Das Windows-Tool zum Entfernen bösartiger Software eignet sich für Betriebssysteme, die im Abschnitt „Gilt für“ aufgeführt sind. Andere Betriebssysteme, die nicht in der Liste erscheinen, wurden nicht getestet und werden somit auch nicht unterstützt. Die nicht unterstützten Systeme beinhalten alle Versionen bzw. Editions von Embedded-Betriebssystemen.
Einführung
Microsoft veröffentlicht das Windows-Tool zum Entfernen bösartiger Software (MSRT) in der Regel jeden Monat als Teil von Windows Update oder als eigenständiges Tool. Verwenden Sie dieses Tool, um bestimmte aktuelle Bedrohungen zu finden, zu entfernen und die von diesen verursachten Änderungen rückgängig zu machen (siehe abgedeckte Bedrohungen). Für die umfassende Erkennung und Entfernung von Schadsoftware können Sie auch den Microsoft Safety Scanner verwenden.
Das Tool ergänzt vorhandene Antischadsoftware-Lösungen und kann auf den meisten aktuellen Windows-Systemen verwendet werden (siehe Abschnitt „Eigenschaften“).
Die Informationen in diesem Artikel beziehen sich speziell auf die Bereitstellung des Tools in Unternehmen. Wir empfehlen Ihnen den folgenden Knowledge Base-Artikel, um weitere Informationen über das Tool zu erhalten:
Das Tool herunterladen
Sie können das MSRT manuell aus dem Microsoft Download Center herunterladen. Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:
Für 32-Bit-x86-basierte Systeme:
Das x86-MSRT-Paket jetzt herunterladen.
Für x64-basierte Systeme (64 Bit):
Bereitstellungs-Übersicht
Es kann in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:
-
Windows Server Update Services
-
Microsoft Systems Management Software (SMS)-Softwarepaket
-
Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers
-
Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung
Die aktuelle Version dieses Tools unterstützt die folgenden Möglichkeiten zur Bereitstellung nicht:
-
Windows Update-Katalog
-
Ausführen des Tools auf einem Remotecomputer
-
Software Update Services (SUS)
Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen darüber, wie Sie die Ausführung des Tools als Teil der Bereitstellung überprüfen.
Codebeispiel
Das hier bereitgestellte Skript und die Schritte sind nur als Beispiele und Szenarios gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarios zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge ServerName (Servername) und ShareName (Freigabename) so ändern, dass sie dem Setup in Ihrer Umgebung entsprechen.
Der nachstehende Beispielcode bewirkt Folgendes:
-
Er führt das Tool im stillen Modus aus.
-
Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe.
-
Er stellt dem Namen der Protokolldatei den Namen des Computers, von dem aus das Tool ausgeführt wird, sowie den Benutzernamen des aktuellen Benutzers als Präfix voran.
Hinweis Sie müssen gemäß den Anweisungen im Abschnitt Setup und Konfiguration entsprechende Berechtigungen für die Freigabe festlegen.
REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.104.exe /q
copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
Hinweis In diesem Beispielcode ist ServerName ein Platzhalter für den Namen Ihres Servers und ShareName ein Platzhalter für den Namen Ihrer Freigabe.
Setup und Konfiguration
Dieser Abschnitt richtet sich an Administratoren, die ein Start- oder Anmeldeskript zur Bereitstellung dieses Tools verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt „Bereitstellungsmethoden“ fortfahren.
Gehen Sie folgendermaßen vor, um den Server und die Freigabe zu konfigurieren:
-
Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Benennen Sie dann die Freigabe
ShareName. -
Kopieren Sie das Tool und das Beispielskript „RunMRT.cmd“ zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode.
-
Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:
-
Freigabeberechtigungen:
-
Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
-
Entfernen Sie die Gruppe „Jeder“.
-
Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe „Domänencomputer“ mit Berechtigungen für Ändern und Lesen hinzu.
-
Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe „Authentifizierte Benutzer“ mit Berechtigungen für Ändern und Lesen hinzu.
-
-
NTFS-Berechtigungen:
-
Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
-
Entfernen Sie die Gruppe „Jeder“, sofern in der Liste enthalten.
Hinweis Wenn Sie beim Entfernen der Gruppe „Jeder“ eine Fehlermeldung erhalten, klicken Sie auf der Registerkarte Sicherheit auf Erweitert, und deaktivieren Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen über dieses Objekt verteilen. -
Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
-
Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
-
-
-
Erstellen Sie unter dem Ordner „ShareName“ einen Ordner mit dem Namen „Logs“.
In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt. -
Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner „Logs“ zu konfigurieren.
Hinweis Ändern Sie die Freigabeberechtigungen in diesem Schritt nicht.-
Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
-
Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.
-
Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.
-
Bereitstellungsmethoden
Hinweis Um dieses Tool ausführen zu können, müssen Sie unabhängig von der von Ihnen gewählten Bereitstellungsoption über Administratorrechte oder Systemberechtigungen verfügen.
Verwendung des SMS-Softwarepakets
Im folgenden Beispiel finden Sie schrittweise Anweisungen zur Verwendung von SMS 2003. Die Schritte zur Verwendung von SMS 2.0 sind diesen Schritten ähnlich.
-
Extrahieren Sie die Datei „Mrt.exe“ aus dem Paket mit dem Namen „Windows-KB890830-V5.104.exe“ /x.
-
Erstellen Sie eine BAT-Datei, um „Mrt.exe“ zu starten und den Rückgabecode mithilfe von „ISMIF32.exe“ aufzuzeichnen.
Im Folgenden finden Sie ein Beispiel:@echo off Start /wait Mrt.exe /q If errorlevel 13 goto error13 If errorlevel 12 goto error12 Goto end :error13 Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13” Goto end :error12 Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12” Goto end :end
Weitere Informationen zu „Ismif32.exe“ finden Sie im folgenden Artikel der Microsoft Knowledge Base:
186415 Status-MIF-Ersteller, Ismif32.exe ist verfügbar
-
Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:
-
Öffnen Sie die SMS-Administratorkonsole.
-
Klicken Sie mit der rechten Maustaste auf den Knoten Pakete, klicken Sie auf
Neu, und klicken Sie anschließend auf Paket.
Das Dialogfeld
Paketeigenschaften wird angezeigt. -
Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen.
-
Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien.
-
Klicken Sie auf Festlegen, und wählen Sie dann ein Quellverzeichnis aus, in dem das Tool gespeichert ist.
-
Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest.
-
Wählen Sie auf der Registerkarte Berichterstattung die Option Diese Felder für MIF-Statusabstimmung verwenden aus, und geben Sie dann einen Namen für die Felder MIF-Dateiname und
Name ein.
Version und Herausgeber sind optional. -
Klicken Sie auf OK, um das Paket erstellen zu lassen.
-
-
So geben Sie einen Verteilungspunkt für das Paket an:
-
Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket.
-
Erweitern Sie das Paket. Klicken Sie mit der rechten Maustaste auf Verteilungspunkte, zeigen Sie auf Neu, und klicken Sie dann auf Verteilungspunkte.
-
Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus.
-
Klicken Sie auf Fertigstellen, um den Assistenten zu beenden.
-
-
So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:
-
Klicken Sie unter dem Knoten des neuen Pakets auf den Knoten Programme.
-
Klicken Sie mit der rechten Maustaste auf Programme, zeigen Sie auf
Neu, und klicken Sie dann auf Programm. -
Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann einen gültigen Namen ein.
-
Klicken Sie in der Befehlszeile auf
Durchsuchen, um die Batchdatei auszuwählen, die Sie zum Starten von „Mrt.exe“ erstellt haben. -
Ändern Sie die Option Ausführen zu
Versteckt. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich. -
Klicken Sie auf die Registerkarte Anforderungen, und wählen Sie dann die Option Dieses Programm kann nur auf den angegebenen Clientplattformen ausgeführt werden aus.
-
Klicken Sie auf All x86 Windows XP.
-
Klicken Sie auf die Registerkarte Umgebung, und klicken Sie dann in der Liste Programm kann ausgeführt werden auf
Unabhängig von Benutzeranmeldung. Legen Sie den Modus Ausführen auf Mit Administratorrechten ausführen fest. -
Klicken Sie auf OK, um das Dialogfeld zu schließen.
-
-
So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:
-
Klicken Sie mit der rechten Maustaste auf den Knoten Ankündigung, klicken Sie auf Neu, und klicken Sie anschließend auf
Ankündigung. -
Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Klicken Sie auf Durchsuchen und anschließend auf die Sammlung Alle Systeme, oder wählen Sie eine Sammlung von Computern aus, die nur Windows Vista und höhere Versionen beinhaltet.
-
Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest.
-
Setzen Sie die Priorität auf Hoch.
-
Klicken Sie auf OK, um die Ankündigung erstellen zu lassen.
-
Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers
Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und der Anwendung der Gruppenrichtlinieneinstellung.
-
Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt
Setup und Konfiguration durch. -
Erstellen Sie das Startskript. Gehen Sie dazu wie folgt vor:
-
Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf
Eigenschaften. -
Klicken Sie auf die Registerkarte Gruppenrichtlinie.
-
Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt (GPO) zu erstellen, und geben Sie „MRT-Bereitstellung“ für den Namen der Richtlinie ein.
-
Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.
-
Erweitern Sie Computerkonfiguration, erweitern Sie „Windows-Einstellungen“, und klicken Sie auf Skripts.
-
Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen.
Das Dialogfeld Hinzufügen eines Skripts wird angezeigt. -
Geben Sie im Feld Skriptname den Namen
„\\ServerName\ShareName\RunMRT.cmd“ ein. -
Klicken Sie auf OK und anschließend auf Übernehmen.
-
-
Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind.
Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung
Bei dieser Methode wird vorausgesetzt, dass es sich bei dem zur Anmeldung verwendeten Benutzerkonto um ein Domänenkonto und ein Mitglied der lokalen Administratorengruppe auf dem Clientcomputer handelt.
-
Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt
Setup und Konfiguration durch. -
Erstellen Sie das Anmeldeskript. Gehen Sie zu diesem Zweck folgendermaßen vor:
-
Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf
Eigenschaften. -
Klicken Sie auf die Registerkarte Gruppenrichtlinie.
-
Klicken Sie auf Neu, um ein neues GPO zu erstellen, und geben Sie „MRT-Bereitstellung“ für den Namen der Richtlinie ein.
-
Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf
Bearbeiten. -
Erweitern Sie Benutzerkonfiguration, erweitern Sie „Windows-Einstellungen“, und klicken Sie auf Skripts.
-
Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen. Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
-
Geben Sie im Feld Skriptname den Namen
„\\ServerName\ShareName\RunMRT.cmd“ ein. -
Klicken Sie auf OK und anschließend auf Übernehmen.
-
-
Melden Sie sich bei den Clientcomputern ab und anschließend wieder an.
In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden. Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie im folgenden Artikel der Microsoft Knowledge Base:
Weitere relevante Informationen für eine Unternehmensumgebung
Rückgabecodes überprüfen
Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.
Die folgende Liste enthält die gültigen Rückgabecodes.
0 |
= |
No infection found (Keine Infektion gefunden) |
1 |
= |
OS Environment Error (Betriebssystemumgebungsfehler) |
2 |
= |
Not running as an Administrator (Nicht als Administrator ausgeführt) |
3. |
= |
Not a supported OS (Kein unterstütztes Betriebssystem) |
4 |
= |
Error Initializing the scanner (Fehler bei der Initialisierung des Scanners). (Download a new copy of the tool) (Tool erneut herunterladen) |
5 |
= |
Not used (Nicht verwendet) |
6 |
= |
At least one infection detected. (Mindestens eine Infektion gefunden.) No errors. (Keine Fehler.) |
7 |
= |
At least one infection was detected, but errors were encountered. (Mindestens eine Infektion gefunden, aber es sind Fehler aufgetreten) |
8 |
= |
At least one infection was detected and removed, but manual steps are required for a complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich) |
9 |
= |
At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich. Es wurden Fehler gefunden) |
10 |
= |
At least one infection was detected and removed, but a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich) |
11 |
= |
At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich. Es wurden Fehler gefunden) |
12 |
= |
At least one infection was detected and removed, but both manual steps and a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch manuelle Schritte und ein Neustart erforderlich) |
13 |
= |
At least one infection was detected and removed, but a reboot is required. (Mindestens eine Infektion gefunden und entfernt. Neustart erforderlich) No errors were encountered. (Keine Fehler gefunden) |
Protokolldatei analysieren
Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei „%windir%\debug\mrt.log“.
Hinweise
-
Diese Protokolldatei ist nur in englischer Sprache verfügbar.
-
Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet.
-
Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.
Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an. -
Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln.
-
Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei „Mrt.log“ im Ordner „%windir%\debug“ und nennt die kopierten Dateien „Mrt.log.old“. Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt.
So sieht beispielsweise eine Mrt.log-Datei von einem Computer aus, der mit dem MPnTestFile-Wurm infiziert war:
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Tue Jul 30 23:34:49 2013
Quick Scan Results:
-------------------
Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed!
Action: Remove, Result: 0x00000000
regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
file://c:\temp\mpncleantest.exe
SigSeq: 0x00002267735A46E2
Results Summary:
----------------
Found Virus:Win32/MPnTestFile.2004 and Removed!
Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013
Return code: 6 (0x6)
So sieht beispielsweise eine Protokolldatei aus, wenn keine Schadsoftware gefunden wurde.
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Thu Aug 01 21:15:43 2013
Results Summary:
----------------
No infection found.
Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013
Return code: 0 (0x0)
So sieht beispielsweise eine Protokolldatei aus, wenn Fehler gefunden wurden.
Weitere Informationen zu den von diesem Tool gemeldeten Warnungen und Fehlern finden Sie im folgenden Artikel der Microsoft Knowledge Base:
891717 Informationen zur Problembehandlung beim Ausführen des Microsoft Windows-Tools zum Entfernen bösartiger Software Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Fri Aug 02 16:17:49 2013 Scan Results: ------------- Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z Results Summary: ---------------- Found Virus:Win32/MPTestFile.2004, partially removed. Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013 Return code: 7 (0x7)
Bekannte Probleme
Bekanntes Problem 1
Wenn Sie das Tool mithilfe des Startskripts ausführen, erhalten Sie möglicherweise Fehlermeldungen in der Datei „Mrt.log“ mit etwa folgendem Inhalt:
Fehler: MemScanGetImagePathFromPid(pid: 552) ist fehlgeschlagen.
0x00000005: Zugriff verweigert.
Hinweis Die Prozesskennungen (PIDs) können variieren.
Diese Fehlermeldung tritt auf, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Die einzige Auswirkung dieses Fehlers besteht darin, dass der durch die Prozesskennung bezeichnete Prozess nicht untersucht wurde.
Bekanntes Problem 2
Wenn der Administrator das Windows-Tool zum Entfernen bösartiger Software (MSRT) mit der Befehlszeilenoption /q (d. h. im stillen bzw. automatischen Modus) bereitstellt, wird die Bereinigung für eine kleine Gruppe von Infektionen in einigen seltenen Fällen möglicherweise nicht vollständig ausgeführt, und zwar, wenn ein zusätzliches Bereinigen nach einem Neustart erforderlich ist. Dies wurde nur beim Entfernen bestimmter Rootkitvarianten festgestellt.
FAQ
F1. Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Warum?
A1. Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.
F2. Wie kann ich überprüfen, ob das Tool auf einem Clientcomputer ausgeführt wurde?
A2. Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dadurch wird eine mehrmalige Ausführung des Tools verhindert.
Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Name des Eintrags: Version
Bei jeder Ausführung des Tools protokolliert es eine GUID in der Registrierung, um darauf hinzuweisen, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.
ID |
Titel |
---|---|
August 2022 |
6A18629D-500E-437F-B64B-394F5EE7416E |
Juli 2022 |
BD5F3FC1-AE41-43E5-8775-ABA1EFA1BFDC |
Updates vom Juni 2022 |
C63E2630-F9C8-4FC2-8DD3-8F8FC504D228 |
Mai 2022 |
1E134355-080F-4C0A-AAEB-5D74350F734B |
April 2022 |
2BC2E250-85C6-49C0-9BBC-5296D5ADE3E9 |
Updates vom März 2022 |
528C99D1-D536-476A-97CC-AE56E360B841 |
Februar 2022 |
B5DDA3D9-48FA-4217-9F36-D9DC7FA91FD5 |
Januar 2022 |
A84F59DF-616B-4F7B-B64D-4F3C42C6E377 |
Dezember 2021 |
5C859D8A-C553-48AA-AEE0-68E0FB58FD6C |
November 2021 |
F2DBB55A-EAF9-4F8D-BDD6-D2C15C5C6823 |
Oktober 2021 |
4E7B66E3-987E-4788-BBB3-A5030922FC8D |
September 2021 |
2A9893F6-6CFA-4C4E-8CDC-F6C06E9ADAFD |
August 2021 |
2B0ABF61-2643-4716-9B15-4813BC505DF4 |
Juli 2021 |
8AE004C7-42D7-4FEC-9ABE-48A7E4C1CBC8 |
Juni 2021 |
E3A0B6EE-FE26-44C1-96DB-2BFDB5BDB305 |
Mai 2021 |
8586F868-D88E-461F-8C9F-85D50FCBCC84 |
April 2021 |
439B1947-E9BC-40E0-883D-517613D95818 |
März 2021 |
3DC01EF0-0E9D-4D88-8BC7-A3F3801FAB49 |
Februar 2021 |
45EEFC65-BFCF-458A-8760-ECC7ACEC73A2 |
Januar 2021 |
0AAB5944-A7BC-4D17-9A3A-2FAB07286EE9 |
November 2020 |
F7A1FB98-0884-4986-884D-FFBEA881A2A1 |
September 2020 |
E0118D9B-6F80-4A16-92ED-A8EB4851C84C |
Mai 2020 |
EFB903C3-1459-4C91-B79D-B7438E15C972 |
März 2020 |
71562B8C-C50D-4375-91F3-8EE0DD0EF7E3 |
Februar 2020 |
9CCD5E4F-11C8-4064-8C37-6D1BA8C1ED37 |
Januar 2020 |
38281425-A1C7-400F-AE79-EFE8C1E9E38F |
Dezember 2019 |
6F46913B-8294-43FD-8AA8-46984911C881 |
November 2019 |
1ED49A70-3903-4C40-B575-93F3DD50B283 |
Oktober 2019 |
E63797FA-851A-4E25-8DA1-D453DD437525 |
August 2019 |
96F83121-A86A-497A-8B18-7F1BBAE6448D |
Juli 2019 |
FCF0D56B-99A4-4A39-BAC8-2ED52EF10FEC |
Juni 2019 |
10188A60-F140-42EF-984F-E4B3CA369BD1 |
Mai 2019 |
A8F12582-E642-4070-91E6-D6CF31796C0B |
April 2019 |
7C55425A-FBE7-44D0-A226-6FF46F085EAF |
März 2019 |
5DCD306C-136C-4C03-B0E4-3C1E78DE5A19 |
2019. Februar |
3A57513A-D489-4B41-A40D-5ACD998F294A |
Januar 2019 |
8F732BDE-182D-4A10-B8CE-0C538C878F87 |
Dezember 2018 |
FD672828-AC76-41B9-95E0-6F5859BDDB74 |
November 2018 |
F1E75593-4ACF-4C29-BD2D-0F495D7B8396 |
Oktober 2018 |
D84C2D59-B81F-4163-BC39-3CDDD8BB68BC |
September 2018 |
18674908-417F-4139-A22C-F418420D2B7B |
August 2018 |
6600605A-7534-41BF-B117-579EA0F5997D |
Juli 2018 |
3A88B54D-626C-4DBE-BBB3-4EE0E666A730 |
Juni 2018 |
968E16D7-8605-4BA4-9BE5-86127A0FAC87 |
Mai 2018 |
02683B53-543A-4200-8D43-B69C3B3CE0E9 |
April 2018 |
62F357BA-9FC0-4CED-A90C-457D02B33DEE |
März 2018 |
C43B8734-0004-446C-8F37-FD8AD3F3BCF0 |
Februar 2018 |
CED42968-8B11-4886-8477-8F22956192B0 |
Januar 2018 |
C6BD56EC-B2C1-4D20-B94D-234F8A9C5733 |
Dezember 2017 |
3D287184-25B3-4DDC-ADD3-A93C626CD7EB |
November 2017 |
AAF1DA7A-77D4-4997-9C0C-38E0CFA6AB92 |
Oktober 2017 |
9209C00F-BD62-4CB8-9702-C4B9A4F8D560 |
September 2017 |
FE854017-795E-4685-95CE-3CCB1FFD743D |
August 2017 |
1D3AE7A6-F7BA-4787-A240-284C46162AFA |
Juli 2017 |
2A9D9E6C-14F4-4E84-B9B5-B307DDACA125 |
Juni 2017 |
28BE7B9C-E473-4A73-8770-83AB99A596F8 |
Mai 2017 |
E43CFF1D-46DB-4239-A583-3828BB9EB66C |
April 2017 |
507CBE5F-7915-416A-9E0E-B18FEA08237D |
März 2017 |
F83889D4-A24B-44AA-8E34-BCDD8912FAD7 |
Februar 2017 |
88E3BAB3-52CF-4B15-976E-0BE4CFA98AA8 |
Januar 2017 |
A5E600F5-A3CE-4C8E-8A14-D4133623CDC5 |
Dezember 2016 |
F6945BD2-D48B-4B07-A7FB-A55C4F98A324 |
November 2016 |
E36D6367-DF23-4D09-B5B1-1FC38109F29C |
Oktober 2016 |
6AC744F7-F828-4CF8-A405-AA89845B2D98 |
September 2016 |
2168C094-1DFC-43A9-B58E-EB323313845B |
August 2016 |
0F13F87E-603E-4964-A9B4-BF923FB27B5D |
Juli 2016 |
34E69BB2-EFA0-4905-B7A9-EFBDBA61647B |
Juni 2016 |
E6F49BC4-1AEA-4648-B235-1F2A069449BF |
Mai 2016 |
156D44C7-D356-4303-B9D2-9B782FE4A304 |
April 2016 |
6F31010B-5919-41C2-94FB-E71E8EEE9C9A |
März 2016 |
3AC662F4-BBD5-4771-B2A0-164912094D5D |
Februar 2016 |
DD51B914-25C9-427C-BEC8-DA8BB2597585 |
Januar 2016 |
ED6134CC-62B9-4514-AC73-07401411E1BE |
Dezember 2015 |
EE51DBB1-AE48-4F16-B239-F4EB7B2B5EED |
November 2015 |
FFF3C6DF-56FD-4A28-AA12-E45C3937AB41 |
Oktober 2015 |
4C5E10AF-1307-4E66-A279-5877C605EEFB |
September 2015 |
BC074C26-D04C-4625-A88C-862601491864 |
August 2015 |
74E954EF-6B77-4758-8483-4E0F4D0A73C7 |
Juli 2015 |
82835140-FC6B-4E05-A17F-A6B9C5D7F9C7 |
Juni 2015 |
20DEE2FA-9862-4C40-A1D4-1E13F1B9E8A7 |
Mai 2015 |
F8F85141-8E6C-4FED-8D4A-8CF72D6FBA21 |
April 2015 |
7AABE55A-B025-4688-99E9-8C66A2713025 |
März 2015 |
CEF02A7E-71DD-4391-9BF6-BF5DEE8E9173 |
Februar 2015 |
92D72885-37F5-42A2-B199-9DBBEF797448 |
Januar 2015 |
677022D4-7EC2-4F65-A906-10FD5BBCB34C |
Dezember 2014 |
386A84B2-5559-41C1-AC7F-33E0D5DE0DF6 |
November 2014 |
7F08663E-6A54-4F86-A6B5-805ADDE50113 |
Oktober 2014 |
5612279E-542C-454D-87FE-92E7CBFDCF0F |
September 2014 |
98CB657B-9051-439D-9A5D-8D4EDF851D94 |
August 2014 |
53B5DBC4-54C7-46E4-B056-C6F17947DBDC |
Juli 2014 |
43E0374E-D98E-4266-AB02-AE415EC8E119 |
Juni 2014 |
07C5D15E-5547-4A58-A94D-5642040F60A2 |
Mai 2014 |
91EFE48B-7F85-4A74-9F33-26952DA55C80 |
April 2014 |
54788934-6031-4F7A-ACED-5D055175AF71 |
März 2014 |
254C09FA-7763-4C39-8241-76517EF78744 |
Februar 2014 |
FC5CF920-B37A-457B-9AB9-36ECC218A003 |
Januar 2014 |
7BC20D37-A4C7-4B84-BA08-8EC32EBF781C |
Dezember 2013 |
AFAFB7C5-798B-453D-891C-6765E4545CCC |
November 2013 |
BA6D0F21-C17B-418A-8ADD-B18289A02461 |
Oktober 2013 |
21063288-61F8-4060-9629-9DBDD77E3242 |
September 2013 |
462BE659-C07A-433A-874F-2362F01E07EA |
August 2013 |
B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8 |
Juli 2013 |
9326E352-E4F2-4BF7-AF54-3C06425F28A6 |
Juni 2013 |
4A25C1F5-EA3D-4840-8E14-692DD6A57508 |
Mai 2013 |
3DAA6951-E853-47E4-B288-257DCDE1A45A |
April 2013 |
7A6917B5-082B-48BA-9DFC-9B7034906FDC |
März 2013 |
147152D2-DFFC-4181-A837-11CB9211D091 |
Februar 2013 |
ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB |
Januar 2013 |
A769BB72-28FC-43C7-BA14-2E44725FED20 |
Dezember 2012 |
AD64315C-1421-4A96-89F4-464124776078 |
November 2012 |
7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6 |
Oktober 2012 |
8C1ACB58-FEE7-4FF0-972C-A09A058667F8 |
September 2012 |
02A84536-D000-45FF-B71E-9203EFD2FE04 |
August 2012 |
C1156343-36C9-44FB-BED9-75151586227B |
Juli 2012 |
3E9B6E28-8A74-4432-AD2A-46133BDED728 |
Juni 2012 |
4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384 |
Mai 2012 |
D0082A21-13E4-49F7-A31D-7F752F059DE9 |
April 2012 |
3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A |
März 2012 |
84C44DD1-20C8-4542-A1AF-C3BA2A191E25 |
Februar 2012 |
23B13CB9-1784-4DD3-9504-7E58427307A7 |
Januar 2012 |
634F47CA-D7D7-448E-A7BE-0371D029EB32 |
Dezember 2011 |
79B9D6F6-2990-4C15-8914-7801AD90B4D7 |
November 2011 |
BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9 |
Oktober 2011 |
C0177BCC-8925-431B-AC98-9AC87B8E9699 |
September 2011 |
E775644E-B0FF-44FA-9F8B-F731E231B507 |
August 2011 |
F14DDEA8-3541-40C6-AAC7-5A0024C928A8 |
Juli 2011 |
3C009D0B-2C32-4635-9B34-FFA7F4CB42E7 |
Juni 2011 |
DDE7C7DD-E76A-4672-A166-159DA2110CE5 |
Mai 2011 |
852F70C7-9C9E-4093-9184-D89D5CE069F0 |
April 2011 |
0CB525D5-8593-436C-9EB0-68C6D549994D |
März 2011 |
AF70C509-22C8-4369-AEC6-81AEB02A59B7 |
Februar 2011 |
B3458687-D7E4-4068-8A57-3028D15A7408 |
Januar 2011 |
258FD3CF-9C82-4112-B1B0-18EC1ECFED37 |
Dezember 2010 |
4E28B496-DD95-4300-82A6-53809E0F9CDA |
November 2010 |
5800D663-13EA-457C-8CFD-632149D0AEDD |
Oktober 2010 |
32F1A453-65D6-41F0-A36F-D9837A868534 |
September 2010 |
0916C369-02A8-4C3D-9AD0-E72AF7C46025 |
August 2010 |
E39537F7-D4B8-4042-930C-191A2EF18C73 |
Juli 2010 |
A1A3C5AF-108A-45FD-ABEC-5B75DF31736D |
Juni 2010 |
308738D5-18B0-4CB8-95FD-CDD9A5F49B62 |
Mai 2010 |
18C7629E-5F96-4BA8-A2C8-31810A54F5B8 |
April 2010 |
D4232D7D-0DB6-4E8B-AD19-456E8D286D67 |
März 2010 |
076DF31D-E151-4CC3-8E0A-7A21E35CF679 |
Februar 2010 |
76D836AA-5D94-4374-BCBF-17F825177898 |
Januar 2010 |
ED3205FC-FC48-4A39-9FBD-B0035979DDFF |
Dezember 2009 |
A9A7C96D-908E-413C-A540-C43C47941BE4 |
November 2009 |
78070A38-A2A9-44CE-BAB1-304D4BA06F49 |
Oktober 2009 |
4C64200A-6786-490B-9A0C-DEF64AA03934 |
September 2009 |
B279661B-5861-4315-ABE9-92A3E26C1FF4 |
August 2009 |
91590177-69E5-4651-854D-9C95935867CE |
Juli 2009 |
F530D09B-F688-43D1-A3D5-49DC1A8C9AF0 |
Juni 2009 |
8BD71447-AAE4-4B46-B652-484001424290 |
Mai 2009 |
AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96 |
April 2009 |
276F1693-D132-44EF-911B-3327198F838B |
März 2009 |
BDEB63D0-4CEC-4D5B-A360-FB1985418E61 |
Februar 2009 |
C5E3D402-61D9-4DDF-A8F5-0685FA165CE8 |
Januar 2009 |
2B730A83-F3A6-44F5-83FF-D9F51AF84EA0 |
Dezember 2008 |
9BF57AAA-6CE6-4FC4-AEC7-1B288F067467 |
November 2008 |
F036AE17-CD74-4FA5-81FC-4FA4EC826837 |
Oktober 2008 |
131437DE-87D3-4801-96F0-A2CB7EB98572 |
September 2008 |
7974CF06-BE58-43D5-B635-974BD92029E2 |
August 2008 |
F3889559-68D7-4AFB-835E-E7A82E4CE818 |
Juli 2008 |
BC308029-4E38-4D89-85C0-8A04FC9AD976 |
Juni 2008 |
0D9785CC-AEEC-49F7-81A8-07B225E890F1 |
Mai 2008 |
0A1A070A-25AA-4482-85DD-DF69FF53DF37 |
April 2008 |
F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA |
März 2008 |
24A92A45-15B3-412D-9088-A3226987A476 |
Februar 2008 |
0E918EC4-EE5F-4118-866A-93f32EC73ED6 |
Januar 2008 |
330FCFD4-F1AA-41D3-B2DC-127E699EEF7D |
Dezember 2007 |
73D860EC-4829-44DD-A064-2E36FCC21D40 |
November 2007 |
EFC91BC1-FD0D-42EE-AA86-62F59254147F |
Oktober 2007 |
52168AD3-127E-416C-B7F6-068D1254C3A4 |
September 2007 |
A72DDD48-8356-4D06-A8E0-8D9C24A20A9A |
August 2007 |
0CEFC17E-9325-4810-A979-159E53529F47 |
Juli 2007 |
4AD02E69-ACFE-475C-9106-8FB3D3695CF8 |
Juni 2007 |
234C3382-3B87-41ca-98D1-277C2F5161CC |
Mai 2007 |
15D8C246-6090-450f-8261-4BA8CA012D3C |
April 2007 |
57FA0F48-B94C-49ea-894B-10FDA39A7A64 |
März 2007 |
5ABA0A63-8B4C-4197-A6AB-A1035539234D |
Februar 2007 |
FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE |
Januar 2007 |
2F9BC264-1980-42b6-9EE3-2BE36088BB57 |
Dezember 2006 |
621498ca-889b-48ef-872b-84b519365c76 |
November 2006 |
1d21fa19-c296-4020-a7c2-c5a9ba4f2356 |
Oktober 2006 |
79e385d0-5d28-4743-aeb3-ed101c828abd |
September 2006 |
ac3fa517-20f0-4a42-95ca-6383f04773c8 |
August 2006 |
37949d24-63f1-4fdc-ad24-5dc3eb3ad265 |
Juli 2006 |
5df61377-4916-440f-b23f-321933b0afd3 |
Juni 2006 |
7cf4b321-c0dd-42d9-afdf-edbb85e59767 |
Mai 2006 |
ce818d5b-8a25-47c0-a9cd-7169da3f9b99 |
April 2006 |
d0f3ea76-76c8-4287-8cdf-bdfee5e446ec |
März 2006 |
b5784f56-32ca-4756-a521-ca57816391ca |
Februar 2006 |
99cb494b-98bf-4814-bff0-cf551ac8e205 |
Januar 2006 |
250985ee-62e6-4560-b141-997fc6377fe2 |
Dezember 2005 |
F8FEC144-AA00-48B8-9910-C2AE9CCE014A |
November 2005 |
1F5BA617-240A-42FF-BE3B-14B88D004E43 |
Oktober 2005 |
08FFB7EB-5453-4563-A016-7DBC4FED4935 |
September 2005 |
33B662A4-4514-4581-8DD7-544021441C89 |
August 2005 A |
4066DA74-2DDE-4752-8186-101A7C543C5F |
August 2005 |
3752278B-57D3-4D44-8F30-A98F957EC3C8 |
Juli 2005 |
2EEAB848-93EB-46AE-A3BF-9F1A55F54833 |
Juni 2005 |
63C08887-00BE-4C9B-9EFC-4B9407EF0C4C |
Mai 2005 |
08112F4F-11BF-4129-A90A-9C8DD0104005 |
April 2005 |
D89EBFD1-262C-4990-9927-5185FED1F261 |
März 2005 |
F8327EEF-52AA-439A-9950-CE33CF0D4FDD |
Februar 2005 |
805647C6-E5ED-4F07-9E21-327592D40E83 |
Januar 2005 |
E5DD9936-C147-4CD1-86D3-FED80FAADA6C |
F3. Wie kann ich die Infektionsberichterstattung des Tools deaktivieren, sodass der Bericht nicht an Microsoft gesendet wird?
A3: Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.
Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1
F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei „Mrt.log“ zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, diese Daten abzurufen?
A4: Ab dem Release vom März 2005 wird die Datei „Mrt.log“ als Unicode-Datei gespeichert. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei „Mrt.log“ in eine neue Datei mit dem Namen „Mrt.log.old“ (im Ordner „%WINDIR%\debug“) kopiert und anschließend eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden bei der Unicode-Version die Einträge nach jeder Ausführung des Tools am Ende angehängt.