Das Windows-Tool zum Entfernen bösartiger Software eignet sich für Betriebssysteme, die im Abschnitt „Gilt für“ aufgeführt sind. Andere Betriebssysteme, die nicht in der Liste erscheinen, wurden nicht getestet und werden somit auch nicht unterstützt. Die nicht unterstützten Systeme beinhalten alle Versionen bzw. Editions von Embedded-Betriebssystemen. 

Einführung

Microsoft veröffentlicht das Windows-Tool zum Entfernen bösartiger Software (MSRT) in der Regel jeden Monat als Teil von Windows Update oder als eigenständiges Tool. Verwenden Sie dieses Tool, um bestimmte aktuelle Bedrohungen zu finden, zu entfernen und die von diesen verursachten Änderungen rückgängig zu machen (siehe abgedeckte Bedrohungen). Für die umfassende Erkennung und Entfernung von Schadsoftware können Sie auch den Microsoft Safety Scanner verwenden.

Das Tool ergänzt vorhandene Antischadsoftware-Lösungen und kann auf den meisten aktuellen Windows-Systemen verwendet werden (siehe Abschnitt „Eigenschaften“).

Die Informationen in diesem Artikel beziehen sich speziell auf die Bereitstellung des Tools in Unternehmen. Wir empfehlen Ihnen den folgenden Knowledge Base-Artikel, um weitere Informationen über das Tool zu erhalten:

890830 Entfernen bestimmter aktueller Schadsoftware mit dem Windows-Tool zum Entfernen bösartiger Software

Das Tool herunterladen

Sie können das MSRT manuell aus dem Microsoft Download Center herunterladen. Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:

Für 32-Bit-x86-basierte Systeme:

Downloadsymbol Das x86-MSRT-Paket jetzt herunterladen.


Für x64-basierte Systeme (64 Bit):

Downloadsymbol Das x64-MSRT-Paket jetzt herunterladen.

Bereitstellungs-Übersicht

Es kann in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:

  • Windows Server Update Services

  • Microsoft Systems Management Software (SMS)-Softwarepaket

  • Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers

  • Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung

Die aktuelle Version dieses Tools unterstützt die folgenden Möglichkeiten zur Bereitstellung nicht:

  • Windows Update-Katalog

  • Ausführen des Tools auf einem Remotecomputer

  • Software Update Services (SUS)

Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen darüber, wie Sie die Ausführung des Tools als Teil der Bereitstellung überprüfen.

Codebeispiel

Das hier bereitgestellte Skript und die Schritte sind nur als Beispiele und Szenarios gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarios zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge ServerName (Servername) und ShareName (Freigabename) so ändern, dass sie dem Setup in Ihrer Umgebung entsprechen.

Der nachstehende Beispielcode bewirkt Folgendes:

  • Er führt das Tool im stillen Modus aus.

  • Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe.

  • Er stellt dem Namen der Protokolldatei den Namen des Computers, von dem aus das Tool ausgeführt wird, sowie den Benutzernamen des aktuellen Benutzers als Präfix voran.

    Hinweis Sie müssen gemäß den Anweisungen im Abschnitt Setup und Konfiguration entsprechende Berechtigungen für die Freigabe festlegen.

REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a 
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.94.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Hinweis In diesem Beispielcode ist ServerName ein Platzhalter für den Namen Ihres Servers und ShareName ein Platzhalter für den Namen Ihrer Freigabe.

Setup und Konfiguration

Dieser Abschnitt richtet sich an Administratoren, die ein Start- oder Anmeldeskript zur Bereitstellung dieses Tools verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt „Bereitstellungsmethoden“ fortfahren.

Gehen Sie folgendermaßen vor, um den Server und die Freigabe zu konfigurieren:

  1. Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Benennen Sie dann die Freigabe
    ShareName.

  2. Kopieren Sie das Tool und das Beispielskript „RunMRT.cmd“ zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode.

  3. Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:

    • Freigabeberechtigungen:

      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

      2. Entfernen Sie die Gruppe „Jeder“.

      3. Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe „Domänencomputer“ mit Berechtigungen für Ändern und Lesen hinzu.

      4. Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe „Authentifizierte Benutzer“ mit Berechtigungen für Ändern und Lesen hinzu.

    • NTFS-Berechtigungen:

      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

      2. Entfernen Sie die Gruppe „Jeder“, sofern in der Liste enthalten.                 
                        
        Hinweis Wenn Sie beim Entfernen der Gruppe „Jeder“ eine Fehlermeldung erhalten, klicken Sie auf der Registerkarte Sicherheit auf Erweitert, und deaktivieren Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen über dieses Objekt verteilen.

      3. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.

      4. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.

  4. Erstellen Sie unter dem Ordner „ShareName“ einen Ordner mit dem Namen „Logs“.

    In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt.

  5. Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner „Logs“ zu konfigurieren.                 
                    
    Hinweis Ändern Sie die Freigabeberechtigungen in diesem Schritt nicht.

    1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.

    2. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe „Domänencomputer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.

    3. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe „Authentifizierte Benutzer“ die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.

Bereitstellungsmethoden

Hinweis Um dieses Tool ausführen zu können, müssen Sie unabhängig von der von Ihnen gewählten Bereitstellungsoption über Administratorrechte oder Systemberechtigungen verfügen.

Verwendung des SMS-Softwarepakets

Im folgenden Beispiel finden Sie schrittweise Anweisungen zur Verwendung von SMS 2003. Die Schritte zur Verwendung von SMS 2.0 sind diesen Schritten ähnlich.

  1. Extrahieren Sie die Datei „Mrt.exe“ aus dem Paket „Windows-KB890830-V1.34-DEU.exe /x“.

  2. Erstellen Sie eine BAT-Datei, um „Mrt.exe“ zu starten und den Rückgabecode mithilfe von „ISMIF32.exe“ aufzuzeichnen.                 
                    
    Im Folgenden finden Sie ein Beispiel:

    @echo off
Start /wait Mrt.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12
Goto end

:error13
Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”
Goto end

:error12
Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”
Goto end

:end

    Weitere Informationen zu „Ismif32.exe“ finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    268791 Verarbeitung einer von der Datei „ISMIF32.exe“ generierten MIF-Statusdatei (Management Information Format) in SMS 2.0

    186415 Status-MIF-Ersteller, Ismif32.exe ist verfügbar

  3. Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:

    1. Öffnen Sie die SMS-Administratorkonsole.

    2. Klicken Sie mit der rechten Maustaste auf den Knoten Pakete, klicken Sie auf
      Neu, und klicken Sie anschließend auf Paket.

      Das Dialogfeld
      Paketeigenschaften wird angezeigt.

    3. Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen.

    4. Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien.

    5. Klicken Sie auf Festlegen, und wählen Sie dann ein Quellverzeichnis aus, in dem das Tool gespeichert ist.

    6. Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest.

    7. Wählen Sie auf der Registerkarte Berichterstattung die Option Diese Felder für MIF-Statusabstimmung verwenden aus, und geben Sie dann einen Namen für die Felder MIF-Dateiname und
      Name ein.

      Version und Herausgeber sind optional.

    8. Klicken Sie auf OK, um das Paket erstellen zu lassen.

  4. So geben Sie einen Verteilungspunkt für das Paket an:

    1. Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket.

    2. Erweitern Sie das Paket. Klicken Sie mit der rechten Maustaste auf Verteilungspunkte, zeigen Sie auf Neu, und klicken Sie dann auf Verteilungspunkte.

    3. Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus.

    4. Klicken Sie auf Fertigstellen, um den Assistenten zu beenden.

  5. So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:

    1. Klicken Sie unter dem Knoten des neuen Pakets auf den Knoten Programme.

    2. Klicken Sie mit der rechten Maustaste auf Programme, zeigen Sie auf
      Neu, und klicken Sie dann auf Programm.

    3. Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann einen gültigen Namen ein.

    4. Klicken Sie in der Befehlszeile auf
      Durchsuchen, um die Batchdatei auszuwählen, die Sie zum Starten von „Mrt.exe“ erstellt haben.

    5. Ändern Sie die Option Ausführen zu
      Versteckt. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich.

    6. Klicken Sie auf die Registerkarte Anforderungen, und wählen Sie dann die Option Dieses Programm kann nur auf den angegebenen Clientplattformen ausgeführt werden aus.

    7. Klicken Sie auf All x86 Windows XP.

    8. Klicken Sie auf die Registerkarte Umgebung, und klicken Sie dann in der Liste Programm kann ausgeführt werden auf
      Unabhängig von Benutzeranmeldung. Legen Sie den Modus Ausführen auf Mit Administratorrechten ausführen fest.

    9. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  6. So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:

    1. Klicken Sie mit der rechten Maustaste auf den Knoten Ankündigung, klicken Sie auf Neu, und klicken Sie anschließend auf
      Ankündigung.

    2. Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Klicken Sie auf Durchsuchen und anschließend auf die Sammlung Alle Systeme, oder wählen Sie eine Sammlung von Computern aus, die nur Windows Vista und höhere Versionen beinhaltet.

    3. Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest.

    4. Setzen Sie die Priorität auf Hoch.

    5. Klicken Sie auf OK, um die Ankündigung erstellen zu lassen.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers

Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und der Anwendung der Gruppenrichtlinieneinstellung.

  1. Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt
    Setup und Konfiguration durch.

  2. Erstellen Sie das Startskript. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf
      Eigenschaften.

    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.

    3. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt (GPO) zu erstellen, und geben Sie „MRT-Bereitstellung“ für den Namen der Richtlinie ein.

    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.

    5. Erweitern Sie Computerkonfiguration, erweitern Sie „Windows-Einstellungen“, und klicken Sie auf Skripts.

    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen.

      Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.

    7. Geben Sie im Feld Skriptname den Namen
      „\\ServerName\ShareName\RunMRT.cmd“ ein.

    8. Klicken Sie auf OK und anschließend auf Übernehmen.

  3. Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung

Bei dieser Methode wird vorausgesetzt, dass es sich bei dem zur Anmeldung verwendeten Benutzerkonto um ein Domänenkonto und ein Mitglied der lokalen Administratorengruppe auf dem Clientcomputer handelt.

  1. Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt
    Setup und Konfiguration durch.

  2. Erstellen Sie das Anmeldeskript. Gehen Sie zu diesem Zweck folgendermaßen vor:

    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf
      Eigenschaften.

    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.

    3. Klicken Sie auf Neu, um ein neues GPO zu erstellen, und geben Sie „MRT-Bereitstellung“ für den Namen der Richtlinie ein.

    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf
      Bearbeiten.

    5. Erweitern Sie Benutzerkonfiguration, erweitern Sie „Windows-Einstellungen“, und klicken Sie auf Skripts.

    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen. Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.

    7. Geben Sie im Feld Skriptname den Namen
      „\\ServerName\ShareName\RunMRT.cmd“ ein.

    8. Klicken Sie auf OK und anschließend auf Übernehmen.

  3. Melden Sie sich bei den Clientcomputern ab und anschließend wieder an.

In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden. Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie im folgenden Artikel der Microsoft Knowledge Base:

198642 Überblick: Anmeldeskripts, Abmeldeskripts, Startskripts und Skripts zum Beenden in Windows 2000

322241 Zuweisen von Skripts in Windows 2000

Weitere relevante Informationen für eine Unternehmensumgebung

Rückgabecodes überprüfen

Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.

Die folgende Liste enthält die gültigen Rückgabecodes.

0

=

No infection found (Keine Infektion gefunden)

1

=

OS Environment Error (Betriebssystemumgebungsfehler)

2

=

Not running as an Administrator (Nicht als Administrator ausgeführt)

3.

=

Not a supported OS (Kein unterstütztes Betriebssystem)

4

=

Error Initializing the scanner (Fehler bei der Initialisierung des Scanners). (Download a new copy of the tool) (Tool erneut herunterladen)

5

=

Not used (Nicht verwendet)

6

=

At least one infection detected. (Mindestens eine Infektion gefunden.) No errors. (Keine Fehler.)

7

=

At least one infection was detected, but errors were encountered. (Mindestens eine Infektion gefunden, aber es sind Fehler aufgetreten)

8

=

At least one infection was detected and removed, but manual steps are required for a complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich)

9:17

=

At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich. Es wurden Fehler gefunden)

10

=

At least one infection was detected and removed, but a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich)

11

=

At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich. Es wurden Fehler gefunden)

12

=

At least one infection was detected and removed, but both manual steps and a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch manuelle Schritte und ein Neustart erforderlich)

13

=

At least one infection was detected and removed, but a reboot is required. (Mindestens eine Infektion gefunden und entfernt. Neustart erforderlich) No errors were encountered. (Keine Fehler gefunden)

Protokolldatei analysieren

Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei „%windir%\debug\mrt.log“.

Hinweise

  • Diese Protokolldatei ist nur in englischer Sprache verfügbar.

  • Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet.

  • Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.

    Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an.

  • Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln.

  • Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei „Mrt.log“ im Ordner „%windir%\debug“ und nennt die kopierten Dateien „Mrt.log.old“. Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt.

So sieht beispielsweise eine Mrt.log-Datei von einem Computer aus, der mit dem MPnTestFile-Wurm infiziert war:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Tue Jul 30 23:34:49 2013


Quick Scan Results:
-------------------
Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed!
 Action: Remove, Result: 0x00000000
 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
 runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
 file://c:\temp\mpncleantest.exe
 SigSeq: 0x00002267735A46E2

Results Summary:
----------------
Found Virus:Win32/MPnTestFile.2004 and Removed!
Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013


Return code: 6 (0x6)


So sieht beispielsweise eine Protokolldatei aus, wenn keine Schadsoftware gefunden wurde.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Thu Aug 01 21:15:43 2013


Results Summary:
----------------
No infection found.
Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013


Return code: 0 (0x0)


So sieht beispielsweise eine Protokolldatei aus, wenn Fehler gefunden wurden.


Weitere Informationen zu den von diesem Tool gemeldeten Warnungen und Fehlern finden Sie im folgenden Artikel der Microsoft Knowledge Base:

891717 Informationen zur Problembehandlung beim Ausführen des Microsoft Windows-Tools zum Entfernen bösartiger Software Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Fri Aug 02 16:17:49 2013 Scan Results: ------------- Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z Results Summary: ---------------- Found Virus:Win32/MPTestFile.2004, partially removed. Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013 Return code: 7 (0x7)

Bekannte Probleme

Bekanntes Problem 1

Wenn Sie das Tool mithilfe des Startskripts ausführen, erhalten Sie möglicherweise Fehlermeldungen in der Datei „Mrt.log“ mit etwa folgendem Inhalt:
 

Fehler: MemScanGetImagePathFromPid(pid: 552) ist fehlgeschlagen.
0x00000005: Zugriff verweigert.


Hinweis Die Prozesskennungen (PIDs) können variieren.

Diese Fehlermeldung tritt auf, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Die einzige Auswirkung dieses Fehlers besteht darin, dass der durch die Prozesskennung bezeichnete Prozess nicht untersucht wurde.

Bekanntes Problem 2

Wenn der Administrator das Windows-Tool zum Entfernen bösartiger Software (MSRT) mit der Befehlszeilenoption /q (d. h. im stillen bzw. automatischen Modus) bereitstellt, wird die Bereinigung für eine kleine Gruppe von Infektionen in einigen seltenen Fällen möglicherweise nicht vollständig ausgeführt, und zwar, wenn ein zusätzliches Bereinigen nach einem Neustart erforderlich ist. Dies wurde nur beim Entfernen bestimmter Rootkitvarianten festgestellt.

FAQ

F1. Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Warum?

A1. Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.

F2. Wie kann ich überprüfen, ob das Tool auf einem Clientcomputer ausgeführt wurde?

A2. Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dadurch wird eine mehrmalige Ausführung des Tools verhindert.

Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Name des Eintrags:
Version

Bei jeder Ausführung des Tools protokolliert es eine GUID in der Registrierung, um darauf hinzuweisen, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.

ID

Titel

Oktober 2021

4E7B66E3-987E-4788-BBB3-A5030922FC8D

September 2021

2A9893F6-6CFA-4C4E-8CDC-F6C06E9ADAFD

August 2021

2B0ABF61-2643-4716-9B15-4813BC505DF4

Juli 2021

8AE004C7-42D7-4FEC-9ABE-48A7E4C1CBC8

Juni 2021

E3A0B6EE-FE26-44C1-96DB-2BFDB5BDB305

Mai 2021

8586F868-D88E-461F-8C9F-85D50FCBCC84

April 2021

439B1947-E9BC-40E0-883D-517613D95818

März 2021

3DC01EF0-0E9D-4D88-8BC7-A3F3801FAB49

Februar 2021

45EEFC65-BFCF-458A-8760-ECC7ACEC73A2

Januar 2021

0AAB5944-A7BC-4D17-9A3A-2FAB07286EE9

November 2020

F7A1FB98-0884-4986-884D-FFBEA881A2A1

September 2020

E0118D9B-6F80-4A16-92ED-A8EB4851C84C

Mai 2020

EFB903C3-1459-4C91-B79D-B7438E15C972

März 2020

71562B8C-C50D-4375-91F3-8EE0DD0EF7E3

Februar 2020

9CCD5E4F-11C8-4064-8C37-6D1BA8C1ED37

Januar 2020

38281425-A1C7-400F-AE79-EFE8C1E9E38F

Dezember 2019

6F46913B-8294-43FD-8AA8-46984911C881

November 2019

1ED49A70-3903-4C40-B575-93F3DD50B283

Oktober 2019

E63797FA-851A-4E25-8DA1-D453DD437525

August 2019

96F83121-A86A-497A-8B18-7F1BBAE6448D

Juli 2019

FCF0D56B-99A4-4A39-BAC8-2ED52EF10FEC

Juni 2019

10188A60-F140-42EF-984F-E4B3CA369BD1

Mai 2019

A8F12582-E642-4070-91E6-D6CF31796C0B

April 2019

7C55425A-FBE7-44D0-A226-6FF46F085EAF

März 2019

5DCD306C-136C-4C03-B0E4-3C1E78DE5A19

2019. Februar

3A57513A-D489-4B41-A40D-5ACD998F294A

Januar 2019

8F732BDE-182D-4A10-B8CE-0C538C878F87

Dezember 2018

FD672828-AC76-41B9-95E0-6F5859BDDB74

November 2018

F1E75593-4ACF-4C29-BD2D-0F495D7B8396

Oktober 2018

D84C2D59-B81F-4163-BC39-3CDDD8BB68BC

September 2018

18674908-417F-4139-A22C-F418420D2B7B

August 2018

6600605A-7534-41BF-B117-579EA0F5997D

Juli 2018

3A88B54D-626C-4DBE-BBB3-4EE0E666A730

Juni 2018

968E16D7-8605-4BA4-9BE5-86127A0FAC87

Mai 2018

02683B53-543A-4200-8D43-B69C3B3CE0E9

April 2018

62F357BA-9FC0-4CED-A90C-457D02B33DEE

März 2018

C43B8734-0004-446C-8F37-FD8AD3F3BCF0

Februar 2018

CED42968-8B11-4886-8477-8F22956192B0

Januar 2018

C6BD56EC-B2C1-4D20-B94D-234F8A9C5733

Dezember 2017

3D287184-25B3-4DDC-ADD3-A93C626CD7EB

November 2017

AAF1DA7A-77D4-4997-9C0C-38E0CFA6AB92

Oktober 2017

9209C00F-BD62-4CB8-9702-C4B9A4F8D560

September 2017

FE854017-795E-4685-95CE-3CCB1FFD743D

August 2017

1D3AE7A6-F7BA-4787-A240-284C46162AFA

Juli 2017

2A9D9E6C-14F4-4E84-B9B5-B307DDACA125

Juni 2017

28BE7B9C-E473-4A73-8770-83AB99A596F8

Mai 2017

E43CFF1D-46DB-4239-A583-3828BB9EB66C

April 2017

507CBE5F-7915-416A-9E0E-B18FEA08237D

März 2017

F83889D4-A24B-44AA-8E34-BCDD8912FAD7

Februar 2017

88E3BAB3-52CF-4B15-976E-0BE4CFA98AA8

Januar 2017

A5E600F5-A3CE-4C8E-8A14-D4133623CDC5

Dezember 2016

F6945BD2-D48B-4B07-A7FB-A55C4F98A324

November 2016

E36D6367-DF23-4D09-B5B1-1FC38109F29C

Oktober 2016

6AC744F7-F828-4CF8-A405-AA89845B2D98

September 2016

2168C094-1DFC-43A9-B58E-EB323313845B

August 2016

0F13F87E-603E-4964-A9B4-BF923FB27B5D

Juli 2016

34E69BB2-EFA0-4905-B7A9-EFBDBA61647B

Juni 2016

E6F49BC4-1AEA-4648-B235-1F2A069449BF

Mai 2016

156D44C7-D356-4303-B9D2-9B782FE4A304

April 2016

6F31010B-5919-41C2-94FB-E71E8EEE9C9A

März 2016

3AC662F4-BBD5-4771-B2A0-164912094D5D

Februar 2016

DD51B914-25C9-427C-BEC8-DA8BB2597585

Januar 2016

ED6134CC-62B9-4514-AC73-07401411E1BE

Dezember 2015

EE51DBB1-AE48-4F16-B239-F4EB7B2B5EED

November 2015

FFF3C6DF-56FD-4A28-AA12-E45C3937AB41

Oktober 2015

4C5E10AF-1307-4E66-A279-5877C605EEFB

September 2015

BC074C26-D04C-4625-A88C-862601491864

August 2015

74E954EF-6B77-4758-8483-4E0F4D0A73C7

Juli 2015

82835140-FC6B-4E05-A17F-A6B9C5D7F9C7

Juni 2015

20DEE2FA-9862-4C40-A1D4-1E13F1B9E8A7

Mai 2015

F8F85141-8E6C-4FED-8D4A-8CF72D6FBA21

April 2015

7AABE55A-B025-4688-99E9-8C66A2713025

März 2015

CEF02A7E-71DD-4391-9BF6-BF5DEE8E9173

Februar 2015

92D72885-37F5-42A2-B199-9DBBEF797448

Januar 2015

677022D4-7EC2-4F65-A906-10FD5BBCB34C

Dezember 2014

386A84B2-5559-41C1-AC7F-33E0D5DE0DF6

November 2014

7F08663E-6A54-4F86-A6B5-805ADDE50113

Oktober 2014

5612279E-542C-454D-87FE-92E7CBFDCF0F

September 2014

98CB657B-9051-439D-9A5D-8D4EDF851D94

August 2014

53B5DBC4-54C7-46E4-B056-C6F17947DBDC

Juli 2014

43E0374E-D98E-4266-AB02-AE415EC8E119

Juni 2014

07C5D15E-5547-4A58-A94D-5642040F60A2

Mai 2014

91EFE48B-7F85-4A74-9F33-26952DA55C80

April 2014

54788934-6031-4F7A-ACED-5D055175AF71

März 2014

​254C09FA-7763-4C39-8241-76517EF78744

Februar 2014

FC5CF920-B37A-457B-9AB9-36ECC218A003

Januar 2014

7BC20D37-A4C7-4B84-BA08-8EC32EBF781C

Dezember 2013

AFAFB7C5-798B-453D-891C-6765E4545CCC

November 2013

BA6D0F21-C17B-418A-8ADD-B18289A02461

Oktober 2013

21063288-61F8-4060-9629-9DBDD77E3242

September 2013

462BE659-C07A-433A-874F-2362F01E07EA

August 2013

B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8

Juli 2013

9326E352-E4F2-4BF7-AF54-3C06425F28A6

Juni 2013

4A25C1F5-EA3D-4840-8E14-692DD6A57508

Mai 2013

3DAA6951-E853-47E4-B288-257DCDE1A45A

April 2013

7A6917B5-082B-48BA-9DFC-9B7034906FDC

März 2013

147152D2-DFFC-4181-A837-11CB9211D091

Februar 2013

ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB

Januar 2013

A769BB72-28FC-43C7-BA14-2E44725FED20

Dezember 2012

AD64315C-1421-4A96-89F4-464124776078

November 2012

7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6

Oktober 2012

8C1ACB58-FEE7-4FF0-972C-A09A058667F8

September 2012

02A84536-D000-45FF-B71E-9203EFD2FE04

August 2012

C1156343-36C9-44FB-BED9-75151586227B

Juli 2012

3E9B6E28-8A74-4432-AD2A-46133BDED728

Juni 2012

4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384

Mai 2012

D0082A21-13E4-49F7-A31D-7F752F059DE9

April 2012

3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A

März 2012

84C44DD1-20C8-4542-A1AF-C3BA2A191E25

Februar 2012

23B13CB9-1784-4DD3-9504-7E58427307A7

Januar 2012

634F47CA-D7D7-448E-A7BE-0371D029EB32

Dezember 2011

79B9D6F6-2990-4C15-8914-7801AD90B4D7

November 2011

BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9

Oktober 2011

C0177BCC-8925-431B-AC98-9AC87B8E9699

September 2011

E775644E-B0FF-44FA-9F8B-F731E231B507

August 2011

F14DDEA8-3541-40C6-AAC7-5A0024C928A8

Juli 2011

3C009D0B-2C32-4635-9B34-FFA7F4CB42E7

Juni 2011

DDE7C7DD-E76A-4672-A166-159DA2110CE5

Mai 2011

852F70C7-9C9E-4093-9184-D89D5CE069F0

April 2011

0CB525D5-8593-436C-9EB0-68C6D549994D

März 2011

AF70C509-22C8-4369-AEC6-81AEB02A59B7

Februar 2011

B3458687-D7E4-4068-8A57-3028D15A7408

Januar 2011

258FD3CF-9C82-4112-B1B0-18EC1ECFED37

Dezember 2010

4E28B496-DD95-4300-82A6-53809E0F9CDA

November 2010

5800D663-13EA-457C-8CFD-632149D0AEDD

Oktober 2010

32F1A453-65D6-41F0-A36F-D9837A868534

September 2010

0916C369-02A8-4C3D-9AD0-E72AF7C46025

August 2010

E39537F7-D4B8-4042-930C-191A2EF18C73

Juli 2010

A1A3C5AF-108A-45FD-ABEC-5B75DF31736D

Juni 2010

308738D5-18B0-4CB8-95FD-CDD9A5F49B62

Mai 2010

18C7629E-5F96-4BA8-A2C8-31810A54F5B8

April 2010

D4232D7D-0DB6-4E8B-AD19-456E8D286D67

März 2010

076DF31D-E151-4CC3-8E0A-7A21E35CF679

Februar 2010

76D836AA-5D94-4374-BCBF-17F825177898

Januar 2010

ED3205FC-FC48-4A39-9FBD-B0035979DDFF

Dezember 2009

A9A7C96D-908E-413C-A540-C43C47941BE4

November 2009

78070A38-A2A9-44CE-BAB1-304D4BA06F49

Oktober 2009

4C64200A-6786-490B-9A0C-DEF64AA03934

September 2009

B279661B-5861-4315-ABE9-92A3E26C1FF4

August 2009

91590177-69E5-4651-854D-9C95935867CE

Juli 2009

F530D09B-F688-43D1-A3D5-49DC1A8C9AF0

Juni 2009

8BD71447-AAE4-4B46-B652-484001424290

Mai 2009

AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96

April 2009

276F1693-D132-44EF-911B-3327198F838B

März 2009

BDEB63D0-4CEC-4D5B-A360-FB1985418E61

Februar 2009

C5E3D402-61D9-4DDF-A8F5-0685FA165CE8

Januar 2009

2B730A83-F3A6-44F5-83FF-D9F51AF84EA0

Dezember 2008

9BF57AAA-6CE6-4FC4-AEC7-1B288F067467

Dezember 2008

9BF57AAA-6CE6-4FC4-AEC7-1B288F067467

November 2008

F036AE17-CD74-4FA5-81FC-4FA4EC826837

Oktober 2008

131437DE-87D3-4801-96F0-A2CB7EB98572

September 2008

7974CF06-BE58-43D5-B635-974BD92029E2

August 2008

F3889559-68D7-4AFB-835E-E7A82E4CE818

Juli 2008

BC308029-4E38-4D89-85C0-8A04FC9AD976

Juni 2008

0D9785CC-AEEC-49F7-81A8-07B225E890F1

Mai 2008

0A1A070A-25AA-4482-85DD-DF69FF53DF37

April 2008

F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA

März 2008

24A92A45-15B3-412D-9088-A3226987A476

Februar 2008

0E918EC4-EE5F-4118-866A-93f32EC73ED6

Januar 2008

330FCFD4-F1AA-41D3-B2DC-127E699EEF7D

Dezember 2007

73D860EC-4829-44DD-A064-2E36FCC21D40

November 2007

EFC91BC1-FD0D-42EE-AA86-62F59254147F

Oktober 2007

52168AD3-127E-416C-B7F6-068D1254C3A4

September 2007

A72DDD48-8356-4D06-A8E0-8D9C24A20A9A

August 2007

0CEFC17E-9325-4810-A979-159E53529F47

Juli 2007

4AD02E69-ACFE-475C-9106-8FB3D3695CF8

Juni 2007

234C3382-3B87-41ca-98D1-277C2F5161CC

Mai 2007

15D8C246-6090-450f-8261-4BA8CA012D3C

April 2007

57FA0F48-B94C-49ea-894B-10FDA39A7A64

März 2007

5ABA0A63-8B4C-4197-A6AB-A1035539234D

Februar 2007

FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE

Januar 2007

2F9BC264-1980-42b6-9EE3-2BE36088BB57

Dezember 2006

621498ca-889b-48ef-872b-84b519365c76

November 2006

1d21fa19-c296-4020-a7c2-c5a9ba4f2356

Oktober 2006

79e385d0-5d28-4743-aeb3-ed101c828abd

September 2006

ac3fa517-20f0-4a42-95ca-6383f04773c8

August 2006

37949d24-63f1-4fdc-ad24-5dc3eb3ad265

Juli 2006

5df61377-4916-440f-b23f-321933b0afd3

Juni 2006

7cf4b321-c0dd-42d9-afdf-edbb85e59767

Mai 2006

ce818d5b-8a25-47c0-a9cd-7169da3f9b99

April 2006

d0f3ea76-76c8-4287-8cdf-bdfee5e446ec

März 2006

b5784f56-32ca-4756-a521-ca57816391ca

Februar 2006

99cb494b-98bf-4814-bff0-cf551ac8e205

Januar 2006

250985ee-62e6-4560-b141-997fc6377fe2

Dezember 2005

F8FEC144-AA00-48B8-9910-C2AE9CCE014A

November 2005

1F5BA617-240A-42FF-BE3B-14B88D004E43

Oktober 2005

08FFB7EB-5453-4563-A016-7DBC4FED4935

September 2005

33B662A4-4514-4581-8DD7-544021441C89

August 2005 A

4066DA74-2DDE-4752-8186-101A7C543C5F

August 2005

3752278B-57D3-4D44-8F30-A98F957EC3C8

Juli 2005

2EEAB848-93EB-46AE-A3BF-9F1A55F54833

Juni 2005

63C08887-00BE-4C9B-9EFC-4B9407EF0C4C

Mai 2005

08112F4F-11BF-4129-A90A-9C8DD0104005

April 2005

D89EBFD1-262C-4990-9927-5185FED1F261

März 2005

F8327EEF-52AA-439A-9950-CE33CF0D4FDD

Februar 2005

805647C6-E5ED-4F07-9E21-327592D40E83

Januar 2005

E5DD9936-C147-4CD1-86D3-FED80FAADA6C

F3. Wie kann ich die Infektionsberichterstattung des Tools deaktivieren, sodass der Bericht nicht an Microsoft gesendet wird?

A3: Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.

Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1

F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei „Mrt.log“ zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, diese Daten abzurufen?

A4: Ab dem Release vom März 2005 wird die Datei „Mrt.log“ als Unicode-Datei gespeichert. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei „Mrt.log“ in eine neue Datei mit dem Namen „Mrt.log.old“ (im Ordner „%WINDIR%\debug“) kopiert und anschließend eine neue Unicode-Version der Datei „Mrt.log“ erstellt. Wie bei der ANSI-Version werden bei der Unicode-Version die Einträge nach jeder Ausführung des Tools am Ende angehängt.

Facebook LinkedIn E-Mail
RSS-FEEDS abonnieren

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Übersetzungsqualität?
Was hat Ihre Erfahrung beeinflusst?

Vielen Dank für Ihr Feedback!

×