Bereitstellung des Microsoft Windows-Tools zum Entfernen bösartiger Software in einer Unternehmensumgebung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 891716
Das Microsoft Windows-Tool zum Entfernen bösartiger Software eignet sich für die Verwendung mit den in diesem Artikel aufgelisteten Betriebssystemen. Andere Betriebssysteme, die nicht in der Liste erscheinen, wurden nicht getestet und werden somit auch nicht unterstützt. Die nicht unterstützten Systeme beinhalten alle Versionen bzw. Editions von Embedded-Betriebssystemen.
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Microsoft hat das Windows-Tool zum Entfernen bösartiger Software veröffentlicht, um Sie beim Entfernen derartiger, weit verbreiteter Software von Computern zu unterstützen.

Details überspringen und Tool herunterladen

Weitere Informationen zum Herunterladen des Tools finden Sie auf der folgenden Microsoft-Webseite:
http://www.microsoft.com/de-de/security/pc-security/malware-removal.aspx
Die Informationen in diesem Artikel beziehen sich ausschließlich auf die Bereitstellung dieses Tools in einer Unternehmensumgebung. Es wird dringend empfohlen, auch den folgenden Artikel in der Microsoft Knowledge Base zu lesen. Der Artikel enthält allgemeine Informationen zu diesem Tool und dessen Download.


Das Tool wurde primär für nicht in einer Unternehmensumgebung tätige Benutzer entwickelt, auf deren System kein aktuelles Antivirenprogramm installiert ist. Es kann jedoch auch in einer Unternehmensumgebung bereitgestellt werden, um den bestehenden Schutz zu verbessern und zu einer umfassenden Sicherheitsstrategie beizutragen. Wenden Sie zur Bereitstellung des Tools in einer Unternehmensumgebung eine oder mehrere der folgenden Methoden an:
  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS)-Softwarepaket
  • Auf einer Gruppenrichtlinie basierendes Skript zum Starten des Computers
  • Auf einer Gruppenrichtlinie basierendes Skript für die Benutzeranmeldung
Weitere Informationen zur Bereitstellung des Tools mithilfe der Features "Windows Update" oder "Automatische Updates" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
890830 Das Microsoft Windows Tool zum Entfernen von bösartiger Software dient zum Entfernen von spezifischer, weit verbreiteter bösartiger Software von Computern, auf denen unterstützte Versionen von Windows ausgeführt werden.
Die aktuelle Version dieses Tools unterstützt die folgenden Bereitstellungstechnologien und -Techniken nicht:
  • Windows Update-Katalog
  • Ausführen des Tools auf einem Remotecomputer
  • Software Update Services (SUS)
Außerdem erkennt der Microsoft Baseline Security Analyzer (MBSA) nicht, ob dieses Tool ausgeführt wird. Dieser Artikel enthält Informationen dazu, wie Sie bereits im Rahmen der Bereitstellung überprüfen können, ob dieses Tool ausgeführt wird.

Beispielcode

Die hier beschriebenen Skripts und Schritte sind nur als Muster mit Beispielcharakter gedacht. Es obliegt den Kunden, diese Beispielskripts und -szenarien zu testen und gegebenenfalls an ihr jeweiliges Umfeld anzupassen. Sie müssen die Einträge ServerName und ShareName so ändern, dass sie der Konfiguration in Ihrer Umgebung entsprechen.

Der nachstehende Beispielcode bewirkt Folgendes:
  • Er führt das Tool im stillen Modus aus.
  • Er kopiert die Protokolldatei auf eine vorkonfigurierte Netzwerkfreigabe.
  • Er stellt dem Namen der Protokolldatei den Namen des Computers, von dem aus das Tool ausgeführt wird, sowie den Benutzernamen des aktuellen Benutzers als Präfix voran. Sie müssen gemäß den Anweisungen im Abschnitt Setup und Konfiguration entsprechende Berechtigungen für die Freigabe festlegen.
REM In diesem Beispiel heißt das Skript "RunMRT.cmd".
REM Das Dienstprogramm "Sleep.exe" wird verwendet, um die Ausführung des Tools zu verzögern, wenn es als 
REM Startskript. verwendet wird. Weitere Informationen hierzu finden Sie im Abschnitt "Bekannte Probleme".
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.19.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
Hinweis: In diesem Beispielcode ist ServerName ein Platzhalter für den Namen Ihres Servers und ShareName ein Platzhalter für den Namen Ihrer Freigabe.

Setup und Konfiguration

Die Informationen in diesem Abschnitt sind für Administratoren gedacht, die für die Bereitstellung dieses Tools ein Anmelde- oder Startskript verwenden. Wenn Sie SMS (Systems Management Server) verwenden, können Sie mit dem Abschnitt "Bereitstellungsmethoden" fortfahren.

Gehen Sie folgendermaßen vor, um Server und Freigabe zu konfigurieren:
  1. Richten Sie eine Freigabe auf einem Mitgliedsserver ein. Geben Sie der Freigabe Ihren Freigabenamen.
  2. Kopieren Sie das Tool und das Beispielskript "RunMRT.cmd" zur Freigabe. Weitere Details finden Sie im Abschnitt Beispielcode.
  3. Konfigurieren Sie die folgenden Berechtigungen für die Freigabe und das NTFS-Dateisystem:
    • Freigabeberechtigungen:
      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
      2. Entfernen Sie die Gruppe "Jeder".
      3. Wenn Sie die Startskriptmethode verwenden, fügen Sie die Gruppe "Domänencomputer" mit Berechtigungen für Ändern und Lesen hinzu.
      4. Wenn Sie die Anmeldeskriptmethode verwenden, fügen Sie die Gruppe "Authentifizierte Benutzer" mit Berechtigungen für Ändern und Lesen hinzu.
    • NTFS-Berechtigungen:
      1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
      2. Entfernen Sie die Gruppe "Jeder", sofern in der Liste enthalten.

        Hinweis Wenn beim Entfernen der Gruppe "Jeder" ein Fehler auftritt, klicken Sie auf der Registerkarte Sicherheit auf Erweitert, und deaktivieren Sie das Kontrollkästchen Das übergeordnete Objekt hat keine erbbaren Berechtigungen, die an dieses Objekt weitergegeben werden können.
      3. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe "Domänencomputer" die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
      4. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe "Authentifizierte Benutzer" die Berechtigungen für Lesen und Ausführen, Ordnerinhalt auflisten und Lesen zu.
  4. Erstellen Sie unter dem Ordner ShareName einen Ordner namens "Logs."

    In diesem Ordner werden nach der Ausführung des Tools auf den Clientcomputern die endgültigen Protokolldateien gesammelt.
  5. Gehen Sie folgendermaßen vor, um die NTFS-Berechtigungen für den Ordner "Logs" zu konfigurieren.

    Hinweis Ändern Sie die Freigabeberechtigungen hier nicht.
    1. Fügen Sie das Domänenbenutzerkonto für den Benutzer hinzu, der diese Freigabe verwaltet, und klicken Sie auf Vollzugriff.
    2. Wenn Sie die Startskriptmethode verwenden, weisen Sie der Gruppe "Domänencomputer" die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.
    3. Wenn Sie die Anmeldeskriptmethode verwenden, weisen Sie der Gruppe "Authentifizierte Benutzer" die Berechtigungen für Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben zu.

Bereitstellungsmethoden

Hinweis: Unabhängig von der gewählten Bereitstellungsmethode müssen Sie über Administrator- oder Systemberechtigungen verfügen, um dieses Tool ausführen zu können.

Verwendung des SMS-Softwarepakets

Das folgende Beispiel beinhaltet in einzelne Schritte unterteilte Anweisungen für die Verwendung von SMS 2003. Die Schritte für SMS 2.0 sind diesen Schritten sehr ähnlich.
  1. Extrahieren Sie die Datei "Mrt.exe" aus dem Paket "Windows-KB890830-V1.34-DEU.exe /x".
  2. Erstellen Sie eine BAT-Datei, um "Mrt.exe" zu starten und den Rückgabecode mithilfe von "ISMIF32.exe" aufzuzeichnen.

    Der folgende Code ist ein Beispiel.
    @echo off
    Start /wait Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end
    
    :error13
    Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?Text zu Fehler 13?
    Goto end
    
    :error12
    Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?Text zu Fehler 12?
    Goto end
    
    :end
    
    Weitere Informationen zu "Ismif32.exe" finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
    268791 Verarbeitung einer von der Datei "ISMIF32.exe" generierten MIF-Statusdatei (Management Information Format) in SMS 2.0
    186415 Status-MIF-Ersteller, Ismif32.exe ist verfügbar
  3. Gehen Sie folgendermaßen vor, um ein Paket in der SMS 2003-Konsole zu erstellen:
    1. Öffnen Sie die SMS-Administratorkonsole.
    2. Klicken Sie mit der rechten Maustaste auf den Knoten Pakete, klicken Sie auf Neu, und klicken Sie anschließend auf Paket.

      Das Dialogfeld Paketeigenschaften wird angezeigt.
    3. Auf der Registerkarte Allgemein geben Sie dem Paket einen Namen.
    4. Aktivieren Sie auf der Registerkarte Datenquelle das Kontrollkästchen Dieses Paket enthält Quelldateien.
    5. Klicken Sie auf Festlegen, und wählen Sie dann ein Quellverzeichnis aus, in dem das Tool gespeichert ist.
    6. Auf der Registerkarte Verteilungseinstellungen legen Sie für Sendepriorität die Option Hoch fest.
    7. Wählen Sie auf der Registerkarte Berichterstattung die Option Diese Felder für MIF-Statusabstimmung verwenden aus, und geben Sie dann einen Namen für die Felder MIF-Dateiname und Name ein.

      Version und Herausgeber sind optional.
    8. Klicken Sie auf OK, um das Paket erstellen zu lassen.
  4. So geben Sie einen Verteilungspunkt für das Paket an:
    1. Gehen Sie in der SMS 2003-Konsole unter dem Knoten Pakete zu dem neuen Paket.
    2. Erweitern Sie das Paket. Klicken Sie mit der rechten Maustaste auf Verteilungspunkte, zeigen Sie auf Neu, und klicken Sie dann auf Verteilungspunkte.
    3. Starten Sie den Assistenten für neue Verteilungspunkte. Wählen Sie einen bestehenden Verteilungspunkt aus.
    4. Klicken Sie auf Fertig stellen, um den Assistenten zu beenden.
  5. So fügen Sie eine zuvor erstellte Batchdatei zum neuen Paket hinzu:
    1. Klicken Sie unter dem Knoten des neuen Pakets auf den Knoten Programme.
    2. Klicken Sie mit der rechten Maustaste auf Programme, zeigen Sie auf Neu, und klicken Sie dann auf Programm.
    3. Klicken Sie auf die Registerkarte Allgemein, und geben Sie dann einen gültigen Namen ein.
    4. Klicken Sie in der Befehlszeile auf Durchsuchen, um die Batchdatei auszuwählen, die Sie zum Starten von "Mrt.exe" erstellt haben.
    5. Ändern Sie die Option Ausführen zu Versteckt. Ändern Sie die Option Nach Ausführung zu Keine Aktion erforderlich.
    6. Klicken Sie auf die Registerkarte Anforderungen, und wählen Sie dann die Option Dieses Programm kann nur auf den angegebenen Clientplattformen ausgeführt werden aus.
    7. Klicken Sie auf Alle x86 Windows Server 2003 und Alle x86 Windows XP.
    8. Klicken Sie auf die Registerkarte Umgebung, klicken Sie in der Liste Programm kann ausgeführt werden auf Unabhängig von Benutzeranmeldung. Legen Sie als Ausführungsmodus Mit Administratorrechten ausführen fest.
    9. Klicken Sie auf OK, um das Dialogfeld zu schließen.
  6. So erstellen Sie eine Ankündigung, um den Clients das Programm anzukündigen:
    1. Klicken Sie mit der rechten Maustaste auf den Knoten Ankündigung, klicken Sie auf Neu, und klicken Sie anschließend auf Ankündigung.
    2. Geben Sie auf der Registerkarte Allgemein einen Namen für die Ankündigung ein. Wählen Sie im Feld Paket das Paket aus, das Sie zuvor erstellt haben. Wählen Sie im Feld Programm das Programm aus, das Sie zuvor erstellt haben. Klicken Sie auf Durchsuchen und anschließend auf die Sammlung Alle Systeme, oder wählen Sie eine Sammlung von Computern aus, die nur Microsoft Windows XP und höhere Versionen beinhaltet.
    3. Lassen Sie die Standardoptionen auf der Registerkarte Zeitplan unverändert, wenn das Programm nur einmal ausgeführt werden soll. Falls die Ausführung auf der Basis eines Zeitplans erfolgen soll, legen Sie ein Zeitplanintervall fest.
    4. Setzen Sie die Priorität auf Hoch.
    5. Klicken Sie auf OK, um die Ankündigung erstellen zu lassen.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts zum Starten des Computers

Diese Methode erfordert einen Neustart des Clientcomputers nach dem Erstellen des Skripts und der Anwendung der Gruppenrichtlinieneinstellung.
  1. Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt Setup und Konfiguration durch.
  2. Erstellen Sie das Startskript. Gehen Sie zu diesem Zweck folgendermaßen vor:
    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    3. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie der Richtlinie den Namen MRT-Bereitstellung.
    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.
    5. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, und klicken Sie auf Skripts.
    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen.

      Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
    7. In das Feld Skriptname geben Sie \\Servername\Freigabename\RunMRT.cmd ein.
    8. Klicken Sie auf OK und anschließend auf Übernehmen.
  3. Starten Sie die Clientcomputer neu, die Mitglieder dieser Domäne sind.

Verwendung eines auf einer Gruppenrichtlinie basierenden Skripts für die Benutzeranmeldung

Bei dieser Methode wird vorausgesetzt, dass es sich bei dem zur Anmeldung verwendeten Benutzerkonto um ein Domänenkonto und ein Mitglied der lokalen Administratorgruppe auf dem Clientcomputer handelt.
  1. Erstellen Sie die Freigaben. Führen Sie dazu die Schritte im Abschnitt Setup und Konfiguration durch.
  2. Erstellen Sie das Anmeldeskript. Gehen Sie zu diesem Zweck folgendermaßen vor:
    1. Klicken Sie im MMC-Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf den Domänennamen. Klicken Sie anschließend auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
    3. Klicken Sie auf Neu, um ein neues Gruppenrichtlinienobjekt zu erstellen, und geben Sie diesem den Namen MRT-Bereitstellung.
    4. Klicken Sie auf die neue Richtlinie, und klicken Sie anschließend auf Bearbeiten.
    5. Erweitern Sie Benutzerkonfiguration, erweitern Sie Windows-Einstellungen, und klicken Sie auf Skripts.
    6. Doppelklicken Sie auf Anmeldung, und klicken Sie anschließend auf Hinzufügen. Das Dialogfeld Hinzufügen eines Skripts wird angezeigt.
    7. In das Feld Skriptname geben Sie \\Servername\Freigabename\RunMRT.cmd ein.
    8. Klicken Sie auf OK und anschließend auf Übernehmen.
  3. Melden Sie sich bei den Clientcomputern ab und anschließend wieder an.
In diesem Szenario werden das Skript und das Tool im Kontext des gerade angemeldeten Benutzers ausgeführt. Gehört dieser Benutzer nicht der Gruppe der lokalen Administratoren an oder verfügt er nicht über ausreichende Berechtigungen, wird das Tool nicht ausgeführt und kann auch nicht den richtigen Rückgabecode zurückmelden. Weitere Informationen zur Verwendung von Start- und Anmeldeskripts finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
198642 Überblick: Anmeldeskripts, Abmeldeskripts, Startskripts und Skripts zum Beenden in Windows 2000
322241 Zuweisen von Skripts in Windows 2000

Weitere relevante Informationen für eine Unternehmensumgebung

Rückgabecodes überprüfen

Sie können den Rückgabecode des Tools in Ihrem Bereitstellungsskript für die Anmeldung bzw. den Start untersuchen, um die Ergebnisse der Ausführung des Tools zu überprüfen. Im Abschnitt Beispielcode finden Sie ein Beispiel dafür, wie Sie dies tun können.

Die folgende Liste enthält die gültigen Rückgabecodes.
Tabelle minimierenTabelle vergrößern
0=No infection found (Keine Infektion gefunden)
1=OS Environment Error (Betriebssystemumgebungsfehler)
2=Not running as an Administrator (Nicht als Administrator ausgeführt)
3=Not a supported OS (Kein unterstütztes Betriebssystem)
4=Error Initializing the scanner (Fehler bei der Initialisierung des Scanners). (Download a new copy of the tool) (Tool erneut herunterladen)
5=Not used (Nicht verwendet)
6=At least one infection detected. (Mindestens eine Infektion gefunden.) No errors. (Keine Fehler.)
7=At least one infection was detected, but errors were encountered. (Mindestens eine Infektion gefunden, aber es sind Fehler aufgetreten)
8=At least one infection was detected and removed, but manual steps are required for a complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich)
9=At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch noch manuelle Schritte erforderlich. Es wurden Fehler gefunden)
10=At least one infection was detected and removed, but a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich)
11=At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung ist jedoch ein Neustart erforderlich. Es wurden Fehler gefunden)
12=At least one infection was detected and removed, but both manual steps and a restart is required for complete removal. (Mindestens eine Infektion gefunden und entfernt, für eine vollständige Entfernung sind jedoch manuelle Schritte und ein Neustart erforderlich)
13=At least one infection was detected and removed, but a reboot is required. (Mindestens eine Infektion gefunden und entfernt. Neustart erforderlich) No errors were encountered. (Keine Fehler gefunden)

Protokolldatei analysieren

Das Tool zum Entfernen bösartiger Software schreibt Details zu den Ergebnissen seiner Ausführung in die Protokolldatei "%windir%\debug\mrt.log".

Notizen
  • Diese Protokolldatei ist nur in englischer Sprache verfügbar.
  • Ab der Version 1.2 des Tools (März 2005) wird in dieser Protokolldatei Unicode-Text verwendet. Vor der Version 1.2 wurde in der Protokolldatei ANSI-Text verwendet.
  • Das Protokollformat hat sich mit der Version 1.2 geändert. Microsoft empfiehlt, dass Sie die neueste Version des Tools herunterladen und verwenden.

    Falls die betreffende Protokolldatei bereits existiert, hängt das Tool die Ergebnisse an diese Protokolldatei an.
  • Sie können ein ähnliches Befehlsskript wie in dem vorherigen Beispiel verwenden, um den Rückgabecode aufzuzeichnen und die Dateien auf einer Netzwerkfreigabe zu sammeln.
  • Durch die Umstellung von ANSI auf Unicode kopiert die Version 1.2 des Tools alle Versionen der Datei "Mrt.log" im Ordner "%windir%\debug" und nennt die kopierten Dateien "Mrt.log.old". Zusätzlich wird im gleichen Verzeichnis eine neue Unicode-Version der Datei "Mrt.log" erstellt. Wie bei der ANSI-Version werden die Einträge jeden Monat ans Ende der Protokolldatei angehängt.
Die folgende Beispieldatei "Mrt.log" stammt von einem Computer, der mit dem Wurm MPnTestFile infiziert war:
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Tue Jul 30 23:34:49 2013


Quick Scan Results: ------------------- Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2

Results Summary: ---------------- Found Virus:Win32/MPnTestFile.2004 and Removed! Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013


Return code: 6 (0x6)           


So sieht beispielsweise eine Protokolldatei aus, wenn keine bösartige Software gefunden wurde.
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Thu Aug 01 21:15:43 2013


Results Summary: ---------------- No infection found. Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013


Return code: 0 (0x0)

So sieht beispielsweise eine Protokolldatei aus, wenn Fehler aufgetreten sind.?

Weitere Informationen zu den gemeldeten Warnungen und Fehlern von diesem Tool finden Sie im folgenden Artikel der Microsoft Knowledge Base:
891717 Informationen zur Problembehandlung beim Ausführen des Microsoft Windows-Tools zum Entfernen bösartiger Software
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Fri Aug 02 16:17:49 2013

Scan Results: ------------- Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z

Results Summary: ---------------- Found Virus:Win32/MPTestFile.2004, partially removed. Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013


Return code: 7 (0x7)

Bekannte Probleme

Bekanntes Problem 1

Wenn Sie das Tool mithilfe des Startskripts ausführen, werden in der Datei "Mrt.log" möglicherweise Fehlermeldungen mit etwa folgendem Inhalt protokolliert:
Fehler: MemScanGetImagePathFromPid(pid: 552) ist fehlgeschlagen.
0x00000005: Zugriff verweigert.
Hinweis Die Prozesskennungen (PIDs) können variieren.

Diese Fehlermeldung wird ausgelöst, wenn ein Prozess entweder gerade gestartet wird oder vor kurzem beendet wurde. Die einzige Auswirkung dieses Fehlers besteht darin, dass der durch die Prozesskennung bezeichnete Prozess nicht untersucht wurde.

Bekanntes Problem 2

Wenn der Administrator das Windows-Tool zum Entfernen bösartiger Software (MSRT) mit der Befehlszeilenoption /q (d. h. im stillen bzw. automatischen Modus) bereitstellt, wird die Bereinigung für eine kleine Gruppe von Infektionen in einigen seltenen Fällen nicht vollständig beseitigt, und zwar, wenn ein zusätzliches Bereinigen nach einem Neustart erforderlich ist. Dies wurde nur beim Entfernen bestimmter Rootkitvarianten festgestellt.

Häufig gestellte Fragen

F1. Wenn ich mein Start- oder Anmeldeskript zur Bereitstellung des Tools teste, sehe ich nicht, dass die Protokolldateien auf die von mir eingerichtete Netzwerkfreigabe kopiert werden. Warum?

A1: Dies ist häufig auf Berechtigungsprobleme zurückzuführen. So hatte das Konto, unter dem das Tool ausgeführt wurde, möglicherweise keine Leseberechtigung für die Freigabe. Stellen Sie bei der Behandlung dieses Problems zunächst sicher, dass das Tool ausgeführt wurde, indem Sie den entsprechenden Registrierungsschlüssel überprüfen. Alternativ können Sie prüfen, ob die Protokolldatei auf dem Clientcomputer vorhanden ist. Wurde das Tool erfolgreich ausgeführt, können Sie ein einfaches Skript testen und sich vergewissern, dass es auf die Netzwerkfreigabe schreiben kann, wenn es in dem gleichen Sicherheitskontext ausgeführt wird, in dem das Tool ausgeführt wurde.

Q2. Wie kann ich überprüfen, ob das Tool auf einem Clientcomputer ausgeführt wurde?

A2: Sie können den Wert des folgenden Registrierungseintrags überprüfen, um sich zu vergewissern, dass das Tool ausgeführt wurde. Sie können eine solche Überprüfung auch als Bestandteil eines Start- oder Anmeldeskripts implementieren. Dadurch wird eine mehrmalige Ausführung des Tools verhindert.
Unterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

Name des Eintrags: Version
Bei jeder Ausführung des Tools protokolliert es eine GUID in der Registrierung, um darauf hinzuweisen, dass es ausgeführt wurde. Dies geschieht unabhängig von den jeweiligen Ergebnissen. In der folgenden Liste sind die GUIDs für die verschiedenen Versionen enthalten.
Tabelle minimierenTabelle vergrößern
VersionWert
Januar 2005E5DD9936-C147-4CD1-86D3-FED80FAADA6C
Februar 2005 805647C6-E5ED-4F07-9E21-327592D40E83
März 2005F8327EEF-52AA-439A-9950-CE33CF0D4FDD
April 2005D89EBFD1-262C-4990-9927-5185FED1F261
Mai 200508112F4F-11BF-4129-A90A-9C8DD0104005
Juni 200563C08887-00BE-4C9B-9EFC-4B9407EF0C4C
Juli 20052EEAB848-93EB-46AE-A3BF-9F1A55F54833
August 20053752278B-57D3-4D44-8F30-A98F957EC3C8
August 2005 A4066DA74-2DDE-4752-8186-101A7C543C5F
September 200533B662A4-4514-4581-8DD7-544021441C89
Oktober 200508FFB7EB-5453-4563-A016-7DBC4FED4935
November 20051F5BA617-240A-42FF-BE3B-14B88D004E43?
Dezember 2005F8FEC144-AA00-48B8-9910-C2AE9CCE014A
Januar 2006250985ee-62e6-4560-b141-997fc6377fe2 ?
Februar 200699cb494b-98bf-4814-bff0-cf551ac8e205 ?
März 2006b5784f56-32ca-4756-a521-ca57816391ca
April 2006d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
Mai 2006ce818d5b-8a25-47c0-a9cd-7169da3f9b99
Juni 20067cf4b321-c0dd-42d9-afdf-edbb85e59767
Juli 20065df61377-4916-440f-b23f-321933b0afd3
August 200637949d24-63f1-4fdc-ad24-5dc3eb3ad265
September 2006ac3fa517-20f0-4a42-95ca-6383f04773c8 ?
Oktober 200679e385d0-5d28-4743-aeb3-ed101c828abd ?
November 20061d21fa19-c296-4020-a7c2-c5a9ba4f2356
Dezember 2006621498ca-889b-48ef-872b-84b519365c76
Januar 20072F9BC264-1980-42b6-9EE3-2BE36088BB57
Februar 2007FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
März 20075ABA0A63-8B4C-4197-A6AB-A1035539234D
April 200757FA0F48-B94C-49ea-894B-10FDA39A7A64
Mai 200715D8C246-6090-450f-8261-4BA8CA012D3C
Juni 2007234C3382-3B87-41ca-98D1-277C2F5161CC
Juli 20074AD02E69-ACFE-475C-9106-8FB3D3695CF8
August 20070CEFC17E-9325-4810-A979-159E53529F47
September 2007A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
Oktober 200752168AD3-127E-416C-B7F6-068D1254C3A4
November 2007EFC91BC1-FD0D-42EE-AA86-62F59254147F?
Dezember 200773D860EC-4829-44DD-A064-2E36FCC21D40
Januar 2008330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
Februar 20080E918EC4-EE5F-4118-866A-93f32EC73ED6
März 200824A92A45-15B3-412D-9088-A3226987A476
April 2008F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
Mai 20080A1A070A-25AA-4482-85DD-DF69FF53DF37
Juni 20080D9785CC-AEEC-49F7-81A8-07B225E890F1
Juli 2008BC308029-4E38-4D89-85C0-8A04FC9AD976
August 2008F3889559-68D7-4AFB-835E-E7A82E4CE818
September 20087974CF06-BE58-43D5-B635-974BD92029E2
Oktober 2008131437DE-87D3-4801-96F0-A2CB7EB98572
November 2008F036AE17-CD74-4FA5-81FC-4FA4EC826837
Dezember 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Dezember 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Januar 20092B730A83-F3A6-44F5-83FF-D9F51AF84EA0
Februar 2009C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
März 2009BDEB63D0-4CEC-4D5B-A360-FB1985418E61
April 2009276F1693-D132-44EF-911B-3327198F838B
Mai 2009AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
Juni 20098BD71447-AAE4-4B46-B652-484001424290
Juli 2009F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
August 200991590177-69E5-4651-854D-9C95935867CE
September 2009B279661B-5861-4315-ABE9-92A3E26C1FF4
Oktober 20094C64200A-6786-490B-9A0C-DEF64AA03934
November 200978070A38-A2A9-44CE-BAB1-304D4BA06F49
Dezember 2009A9A7C96D-908E-413C-A540-C43C47941BE4
Januar 2010ED3205FC-FC48-4A39-9FBD-B0035979DDFF
Februar 201076D836AA-5D94-4374-BCBF-17F825177898
März 2010076DF31D-E151-4CC3-8E0A-7A21E35CF679
April 2010D4232D7D-0DB6-4E8B-AD19-456E8D286D67
Mai 201018C7629E-5F96-4BA8-A2C8-31810A54F5B8
Juni 2010308738D5-18B0-4CB8-95FD-CDD9A5F49B62
Juli 2010A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
August 2010E39537F7-D4B8-4042-930C-191A2EF18C73
September 2010 0916C369-02A8-4C3D-9AD0-E72AF7C46025
Oktober 201032F1A453-65D6-41F0-A36F-D9837A868534
November 20105800D663-13EA-457C-8CFD-632149D0AEDD
Dezember 20104E28B496-DD95-4300-82A6-53809E0F9CDA
Januar 2011258FD3CF-9C82-4112-B1B0-18EC1ECFED37
Februar 2011B3458687-D7E4-4068-8A57-3028D15A7408
März 2011AF70C509-22C8-4369-AEC6-81AEB02A59B7
April 20110CB525D5-8593-436C-9EB0-68C6D549994D
Mai 2011852F70C7-9C9E-4093-9184-D89D5CE069F0
Juni 2011DDE7C7DD-E76A-4672-A166-159DA2110CE5
Juli 20113C009D0B-2C32-4635-9B34-FFA7F4CB42E7
August 2011F14DDEA8-3541-40C6-AAC7-5A0024C928A8
September 2011E775644E-B0FF-44FA-9F8B-F731E231B507
Oktober 2011C0177BCC-8925-431B-AC98-9AC87B8E9699
November 2011BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
Dezember 201179B9D6F6-2990-4C15-8914-7801AD90B4D7
Januar 2012634F47CA-D7D7-448E-A7BE-0371D029EB32
Februar 2012 23B13CB9-1784-4DD3-9504-7E58427307A7
März 2012 84C44DD1-20C8-4542-A1AF-C3BA2A191E25
April 2012 3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
Mai 2012 D0082A21-13E4-49F7-A31D-7F752F059DE9
Juni 2012 4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
Juli 2012 3E9B6E28-8A74-4432-AD2A-46133BDED728
August 2012 C1156343-36C9-44FB-BED9-75151586227B
September 2012 02A84536-D000-45FF-B71E-9203EFD2FE04
Oktober 2012 8C1ACB58-FEE7-4FF0-972C-A09A058667F8
November 2012 7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
Dezember 2012AD64315C-1421-4A96-89F4-464124776078
Januar 2013A769BB72-28FC-43C7-BA14-2E44725FED20
Februar 2013ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
März 2013147152D2-DFFC-4181-A837-11CB9211D091
April 20137A6917B5-082B-48BA-9DFC-9B7034906FDC
Mai 20133DAA6951-E853-47E4-B288-257DCDE1A45A
Juni 20134A25C1F5-EA3D-4840-8E14-692DD6A57508
Juli 20139326E352-E4F2-4BF7-AF54-3C06425F28A6
August 2013B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8
September 2013462BE659-C07A-433A-874F-2362F01E07EA
Oktober 201321063288-61F8-4060-9629-9DBDD77E3242
November 2013BA6D0F21-C17B-418A-8ADD-B18289A02461
Dezember 2013AFAFB7C5-798B-453D-891C-6765E4545CCC
Januar 20147BC20D37-A4C7-4B84-BA08-8EC32EBF781C
Februar 2014FC5CF920-B37A-457B-9AB9-36ECC218A003
März 2014?254C09FA-7763-4C39-8241-76517EF78744
April 201454788934-6031-4F7A-ACED-5D055175AF71
Mai 201491EFE48B-7F85-4A74-9F33-26952DA55C80
Juni 201407C5D15E-5547-4A58-A94D-5642040F60A2
Juli 201443E0374E-D98E-4266-AB02-AE415EC8E119
August 201453B5DBC4-54C7-46E4-B056-C6F17947DBDC
September 201498CB657B-9051-439D-9A5D-8D4EDF851D94
Oktober 20145612279E-542C-454D-87FE-92E7CBFDCF0F
November 20147F08663E-6A54-4F86-A6B5-805ADDE50113
Dezember 2014386A84B2-5559-41C1-AC7F-33E0D5DE0DF6
Q3. Wie kann ich die Infektionsberichterstattung des Tools deaktivieren, sodass der Bericht nicht an Microsoft gesendet wird?

A3: Der Administrator kann die Infektionsberichterstattung des Tools deaktivieren, indem er Computern den folgenden Registrierungswert hinzufügt. Wenn dieser Registrierungswert gesetzt ist, meldet das Tool keine Infizierungsinformationen an Microsoft.
Unterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

Name des Eintrags: \DontReportInfectionInformation
Typ: REG_DWORD
Wert: 1


F4. In der Version vom März 2005 scheinen Daten in der Protokolldatei "Mrt.log" zu fehlen. Warum wurden diese Daten entfernt, und gibt es eine Möglichkeit, diese Daten wiederzuerlangen?

A4: Ab dem Release vom März 2005 wird die Datei "Mrt.log" als Unicode-Datei gespeichert. Aus Kompatibilitätsgründen wird bei der März 2005-Version des Tools eine möglicherweise vorhandene ANSI-Version der Datei "Mrt.log" in eine neue Datei mit dem Namen "Mrt.log.old" (im Ordner "%WINDIR%\debug") kopiert und anschließend eine neue Unicode-Version der Datei "Mrt.log" erstellt. Wie bei der ANSI-Version werden bei der Unicode-Version die Einträge nach jeder Ausführung des Tools am Ende angehängt.

Eigenschaften

Artikel-ID: 891716 - Geändert am: Dienstag, 9. Dezember 2014 - Version: 126.0
Keywords: 
kbinfo KB891716
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com