängig von der von Ihnen ausgewählten Bereitstellungsoption.

Verwendung des SMS-Softwarepakets

Im folgenden Beispiel finden Sie schrittweise Anweisungen zur Verwendung von SMS 2003. Die Schritte zur Verwendung von SMS 2.0 sind diesen Schritten ähnlich.

  1. Extrahieren Sie die Datei „Mrt.exe“ aus dem Paket mit dem Namen „Windows-KB890830-V5.123.exe /x“.

  2. Erstellen Sie eine BAT-Datei, um „Mrt.exe“ zu starten und den Rückgabecode mithilfe von „ISMIF32.exe“ aufzuzeichnen.
                    
    Im Folgenden finden Sie ein Beispiel:

    @echo off
Start /wait Mrt.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12
Goto end

:error13
Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”
Goto end

:error12
Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”
Goto end

:end

    Weitere Informationen zu „Ismif32.exe“ finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    268791 Wie eine von der ISMIF32.exe Datei erstellte MIF-Datei (Status Management Information Format) in SMS 2.0 verarbeitet wird

    186415 Status MIF Creator, Ismif32.exe ist verfügbar

  3. Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:

    1. Öffnen Sie die SMS-Administratorkonsole.

    2. Wählen Sie mit der rechten Maustaste den Knoten Pakete aus, wählen Sie Neuund dann Paket aus.

      Das Dialogfeld Paketeigenschaften wird angezeigt.

    3. Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen.

    4. Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien.

    5. Wählen Sie Festlegen und dann ein Quellverzeichnis aus, das das Tool enthält.

    6. Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest.

    7. Wählen Sie auf der Registerkarte BerichterstellungDiese Felder für Status-MIF-Abgleich verwenden, und geben Sie dann einen Namen für das MIF-Dateinamenfeld und das Feld
      Name an.

      Version und Herausgeber sind optional.

    8. Wählen Sie OK, um das Paket zu erstellen.

  4. So geben Sie einen Verteilungspunkt für das Paket an:

    1. Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket.

    2. Erweitern Sie das Paket. Wählen Sie mit der rechten Maustaste Verteilungspunkteaus, zeigen Sie auf Neu, und wählen Sie dann Verteilungspunkte aus.

    3. Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus.

    4. Wählen Sie Fertig stellen aus, um den Assistenten zu beenden.

  5. So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:

    1. Wählen Sie unter dem neuen Paketknoten den Knoten Programme aus.

    2. Wählen Sie mit der rechten Maustaste Programme aus, zeigen Sie auf Neu, und wählen Sie dann Programm aus.

    3. Wählen Sie die Registerkarte Allgemein aus, und geben Sie dann einen gültigen Namen ein.

    4. Wählen Sie in der BefehlszeileDurchsuchen aus , um die Batchdatei auszuwählen, die Sie zum Starten von "Mrt.exe" erstellt haben.

    5. Ändern Sie Ausführen in Ausgeblendet. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich.

    6. Wählen Sie die Registerkarte Anforderungen und dann Dieses Programm kann nur unter bestimmten Clientbetriebssystemen ausgeführt werden.

    7. Wählen Sie Alle x86 Windows XP aus.

    8. Wählen Sie die Registerkarte Umgebung aus, und wählen Sie Ob ein Benutzer protokolliert wird in der Liste Programm kann ausgeführt werden aus. Legen Sie den Ausführungsmodus auf "Ausführen mit Administratorrechten" fest.

    9. Wählen Sie OK aus, um das Dialogfeld zu schließen.

  6. So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:

    1. Wählen Sie mit der rechten Maustaste den Knoten Anzeige aus, wählen Sie Neu und dann Anzeige aus.

    2. Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Wählen Sie Durchsuchenund dann die Sammlung Alle Systeme aus, oder wählen Sie eine Sammlung von Computern aus, die nur Windows Vista und höhere Versionen enthält.

    3. Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest.

    4. Setzen Sie die Priorität auf Hoch.

    5. Wählen Sie OK aus, um die Anzeige zu erstellen.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers

Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und der Anwendung der Gruppenrichtlinieneinstellung.

  1. Richten Sie die Freigaben ein. Führen Sie dazu die Schritte im Abschnitt Ersteinrichtung und Konfiguration aus.

  2. Richten Sie das Startskript ein. Gehen Sie hierzu wie folgt vor:

    1. Wählen Sie im Active Directory-Benutzer und -Computer MMC-Snap-In mit der rechten Maustaste den Domänennamen aus, und wählen Sie dann Eigenschaften aus.

    2. Wählen Sie die Registerkarte Gruppenrichtlinie aus.

    3. Wählen Sie Neu aus, um ein neues Gruppenrichtlinien-Objekt (GPO) zu erstellen, und geben Sie „MRT-Bereitstellung“ als Namen der Richtlinie ein.

    4. Wählen Sie die neue Richtlinie und dann Bearbeiten aus.

    5. Erweitern Sie die Windows-Einstellungen für die Computerkonfiguration, und wählen Sie dann Skripts aus.

    6. Doppeltippen Sie auf Anmelden, und wählen Sie dann Hinzufügen aus.

      Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.

    7. Geben Sie im Feld Skriptname \\ServerName\ShareName\RunMRT.cmd ein.

    8. Wählen Sie OK und dann Anwenden aus.

  3. Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung

Diese Methode erfordert, dass das Anmeldebenutzerkonto ein Domänenkonto ist und Mitglied der Gruppe des lokalen Administrators auf dem Clientcomputer ist.

  1. Richten Sie die Freigaben ein. Führen Sie dazu die Schritte im
    Abschnitt"Ersteinrichtung und Konfiguration" aus.

  2. Richten Sie das Anmeldeskript ein. Gehen Sie hierzu wie folgt vor:

    1. Wählen Sie im Active Directory-Benutzer und -Computer MMC-Snap-In mit der rechten Maustaste den Domänennamen aus, und wählen Sie dann Eigenschaften aus.

    2. Wählen Sie die Registerkarte Gruppenrichtlinie aus.

    3. Wählen Sie Neu aus, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie dann "MRT-Bereitstellung" als Namen ein.

    4. Wählen Sie die neue Richtlinie und dann Bearbeiten aus.

    5. Erweitern Sie die Windows-Einstellungen für die Benutzerkonfiguration, und wählen Sie dann Skripts aus.

    6. Doppeltippen Sie auf Anmelden, und wählen Sie dann Hinzufügen aus. Das Dialogfeld " Skript hinzufügen " wird angezeigt.

    7. Geben Sie im Feld Skriptname \\ServerName\ShareName\RunMRT.cmd ein.

    8. Wählen Sie OK und dann Anwenden aus.

  3. Melden Sie sich ab und dann bei den Clientcomputern an.

In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden. Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie im folgenden Artikel der Microsoft Knowledge Base:

198642 Überblick: Anmeldeskripts, Abmeldeskripts, Startskripts und Skripts zum Beenden in Windows 2000

322241 Zuweisen von Skripts in Windows 2000

Weitere relevante Informationen für eine Unternehmensumgebung

Rückgabecodes überprüfen

Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.

Die folgende Liste enthält die gültigen Rückgabecodes.

0

=

Keine Infektion gefunden

1

=

Betriebssystemumgebungsfehler

2

=

Wird nicht als Administrator ausgeführt

3

=

Kein unterstütztes Betriebssystem

4

=

Fehler beim Initialisieren des Scanners. (Laden Sie eine neue Kopie des Tools herunter)

5

=

Nicht verwendet

6

=

Es wurde mindestens eine Infektion festgestellt. Keine Fehler.

7

=

Es wurde mindestens eine Infektion festgestellt, aber es wurden Fehler festgestellt.

8

=

Es wurde mindestens eine Infektion erkannt und entfernt, aber für eine vollständige Entfernung sind manuelle Schritte erforderlich.

9

=

Es wurde mindestens eine Infektion erkannt und entfernt, aber für die vollständige Entfernung sind manuelle Schritte erforderlich, und es wurden Fehler gefunden.

10

=

Es wurde mindestens eine Infektion erkannt und entfernt, aber für die vollständige Entfernung ist ein Neustart erforderlich.

11

=

Es wurde mindestens eine Infektion erkannt und entfernt, aber für die vollständige Entfernung ist ein Neustart erforderlich, und es wurden Fehler gefunden.

12

=

Es wurde mindestens eine Infektion erkannt und entfernt, aber sowohl manuelle Schritte als auch ein Neustart sind für die vollständige Entfernung erforderlich.

13

=

Es wurde mindestens eine Infektion erkannt und entfernt, aber ein Neustart ist erforderlich. No errors were encountered. (Keine Fehler gefunden)

Protokolldatei analysieren

Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei „%windir%\debug\mrt.log“.

Hinweise

  • Diese Protokolldatei ist nur in englischer Sprache verfügbar.

  • Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet.

  • Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.

    Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an.

  • Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln.

  • Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei „Mrt.log“ im Ordner „%windir%\debug“ und nennt die kopierten Dateien „Mrt.log.old“. Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt.

So sieht beispielsweise eine Mrt.log-Datei von einem Computer aus, der mit dem MPnTestFile-Wurm infiziert war:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Tue Jul 30 23:34:49 2013


Quick Scan Results:
-------------------
Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed!
 Action: Remove, Result: 0x00000000
 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
 runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
 file://c:\temp\mpncleantest.exe
 SigSeq: 0x00002267735A46E2

Results Summary:
----------------
Found Virus:Win32/MPnTestFile.2004 and Removed!
Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013


Return code: 6 (0x6)


So sieht beispielsweise eine Protokolldatei aus, wenn keine Schadsoftware gefunden wurde.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Thu Aug 01 21:15:43 2013


Results Summary:
----------------
No infection found.
Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013


Return code: 0 (0x0)


So sieht beispielsweise eine Protokolldatei aus, wenn Fehler gefunden wurden.

Weitere Informationen zu den von diesem Tool gemeldeten Warnungen und Fehlern finden Sie im folgenden Artikel der Microsoft Knowledge Base:

891717 Informationen zur Problembehandlung beim Ausführen des Microsoft Windows-Tools zum Entfernen bösartiger Software Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Fri Aug 02 16:17:49 2013 Scan Results: ------------- Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Aktion: Säubern, Ergebnis: 0x8007065E. Bitte verwenden Sie ein vollständiges Antivirenprodukt! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z Results Summary: ---------------- Found Virus:Win32/MPTestFile.2004, partially removed. Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013 Return code: 7 (0x7)

Bekannte Probleme

Bekanntes Problem 1

Wenn Sie das Tool mithilfe des Startskripts ausführen, erhalten Sie möglicherweise Fehlermeldungen in der Datei „Mrt.log“ mit etwa folgendem Inhalt:
 

Fehler: MemScanGetImagePathFromPid(pid: 552) ist fehlgeschlagen.
0x00000005: Zugriff verweigert.


Hinweis Die Pid-Nummer variiert.

Diese Fehlermeldung tritt auf, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Der einzige Effekt besteht darin, dass der Prozess, der von der Pid festgelegt wird, nicht gescannt wird.

Bekanntes Problem 2

In einigen seltenen Fällen kann es vorkommen, dass die Bereinigung für eine kleine Teilmenge von Infektionen in Situationen, in denen nach einem Neustart eine zusätzliche Reinigung erforderlich ist, nicht vollständig behoben wird, wenn sich ein Administrator für die Bereitstellung des MSRT mithilfe des leisen Schalters /q (auch als stiller Modus bezeichnet) entscheidet. Dies wurde nur beim Entfernen bestimmter Rootkitvarianten festgestellt.

FAQ

F1. Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Warum?

A1. Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.

Q2. Wie kann ich überprüfen, ob das Entfernungstool auf einem Clientcomputer ausgeführt wurde?

A2. Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dieser Prozess verhindert, dass das Tool mehrmals ausgeführt wird.

Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Eintragsname: Version

Jedes Mal, wenn das Tool ausgeführt wird, zeichnet das Tool eine GUID in der Registrierung auf, um anzugeben, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.

ID

Titel

April 2024

BE1901A0-58F6-432C-BB01-F2575A20D3E4

März 2024

59D35913-97A6-4AB2-A2F6-97908773E5F2

Februar 2024

325DE823-70F1-4125-BC00-7CC18A11E00B

Januar 2024

738B258B-99BA-4C9A-8600-ED8A0BB1D024

November 2023

ABE6CED3-EAE8-4BBB-AE10-FB3F05CA9020

Oktober 2023

E71B9E2F-EB6A-40AD-94F1-19CAA0BB032A

September 2023

E51D9ECB-5D8F-4125-8AAA-38D8D92AA4C6

August 2023

DEE7C907-CBB0-4A09-99AE-9B8E34193ED6

Juli 2023

36FF48C4-BEC6-44C1-9B6C-82EE550BF050

Juni 2023

EF121ADE-1609-4DAF-9262-751D8ABBBDD0

Mai 2023

2513D400-AA6E-408E-BFC6-CC259D1EA45A

April 2023

1B7A18EE-2F25-43D3-980E-C5BE2D343DD3

März 2023

FE6388DE-6736-42AA-8D43-7B7739607D83

Februar 2023

0CE14838-EA74-4C87-AF4A-E9B482CCCCC2

Januar 2023

E98B6D0B-B951-4C25-98D0-B03D83CA8642

Dezember 2022

7F5C317E-E4A0-4D06-9292-8E7B0EABC82C

November 2022

F10637FE-89BF-4611-B8A5-CA565D55A2A6

Oktober 2022

CE7BF0F3-E664-422F-AA47-D5588871F45A

September 2022

64F1036F-24EB-4790-95FF-C8D8E6BF9A52

August 2022

6A18629D-500E-437F-B64B-394F5EE7416E

Juli 2022

BD5F3FC1-AE41-43E5-8775-ABA1EFA1BFDC

Juni 2022

C63E2630-F9C8-4FC2-8DD3-8F8FC504D228

Mai 2022

1E134355-080F-4C0A-AAEB-5D74350F734B

April 2022

2BC2E250-85C6-49C0-9BBC-5296D5ADE3E9

März 2022

528C99D1-D536-476A-97CC-AE56E360B841

Februar 2022

B5DDA3D9-48FA-4217-9F36-D9DC7FA91FD5

Januar 2022

A84F59DF-616B-4F7B-B64D-4F3C42C6E377

Dezember 2021

5C859D8A-C553-48AA-AEE0-68E0FB58FD6C

November 2021

F2DBB55A-EAF9-4F8D-BDD6-D2C15C5C6823

Oktober 2021

4E7B66E3-987E-4788-BBB3-A5030922FC8D

September 2021

2A9893F6-6CFA-4C4E-8CDC-F6C06E9ADAFD

August 2021

2B0ABF61-2643-4716-9B15-4813BC505DF4

Juli 2021

8AE004C7-42D7-4FEC-9ABE-48A7E4C1CBC8

Juni 2021

E3A0B6EE-FE26-44C1-96DB-2BFDB5BDB305

Mai 2021

8586F868-D88E-461F-8C9F-85D50FCBCC84

April 2021

439B1947-E9BC-40E0-883D-517613D95818

März 2021

3DC01EF0-0E9D-4D88-8BC7-A3F3801FAB49

Februar 2021

45EEFC65-BFCF-458A-8760-ECC7ACEC73A2

Januar 2021

0AAB5944-A7BC-4D17-9A3A-2FAB07286EE9

November 2020

F7A1FB98-0884-4986-884D-FFBEA881A2A1

September 2020

E0118D9B-6F80-4A16-92ED-A8EB4851C84C

Mai 2020

EFB903C3-1459-4C91-B79D-B7438E15C972

März 2020

71562B8C-C50D-4375-91F3-8EE0DD0EF7E3

Februar 2020

9CCD5E4F-11C8-4064-8C37-6D1BA8C1ED37

Januar 2020

38281425-A1C7-400F-AE79-EFE8C1E9E38F

Dezember 2019

6F46913B-8294-43FD-8AA8-46984911C881

November 2019

1ED49A70-3903-4C40-B575-93F3DD50B283

Oktober 2019

E63797FA-851A-4E25-8DA1-D453DD437525

August 2019

96F83121-A86A-497A-8B18-7F1BBAE6448D

Juli 2019

FCF0D56B-99A4-4A39-BAC8-2ED52EF10FEC

Juni 2019

10188A60-F140-42EF-984F-E4B3CA369BD1

Mai 2019

A8F12582-E642-4070-91E6-D6CF31796C0B

April 2019

7C55425A-FBE7-44D0-A226-6FF46F085EAF

März 2019

5DCD306C-136C-4C03-B0E4-3C1E78DE5A19

Februar 2019

3A57513A-D489-4B41-A40D-5ACD998F294A

Januar 2019

8F732BDE-182D-4A10-B8CE-0C538C878F87

Dezember 2018

FD672828-AC76-41B9-95E0-6F5859BDDB74

November 2018

F1E75593-4ACF-4C29-BD2D-0F495D7B8396

Oktober 2018

D84C2D59-B81F-4163-BC39-3CDDD8BB68BC

September 2018

18674908-417F-4139-A22C-F418420D2B7B

August 2018

6600605A-7534-41BF-B117-579EA0F5997D

Juli 2018

3A88B54D-626C-4DBE-BBB3-4EE0E666A730

Juni 2018

968E16D7-8605-4BA4-9BE5-86127A0FAC87

Mai 2018

02683B53-543A-4200-8D43-B69C3B3CE0E9

April 2018

62F357BA-9FC0-4CED-A90C-457D02B33DEE

März 2018

C43B8734-0004-446C-8F37-FD8AD3F3BCF0

Februar 2018

CED42968-8B11-4886-8477-8F22956192B0

Januar 2018

C6BD56EC-B2C1-4D20-B94D-234F8A9C5733

Dezember 2017

3D287184-25B3-4DDC-ADD3-A93C626CD7EB

November 2017

AAF1DA7A-77D4-4997-9C0C-38E0CFA6AB92

Oktober 2017

9209C00F-BD62-4CB8-9702-C4B9A4F8D560

September 2017

FE854017-795E-4685-95CE-3CCB1FFD743D

August 2017

1D3AE7A6-F7BA-4787-A240-284C46162AFA

Juli 2017

2A9D9E6C-14F4-4E84-B9B5-B307DDACA125

Juni 2017

28BE7B9C-E473-4A73-8770-83AB99A596F8

Mai 2017

E43CFF1D-46DB-4239-A583-3828BB9EB66C

April 2017

507CBE5F-7915-416A-9E0E-B18FEA08237D

März 2017

F83889D4-A24B-44AA-8E34-BCDD8912FAD7

Februar 2017

88E3BAB3-52CF-4B15-976E-0BE4CFA98AA8

Januar 2017

A5E600F5-A3CE-4C8E-8A14-D4133623CDC5

Dezember 2016

F6945BD2-D48B-4B07-A7FB-A55C4F98A324

November 2016

E36D6367-DF23-4D09-B5B1-1FC38109F29C

Oktober 2016

6AC744F7-F828-4CF8-A405-AA89845B2D98

September 2016

2168C094-1DFC-43A9-B58E-EB323313845B

August 2016

0F13F87E-603E-4964-A9B4-BF923FB27B5D

Juli 2016

34E69BB2-EFA0-4905-B7A9-EFBDBA61647B

Juni 2016

E6F49BC4-1AEA-4648-B235-1F2A069449BF

Mai 2016

156D44C7-D356-4303-B9D2-9B782FE4A304

April 2016

6F31010B-5919-41C2-94FB-E71E8EEE9C9A

März 2016

3AC662F4-BBD5-4771-B2A0-164912094D5D

Februar 2016

DD51B914-25C9-427C-BEC8-DA8BB2597585

Januar 2016

ED6134CC-62B9-4514-AC73-07401411E1BE

Dezember 2015

EE51DBB1-AE48-4F16-B239-F4EB7B2B5EED

November 2015

FFF3C6DF-56FD-4A28-AA12-E45C3937AB41

Oktober 2015

4C5E10AF-1307-4E66-A279-5877C605EEFB

September 2015

BC074C26-D04C-4625-A88C-862601491864

August 2015

74E954EF-6B77-4758-8483-4E0F4D0A73C7

Juli 2015

82835140-FC6B-4E05-A17F-A6B9C5D7F9C7

Juni 2015

20DEE2FA-9862-4C40-A1D4-1E13F1B9E8A7

Mai 2015

F8F85141-8E6C-4FED-8D4A-8CF72D6FBA21

April 2015

7AABE55A-B025-4688-99E9-8C66A2713025

März 2015

CEF02A7E-71DD-4391-9BF6-BF5DEE8E9173

Februar 2015

92D72885-37F5-42A2-B199-9DBBEF797448

Januar 2015

677022D4-7EC2-4F65-A906-10FD5BBCB34C

Dezember 2014

386A84B2-5559-41C1-AC7F-33E0D5DE0DF6

November 2014

7F08663E-6A54-4F86-A6B5-805ADDE50113

Oktober 2014

5612279E-542C-454D-87FE-92E7CBFDCF0F

September 2014

98CB657B-9051-439D-9A5D-8D4EDF851D94

August 2014

53B5DBC4-54C7-46E4-B056-C6F17947DBDC

Juli 2014

43E0374E-D98E-4266-AB02-AE415EC8E119

Juni 2014

07C5D15E-5547-4A58-A94D-5642040F60A2

Mai 2014

91EFE48B-7F85-4A74-9F33-26952DA55C80

April 2014

54788934-6031-4F7A-ACED-5D055175AF71

März 2014

?254C09FA-7763-4C39-8241-76517EF78744

Februar 2014

FC5CF920-B37A-457B-9AB9-36ECC218A003

Januar 2014

7BC20D37-A4C7-4B84-BA08-8EC32EBF781C

Dezember 2013

AFAFB7C5-798B-453D-891C-6765E4545CCC

November 2013

BA6D0F21-C17B-418A-8ADD-B18289A02461

Oktober 2013

21063288-61F8-4060-9629-9DBDD77E3242

September 2013

462BE659-C07A-433A-874F-2362F01E07EA

August 2013

B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8

Juli 2013

9326E352-E4F2-4BF7-AF54-3C06425F28A6

Juni 2013

4A25C1F5-EA3D-4840-8E14-692DD6A57508

Mai 2013

3DAA6951-E853-47E4-B288-257DCDE1A45A

April 2013

7A6917B5-082B-48BA-9DFC-9B7034906FDC

März 2013

147152D2-DFFC-4181-A837-11CB9211D091

Februar 2013

ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB

Januar 2013

A769BB72-28FC-43C7-BA14-2E44725FED20

Dezember 2012

AD64315C-1421-4A96-89F4-464124776078

November 2012

7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6

Oktober 2012

8C1ACB58-FEE7-4FF0-972C-A09A058667F8

September 2012

02A84536-D000-45FF-B71E-9203EFD2FE04

August 2012

C1156343-36C9-44FB-BED9-75151586227B

Juli 2012

3E9B6E28-8A74-4432-AD2A-46133BDED728

Juni 2012

4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384

Mai 2012

D0082A21-13E4-49F7-A31D-7F752F059DE9

April 2012

3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A

März 2012

84C44DD1-20C8-4542-A1AF-C3BA2A191E25

Februar 2012

23B13CB9-1784-4DD3-9504-7E58427307A7

Januar 2012

634F47CA-D7D7-448E-A7BE-0371D029EB32

Dezember 2011

79B9D6F6-2990-4C15-8914-7801AD90B4D7

November 2011

BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9

Oktober 2011

C0177BCC-8925-431B-AC98-9AC87B8E9699

September 2011

E775644E-B0FF-44FA-9F8B-F731E231B507

August 2011

F14DDEA8-3541-40C6-AAC7-5A0024C928A8

Juli 2011

3C009D0B-2C32-4635-9B34-FFA7F4CB42E7

Juni 2011

DDE7C7DD-E76A-4672-A166-159DA2110CE5

Mai 2011

852F70C7-9C9E-4093-9184-D89D5CE069F0

April 2011

0CB525D5-8593-436C-9EB0-68C6D549994D

März 2011

AF70C509-22C8-4369-AEC6-81AEB02A59B7

Februar 2011

B3458687-D7E4-4068-8A57-3028D15A7408

Januar 2011

258FD3CF-9C82-4112-B1B0-18EC1ECFED37

Dezember 2010

4E28B496-DD95-4300-82A6-53809E0F9CDA

November 2010

5800D663-13EA-457C-8CFD-632149D0AEDD

Oktober 2010

32F1A453-65D6-41F0-A36F-D9837A868534

September 2010

0916C369-02A8-4C3D-9AD0-E72AF7C46025

August 2010

E39537F7-D4B8-4042-930C-191A2EF18C73

Juli 2010

A1A3C5AF-108A-45FD-ABEC-5B75DF31736D

Juni 2010

308738D5-18B0-4CB8-95FD-CDD9A5F49B62

Mai 2010

18C7629E-5F96-4BA8-A2C8-31810A54F5B8

April 2010

D4232D7D-0DB6-4E8B-AD19-456E8D286D67

März 2010

076DF31D-E151-4CC3-8E0A-7A21E35CF679

Februar 2010

76D836AA-5D94-4374-BCBF-17F825177898

Januar 2010

ED3205FC-FC48-4A39-9FBD-B0035979DDFF

Dezember 2009

A9A7C96D-908E-413C-A540-C43C47941BE4

November 2009

78070A38-A2A9-44CE-BAB1-304D4BA06F49

Oktober 2009

4C64200A-6786-490B-9A0C-DEF64AA03934

September 2009

B279661B-5861-4315-ABE9-92A3E26C1FF4

August 2009

91590177-69E5-4651-854D-9C95935867CE

Juli 2009

F530D09B-F688-43D1-A3D5-49DC1A8C9AF0

Juni 2009

8BD71447-AAE4-4B46-B652-484001424290

Mai 2009

AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96

April 2009

276F1693-D132-44EF-911B-3327198F838B

März 2009

BDEB63D0-4CEC-4D5B-A360-FB1985418E61

Februar 2009

C5E3D402-61D9-4DDF-A8F5-0685FA165CE8

Januar 2009

2B730A83-F3A6-44F5-83FF-D9F51AF84EA0

Dezember 2008

9BF57AAA-6CE6-4FC4-AEC7-1B288F067467

November 2008

F036AE17-CD74-4FA5-81FC-4FA4EC826837

Oktober 2008

131437DE-87D3-4801-96F0-A2CB7EB98572

September 2008

7974CF06-BE58-43D5-B635-974BD92029E2

August 2008

F3889559-68D7-4AFB-835E-E7A82E4CE818

Juli 2008

BC308029-4E38-4D89-85C0-8A04FC9AD976

Juni 2008

0D9785CC-AEEC-49F7-81A8-07B225E890F1

Mai 2008

0A1A070A-25AA-4482-85DD-DF69FF53DF37

April 2008

F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA

März 2008

24A92A45-15B3-412D-9088-A3226987A476

Februar 2008

0E918EC4-EE5F-4118-866A-93f32EC73ED6

Januar 2008

330FCFD4-F1AA-41D3-B2DC-127E699EEF7D

Dezember 2007

73D860EC-4829-44DD-A064-2E36FCC21D40

November 2007

EFC91BC1-FD0D-42EE-AA86-62F59254147F

Oktober 2007

52168AD3-127E-416C-B7F6-068D1254C3A4

September 2007

A72DDD48-8356-4D06-A8E0-8D9C24A20A9A

August 2007

0CEFC17E-9325-4810-A979-159E53529F47

Juli 2007

4AD02E69-ACFE-475C-9106-8FB3D3695CF8

Juni 2007

234C3382-3B87-41ca-98D1-277C2F5161CC

Mai 2007

15D8C246-6090-450f-8261-4BA8CA012D3C

April 2007

57FA0F48-B94C-49ea-894B-10FDA39A7A64

März 2007

5ABA0A63-8B4C-4197-A6AB-A1035539234D

Februar 2007

FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE

Januar 2007

2F9BC264-1980-42b6-9EE3-2BE36088BB57

Dezember 2006

621498ca-889b-48ef-872b-84b519365c76

November 2006

1d21fa19-c296-4020-a7c2-c5a9ba4f2356

Oktober 2006

79e385d0-5d28-4743-aeb3-ed101c828abd

September 2006

ac3fa517-20f0-4a42-95ca-6383f04773c8

August 2006

37949d24-63f1-4fdc-ad24-5dc3eb3ad265

Juli 2006

5df61377-4916-440f-b23f-321933b0afd3

Juni 2006

7cf4b321-c0dd-42d9-afdf-edbb85e59767

Mai 2006

ce818d5b-8a25-47c0-a9cd-7169da3f9b99

April 2006

d0f3ea76-76c8-4287-8cdf-bdfee5e446ec

März 2006

b5784f56-32ca-4756-a521-ca57816391ca

Februar 2006

99cb494b-98bf-4814-bff0-cf551ac8e205

Januar 2006

250985ee-62e6-4560-b141-997fc6377fe2

Dezember 2005

F8FEC144-AA00-48B8-9910-C2AE9CCE014A

November 2005

1F5BA617-240A-42FF-BE3B-14B88D004E43

Oktober 2005

08FFB7EB-5453-4563-A016-7DBC4FED4935

September 2005

33B662A4-4514-4581-8DD7-544021441C89

August 2005 A

4066DA74-2DDE-4752-8186-101A7C543C5F

August 2005

3752278B-57D3-4D44-8F30-A98F957EC3C8

Juli 2005

2EEAB848-93EB-46AE-A3BF-9F1A55F54833

Juni 2005

63C08887-00BE-4C9B-9EFC-4B9407EF0C4C

Mai 2005

08112F4F-11BF-4129-A90A-9C8DD0104005

April 2005

D89EBFD1-262C-4990-9927-5185FED1F261

März 2005

F8327EEF-52AA-439A-9950-CE33CF0D4FDD

Februar 2005

805647C6-E5ED-4F07-9E21-327592D40E83

Januar 2005

E5DD9936-C147-4CD1-86D3-FED80FAADA6C


Q3. Wie kann ich die Infektionsberichterstattungskomponente des Tools deaktivieren, damit der Bericht nicht an Microsoft zurückgesendet wird?

A3. Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.

Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1

F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei „Mrt.log“ zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, sie abzurufen?

A4. Ab dem Release vom März 2005 wird die Mrt.log-Datei als Unicode-Datei geschrieben. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei „Mrt.log“ in eine neue Datei mit dem Namen „Mrt.log.old“ (im Ordner „%WINDIR%\debug“) kopiert und anschließend eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie die ANSI-Version wird diese Unicode-Version bei jeder aufeinander folgenden Ausführung des Tools angefügt.

Übersprungene Versionen

In den folgenden Monaten wurde kein MSRT-Update veröffentlicht:

  • Dezember 2023

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×