Hi allz,

hier mal ne Anleitung, wie man zumindest für einen Monat das WU davon überzeugt, dass das Tool install ist.
Aba erstmal nen paar Links:

Download

KB Artikel , enthält auch die Liste der v. Tool erkannten bösartigen Software

KB Artikel , enthält die Versions ID's, die sich jeden Monat ändert, ziemlich weit unten

1. Die runtergeladene exe m. Winrar entpacken.
2. Die mrt.exe nach System32 kopieren
3. im Ordner C:\Windows\Debug ne Datei mrt.log anlegen, mit folgenden Inhalt:

Code

---------------------------------------------------------------------------------------

Microsoft Windows Malicious Software Removal Tool v1.17, June 2006
Started On Sat Jun 17 14:53:25 2006

Results Summary:
----------------
No infection found.

Return code: 0
Microsoft Windows Malicious Software Removal Tool Finished On Sat Jun 17 14:54:20 2006

4. die folgenden Regwerte eintragen:



Die rote Versionsnr. ändert sich jeden Monat u. kann aus der Tabelle siehe KB Artikel geholt werden.

PS: Punkt 3 is nur notwendig, wenn erfolgreiches Sccannen simuliert werden soll. Das WU erkennt das install Tool auch ohne die *log Datei

Der Beitrag wurde bearbeitet von ari - 06. Jul 2006, 15:39 Uhr.

Hoppla,
genau das gleiche hatte ich gestern abend herausgefunden (IMG:style_emoticons/dark/secret.gif)

Ich habe es aber auch ohne Punkt 1-3 hinbekommen.

Punkt 4 reicht vollkommen

Hi Rodger,

thx für den Hinweis.

Stimmt funzt auch ohne die mrt.exe (IMG:style_emoticons/dark/clap.gif) (IMG:style_emoticons/dark/unworthy.gif)

Hi allz,

da ich inzwischen den Eintrag zum KB890830 in der PatchDB autom. aktualisieren lasse, bleibt nur noch die Aktualisierung eurer Systeme, damit euch WU nicht jeden Monat mit dem Tool nervt.

Nachdem ich die Registryeinträge v. 1. Post nochmal gecheckt hab, is mir aufgefallen, das diese Einträge ausreichen, um der WU Seite vor zugauckeln, dass ihr das Tool ausgeführt habt:


Das einzige, was sich jeden Monat mind 1x ändert, is die VersionsID.

also hab ich dafür mal nen AU Script gebastelt.
Das Script prüft, ob ihr den Eintrag "Version"=".... in der Registry stehen habt.
1. Wenn nicht wird er und der Eintrag "EULA"=dword:00000001 in die Registry eingetragen.
2. Wenn ihr den Eintrag bereits in der Registry stehen habt, wird er mit der aktuellen VersionsID verglichen, wenns Unterschiede gibt, wird der neue Eintrag in die Registry eingetragen.

Den aktuellen Wert holt sich das Script vom Eintag in meiner PatchDB. Den hab ich dafür extra e bissel mit html Kommentaren frisiert, damit der leichter gefunden werden kann.


Die html Datei wird runtergeladen und im Tempordner in nem Tempfile gespeichert.
Der Inhalt der Datei wird dann in ner Variablen gespeichert, die dann nach der ID durchsucht wird.
Das Tempfile wird wieder gelöscht.

Für die User, die sich das Script in den Autostart legen wollen, hab ich ne Startverzögerung mit eingebaut, damit kann die Ausführung d. Scripts verzögert werden.

Die Zeit (in Sekunden), die das Script warten soll kann als Switch an die exe angehangen werden:


 mrtcheck.rar ( 184.13KB ) Download nur für angemeldete User ( Anmeldung | Registrierung )

Hi ari,
hab ein kleines Problem:

neu installiertes XP:
Wenn ich deinen Reg-Eintrag mit der ID vom Juli verwende wird das Update im Update Center immernoch angezeigt.

Wenn ich dagegen die ID vom Juni verwende verschwindet es aus dem Update Center.

Kann es sein, dass die ID für den Juli falsch ist?



Da ich ja wei gesagt die ID für den Juni verwendet habe, wundert es mich, dass mir die Version vom Juli nicht angezeigt wird.

Darüber wäre ich zwar froh, wenn das Tool sich nicht mehr beim Updaten melden würde, aber warum ist dies so?

Hi Tweaky,

leider, (IMG:style_emoticons/dark/(.gif)

die ID stimmt, aba MS hat da wohl was geändert. Ich hab das am Dienstag auch mitbekommen, dass der eintrag der neuen ID nicht mehr reicht.
Hab heut mal auf nen MRT freien System den Patch/Tool install und die Install aufzeichnen lassen.
So wie es aussieht wird ab diesen Monat gar kein Regwert mehr gesetzt, sondern nur noch die mrt.exe ins System32 Verzeichnis kopiert.
Warum die Juni ID dann trotzdem noch funzt, weiß ich leider auch nich.

Hast schon probiert die Juni Version per Reg zu simulieren?

Wird dir dann das Juli-Update auch nicht angezeigt?

Bei mir erscheint das Juli Update nämlich nicht (IMG:style_emoticons/dark/thumbsup.gif)

Jou, goldrichtig @ Tweaky (IMG:style_emoticons/dark/clap.gif) (IMG:style_emoticons/dark/respect.gif)

funzt beides, hab ich gerade auf nem mrt freien System getestet.

Entweder der Regkey v. Juni oder die mrt.exe v. Juli ind den system32 Ordner kopieren.

Mal sehen wie lange bzw. was sich MS dann noch einfallen läßt.

Is natürlich (IMG:style_emoticons/dark/angry.gif) , denn dann hab ich das AU Script umsonst gemacht (IMG:style_emoticons/dark/rant.gif)

Ich hätte da aba schon ne Idee, wie man das mit der mrt.exe per AU Script machen könnte, wenn die ID v. Juni dann auch nicht mehr geht.
Setzt allerdings voraus, das Winrar install ist.
Es gab aba mal irgendwo im Inet ne rar.dll, mit der man sich auf Basis der RAR Packtechnik sein eigenes Packprogi bauen konnte.
Aba warten wir mal d. nächsten Monat ab

Beim AntiVirenTool August kann man wieder per Reg simulieren, dass es installiert ist. (IMG:style_emoticons/dark/D.gif)
Hatte wohl Microsoft beim Juli Update irgendeinen Fehler reingehauen, da es dort ja nicht gegangen ist. (IMG:style_emoticons/dark/wallbash.gif)

Yippi (IMG:style_emoticons/dark/respect.gif)

Man du bist aba fix unterwegs (IMG:style_emoticons/dark/scooter.gif)

big thx dass du das schon getestet hast, (IMG:style_emoticons/dark/thumbsup.gif) (IMG:style_emoticons/dark/unworthy.gif)

ich werde dich zum MRT Tool Chef befördern (IMG:style_emoticons/dark/lol.gif)

da kann ich ja froh sein, das ich das Script noch nich gelöscht hab (IMG:style_emoticons/dark/animier.gif)

hm, jetzt bin ich eh bissel sprachlos. bei mir gehts nich mit dem Regkey (IMG:style_emoticons/dark/crybaby.gif)
Oder hast du noch die ID v. Juni drin in der Registry (IMG:style_emoticons/dark/question.gif)

EDIT:

mit der mrt.exe v. diesen Monat klappts auch wieder, also so wies aussieht dasselbe wie im Juli

Jo ich habe die ID vom Juni noch in der reg, wobei die ja eigentlich durch die ID vom Aug überschrieben werden müßte und es so egal sein dürfte (IMG:style_emoticons/dark/;).gif)
mrt.exe habe ich übrigens keine auf der Platte

(IMG:style_emoticons/dark/wallbash.gif)

ich Depp, klar doch die mrt.exe muß wieder raus aus d. System32 Ordner. big thx (IMG:style_emoticons/dark/clap.gif)

hm, jetzt gehts nicht mehr.

Habe ein Image wieder aufgespielt.

Darin ist der Reg-Eintrag von dem Juni-Update.

Nun habe ich die Reg vom August ausgeführt. Im Windows Update wird das Update nicht mehr angezeigt. Aber das gelbe Schild unten rechts zeigt es mir an. Habe die Reg auch schon mehrmals ausgeführt und neu gestartet. Das Schild bleibt.

ups vergessen einzuloggen.

Ist das gleiche Image wie das wo ich am 08.08. ausprobiert habe. Damals hat die Reg vom Aug funktioniert. Komisch, spinnt jetzt das gelbe Schild oder wie?

ich hab vorige Woche Mittwoch gleich nach dem Patchday platt gemacht und neu install und bei mir funzt alles.

was fürn gelbes Dreieck meinst du is v. Auto Update Dienst oder. den hab ich bei mir komplett deaktiviert. (IMG:style_emoticons/dark/;).gif)

ja genau das Schild vom Auto Update Dienst meine ich.
Finde das Schild nicht schlecht. So sehe ich leichter wenn neue Updates da sind.
Dann kann ich gleich auf deine Seite gehen und die neuen herunterladen (IMG:style_emoticons/dark/D.gif)

bei deiner neuinst hast du den Reg-Key vom August hinzugefügt und es klappt?

Jupp, genau den Key v. August, mehr nich

guck mal, ob du noch die mrt.exe im System32 Ordner liegen hast

die mrt.exe hatte ich noch nie drauf.
Hab sicherheitshalber nochmal geschaut.

Was solls.

Warten wir halten bis September

Habe nun nochmal das gleiche Image hergeholt und den Reg für den August ausgeführt

Nun meldet mir das gelbe Schild nicht mehr, dass das August Update fehlt.
So muss es sein. (IMG:style_emoticons/dark/harhar.gif)