Autor: Michael H.
Microsoft Tool zum Entfernen bösartiger Software
Dieser etwas sperrige Name bezeichnet ein Tool, dass uns bei jedem Windowsupdate wieder von Neuem begegnet. Die Installation dauert extrem lange und trotzdem ist nachher nix davon zu finden.
Was ist das? Was macht das? Was kann ich damit machen? Was macht es nicht? Brauch ich das? Fragen über Fragen. Ich will mal versuchen etwas Licht ins Dunkel zu bringen.
Der originale Name dieses Tools lautet malicious-software-removal-tool.
Es wurde von Microsoft zu ersten mal am 13. Januar 2005 für Windows 2000, XP und Server 2003 vorgestellt. In jenen Tagen waren Computerwürmer, wie z.B. der legendäre Sasser, auf Millionen von Windowsrechnern zu finden. Um der Sache irgendwie Herr zu werden wurde dieses Tool eingesetzt. Seit dem gibt es jeden Monat eine neue Version die an jedem Patchday als wichtiger Update angeboten wird. Dabei wurden alle neuen Windowsversionen berücksichtigt.
Was macht das Tool?
Das Tool wird nicht wirklich installiert, sondern lediglich auf die Platte kopiert und im Quitmodus gestartet. Das bedeutet, es ist keine sichtbare Oberfläche oder ein Fenster zu sehen. Im Hintergrund wird nun der Rechner nach einigen bekannten Schädlingen durchsucht. Sollte dabei nix gefunden werden, wird das Tool beendet und ohne jegliche Info mit dem Update fort gefahren.
Sollte doch ein Schädling gefunden werden, versucht das Programm diesen zu entfernen. Dabei bekommt man nun doch etwas von dem Programm zu sehen. Das Programmfenster wird sichtbar und gibt Infos und Anweisungen wie weiter zu verfahren ist. Zusätzlich werden die Infos über den Fund zu statistischen Zwecken an Microsoft gesendet.
Um festzustellen, was das Tool nun genau gemacht hat, wird in jedem Falle eine Logdatei erstellt. Sie ist im Ordner %WINDIR%/Debug als MRT.log zu finden und mit jedem Texteditor zu öffnen.
Was ist das Tool nicht?
Dieses Tool will und kann keinen Virenwächter ersetzen. Es ist dringend geboten seinen Rechner durch ein Antivirenprogramm zu schützen!
Manuelle Benutzung
Im Regelfall verbleibt nach dem Update die ausführbare Datei auf der Platte. Sie sollte sich im Ordner %WINDIR%/System32 befinden mit dem Namen MRT.exe. Diese lässt sich jederzeit durch Start/Ausführen oder Doppelklick starten. In diesem Falle erscheint auch eine Benutzeroberfläche.
Hier lässt sich durch Klick auf Eine Liste der bösartigen Software.... die Liste der Schädlinge anzeigen, die durch dieses Tool erkannt und beseitigt werden kann.
Nach Klick auf den Button Weiter> kommt man zur Auswahl der Überprüfungsart. Möglich sind Schnell-, Vollständige- und Benutzerdefinierte Überprüfung. Im Regelfall sollte die Schnellüberprüfung ausreichen. Diese wird auch bei Windowsupdate ausgeführt.
Startparameter
Dem Programm können auch Startparameter übergeben werden. Diese lassen sich durch MRT.exe /? auch anzeigen.
/Q = Quitmodus. Es wird keine Benutzeroberfläche angezeigt.
/N = Nur Überprüfung ohne Bereinigung.
/F = Erzwingt vollständige Überprüfung.
/F:Y = vollständige Überprüfung mit automatischer Bereinigung.
Tweaks
Wer nicht möchte, dass gefundene Schädlinge an Microsoft gesendet werden, kann das durch einen Eintrag in der Registry abschalten.
HKEY_LOCAL_MACHINE / SOFTWARE / Policies / Microsoft / MRT
Dort einen neuen REG_DWORD Eintrag erstellen und umbenennen in:
DontReportInfectionInformation
Als Wert wird 1 eingetragen.
Sollte sich MRT.exe nicht auf dem Rechner befinden muss das Archiv von Microsoft geladen werden. Dann den Dateinamen durch Anhängen von .zip umbenennen und entpacken.
https://www.microsoft.com/en-us/security…re-removal.aspx
Achtung: Es wird dringend davon abgeraten das Tool von einer anderen Quelle als Microsoft zu laden. Es gibt mindestens einen Schädling der den gleichen Namen benutzt!