Das "Windows-Tool zum Entfernen bösartiger Software"
Auf dieser Seite
Verbreitete Software-Schädlinge dingfest machen und entfernen
In beständiger Regelmäßigkeit treiben elektronische Plagegeister ihr Unwesen im Internet. Selbst Würmer wie Blaster und Sasser, die seit längerer Zeit bekannt sind, finden immer wieder „dankbare Opfer“ – in PCs, deren Sicherheitsvorkehrungen völlig veraltet und alles andere als auf aktuellem Stand sind. Betroffene wissen: Hat sich ein Schädling erst einmal auf dem Computer eingenistet, kann es recht aufwendig sein, diesen wieder loszuwerden. Denn am Anfang steht die Frage, um welchen Störenfried es sich überhaupt handelt, um sich anschließend gezielt seiner Beseitigung widmen zu können.
Was MSRT ist – und was nicht
Für weit verbreitete Vertreter böswilliger Software, die gemeinhin als „Malware“ bekannt ist, gibt es von Microsoft eine neue Form der Abhilfe. Ergänzend zu den eigenen sowie den Sicherheits-Offerten von Security-Anbietern stellt Microsoft seit Januar 2005 das einheitliche Windows-Tool zum Entfernen bösartiger Software (Malicious Software Removal Tool, kurz „MSRT“) zum kostenlosen Download im Internet bereit. Hiermit lassen sich Windows 2000-, Windows XP- und Windows Server 2003-Computer auf Infektionen durch weit verbreitete Schädlinge untersuchen (Liste der von diesem Tool entfernten schädlichen Software). Stellt MSRT eine Infektion fest, wird der Schädling vom Computer entfernt. Technische Hintergründe über das Windows-Tool zum Entfernen bösartiger Software sind im Knowledge-Base-Artikel 890830 enthalten.
MSRT ist somit weder ein Antivirus-Programm noch zur automatischen Abwehr von Angriffen auf den PC geeignet. Vielmehr hat Microsoft das Windows-Tool zum Entfernen bösartiger Software genau dafür konzipiert, einen mit gängiger Malware infizierten Windows-PC davon wieder zu säubern. Antivirus-, Firewall- und weitere Sicherheits-Lösungen kann MSRT daher nicht ersetzen, sondern nur sinnvoll ergänzen. Ebenso wenig ist das Microsoft Tool zum Entfernen bösartiger Software zur Bekämpfung von Spyware gedacht. Dieser Aufgabe nimmt sich vielmehr Microsoft Windows AntiSpyware an.
Jeden Monat aktuell
Neben Blaster, Mydoom und Sasser erkennt MSRT auch die Schädlinge Berbew, DoomJuice, Gaobot, Nachi und Zindos. Somit gehört die aufwendige Suche nach dem passenden Erkennungs- und Beseitigungs-Tool für weit verbreitete Malware der Vergangenheit an. MSRT kann mehrere gängige Vertreter von bösartiger Software in einem Durchgang identifizieren und ihr den Garaus machen. Die Verwendung unterschiedlicher Scan- und Removal-Programme, die Microsoft beispielsweise für Blaster, Mydoom und Sasser in der Vergangenheit herausgebracht hat, wird mit dem Windows-Tool zum Entfernen bösartiger Software obsolet.
Findet künftig weitere – oder neue – Malware große Verbreitung, nimmt sich MSRT dieser ebenfalls an. Zu diesem Zweck veröffentlicht Microsoft an jedem zweiten Dienstag eines Monats eine aktualisierte Version dieses Tools. Erlangt ein weiterer Malware-Typ hohe Verbreitung, kann das Programm auch diese bösartige Software erfolgreich eliminieren. Sicherheitshalber erscheint daher beim Aufruf einer Version, die mehr als 60 Tage alt ist, ein entsprechender Hinweis, die aktuelle Version aus dem Internet herunter zu laden.
Aufrufvarianten
Das Windows-Tool zum Entfernen bösartiger Software steht im Internet im Microsoft Download Center kostenlos zum Herunterladen bereit. Des Weiteren ist MSRT auch über Windows Update erhältlich. Wer die automatische Update-Funktion seines Windows XP-PCs entsprechend konfiguriert hat, verfügt auf dem Computer immer über die aktuelle Version dieses Tools.
Darüber hinaus existiert eine spezielle Online-Version dieses Tools, die sich direkt aus dem Webbrowser heraus ausführen lässt, um auch auf diesem Weg den Infektionsstatus eines PCs schnell zu ermitteln.
Die Windows-Ausführung von MSRT kennt den Befehlszeilenparameter /Q. Hierdurch wird der „Quiet“-Modus aktiviert, mit dem das Tool seine Arbeit still im Hintergrund verrichtet. Andernfalls erscheint (ebenso wie bei der Online-Variante) die grafische Oberfläche von MSRT. Ob das Windows-Tool zum Entfernen bösartiger Software auf dem PC bereits ausgeführt wurde, ist jederzeit anhand des Eintrags Version im Registrierungs-Schlüssel HKEY_Local_Machine\Software\Microsoft\RemovalTools\MRT zu erkennen.
Bei der Arbeit
Nach dem Abschluss seiner Tätigkeit erstellt das Tool ein Protokoll in Form der Datei Mrt.log. Diese befindet sich im Ordner %windir%\Debug und besitzt mehrere Abschnitte: Die Versionsnummer von MSRT sowie den Startzeitpunkt der Ausführung weist die Kopfzeile aus. Daraufhin folgen Details zu gefundenen Infektionen auf dem PC, Warnungen und eventuelle Fehlermeldungen. Ergebnisse der Arbeit von MSRT sind in der Zusammenfassung aufgeführt. Die Fußzeile schließlich gibt an, wann das Tool seine Arbeit beendet hat.
Erkennt MSRT eine Infektion oder beendet seine Arbeit mit einem Fehler (siehe auch Knowledge-Base-Artikel 891717), wird an Microsoft ein Bericht übertragen. Die darin enthaltenen Angaben helfen Microsoft dabei, die Verbreitung einer bestimmten Malware zu verfolgen und die Möglichkeiten ihrer Beseitigung weiter zu optimieren. Aus diesem Grund umfasst der Bericht ausschließlich MSRT-relevante Informationen, zu den Namen der erkannten Malware, das Ergebnis ihrer Entfernung, die Betriebssystemversion, das Gebietsschema sowie die Prozessorarchitektur umfassen. Weitere Daten überträgt MSRT nicht. Sollen im Falle einer Infektion und Säuberung diese Informationen nicht an Microsoft gesandt werden, ist in der Registrierung des PCs der Eintrag DontReportInfectionInformation vom Typ DWord im Schlüssel HKEY_Local_Machine\Software\Policies\Microsoft\MRT zu erstellen und mit dem Wert 1 zu versehen. Falls der PC für den Erhalt wichtiger Windows-Updates von einem firmeninternen Server mit SUS (Software Update Services) bzw. WUS (Windows Update Services) konfiguriert ist, sendet MSRT von sich aus keine Angaben an Microsoft.
Unternehmenseinsatz
MSRT fasst bisher getrennte Scan-Programme von Microsoft zur Infektionserkennung und -beseitigung weit verbreiteter Malware in einem einzigen Programm zusammen. Derzeit unterstützt MSRT noch nicht die automatische Bereitstellung in einem Unternehmens-LAN über SUS bzw. WUS. Zudem konzentriert sich MSRT derzeit auf den lokalen PC. Remote-Computer kann das Windows-Tool zum Entfernen bösartiger Software nicht untersuchen.
Mit geeigneten Verfahren lässt sich MSRT jedoch auch im Firmennetz bereitstellen und auf den dortigen PCs ausführen. Ausführliche Details hierzu hält der Knowledge-Base-Artikel 891716 bereit. Alternativ zur Verteilung als Software-Paket etwa über Microsoft SMS (Systems Management Server) kann MSRT beispielsweise skriptgesteuert per Gruppenrichtlinie gestartet und darüber auf Arbeitsplatz-PCs sowie Servern automatisch gestartet werden. Die jeweils aktuelle MSRT-Version lässt sich dabei bequem auf einer allgemein zugängigen Netzwerkfreigabe platzieren. Genauso kann die MSRT-Protokolldatei eines jeden Computers skriptgesteuert auf eine zentrale Netzwerkfreigabe kopiert werden, um Administratoren eine einfache Auswertung zu ermöglichen.
Wirkungsvolle Schutz-Ergänzung
Mit dem Windows-Tool zum Entfernen bösartiger Software gebietet Microsoft dem destruktiven Treiben weit verbreiteter Malware – ergänzend zu Virenschutz und Firewall - Einhalt. MSRT ist neben Windows Update, Service Pack 2 für Windows XP & Co. eine weitere Maßnahme von Microsoft, um die Sicherheit von PCs im Internet-Zeitalter wirksam zu optimieren.
Whitepaper zum Malicious Software Removal Tool (MSRT): Entwicklungen im Malwarebereich, Erfolg des Tool
Als das Whitepaper erstellt wurde hat Microsoft bereits 16 stetig verbesserte Versionen des Tools zur Verfügung gestellt. Seit der Veröffentlichung der ersten Version von MSRT wurde das Tool etwa 2,7 Milliarden Mal auf mindestens 270 Millionen einzelnen Computern ausgeführt. Der Bericht bietet einen umfassenden Einblick in die Entwicklungen im Malwarebereich, basierend auf den von MSRT erfassten Daten. Darüber hinaus wird beleuchtet, inwieweit MSRT die Beeinträchtigung von Windows-Benutzern reduzieren konnte. Näheres im Whitepaper zum Malicious Software Removal Tool (MSRT).