Mrt exe средство для удаления вредоносного ПО для Microsoft Windows
Обновлено: 21.11.2024
Примечание. Эта загадка раскрыта. См. обновление от 15 июля внизу.
9 июля выпало вторник патчей, и я добросовестно запустил Центр обновления Windows на нескольких компьютерах. Я думал, возможно, средство удаления вредоносных программ для Windows устанавливалось неоднократно, но я не уделяю должного внимания исправлению каждой ошибки.
Это комплимент для Microsoft, так как это означает, что их программное обеспечение для исправления работает достаточно хорошо большую часть времени, поэтому его можно просто оставить делать свое дело. Каждый вторник исправлений в прессе всегда появляются статьи о различных исправлениях ошибок, но я давно перестал беспокоиться о деталях.
Конечно, для любого компьютера, на котором я работаю, периодически создается резервная копия с полным образом диска, потому что исправления ошибок могут вызвать больше проблем, чем исправить.
На следующих нескольких компьютерах я стал уделять больше внимания, и, конечно же, средство удаления вредоносных программ для Windows (MSRT) за июль 2013 года устанавливалось дважды на каждый компьютер. Я видел это на Windows 7, 8 и XP.
MSRT можно рассматривать как облегченный антивирус. Microsoft очень ясно, что это не антивирусное программное обеспечение. Большая разница в том, что он ничего не делает для защиты от заражения и запускается только по требованию. Кроме того, он нацелен на несколько избранных вредоносных программ, а не на широкий спектр, с которым имеет дело обычное антивирусное программное обеспечение.
Обычно выходит один выпуск MSRT в месяц.
Если вы позволите Центру обновления Windows делать свою работу в полностью автоматическом режиме, вы не заметите двойной установки MSRT в этом месяце. Если вы запустите Центр обновления Windows вручную, вы также не увидите ничего необычного. Чтобы заметить двойную установку, вам нужно запустить Центр обновления Windows вручную, перезагрузиться, а затем снова запустить его. Я так и делаю.
Является ли эта двойная установка ошибкой?
Я видел исправления, которые устанавливались, устанавливались и устанавливались снова и снова. Иногда Центр обновления Windows зацикливается, не зная, что исправление уже установлено. Однако здесь это не так, поскольку версия MSRT от июля 2013 года всегда устанавливается дважды, а не трижды.
Средством удаления вредоносных программ является файл mrt.exe в папке C:\Windows\System32. Свойства этого файла говорят сами за себя.
ОКНА 7
Один компьютер с Windows 7 начал работу с выпуском MSRT от июня 2013 г. Свойства файла mrt.exe показали, что последний раз он был изменен 2 июня 2013 г. в 17:11. Версия файла была 4.21.7500.0.
После первой установки выпуска MSRT за июль 2013 г. файл mrt.exe имел версию 4.22.7601.0 и последний раз изменялся 9 июля 2013 г. в 16:25. Как и следовало ожидать, и дата модификации, и версия файла расширены.
На других компьютерах с Windows 7 временные метки последнего изменения были другими, но все они имели версию 4.22.7601.0 mrt.exe.
После второй установки выпуска MSRT за июль 2013 г. версия файла была 5.2.9201.0, а дата последнего изменения — 24 июня 2013 г., 00:57. Таким образом, хотя версия увеличилась, дата пошла назад.
Вы можете увидеть двойную установку ниже. MSRT в 64-разрядных системах Windows 7 отображается как «Средство удаления вредоносных программ для Windows x64 — июль 2013 г. (KB890830)».
ОКНА 8
Система Windows 8, которую я использовал, отставала от исправления ошибок на несколько месяцев. В последний раз MSRT устанавливался в марте 2013 г.
10 июля я запустил Центр обновления Windows и установил «Средство удаления вредоносных программ для Windows 8 — июль 2013 г. (KB890830)». Затем я перезагрузился и снова запустил Центр обновления Windows. Как и в Windows 7, он снова хотел установить выпуск MSRT от июля 2013 года.
После второго обхода файл mrt.exe имел версию 5.2.9201.0, такую же, как и в Windows 7. Дата последнего изменения: 24 июня 2013 г., 00:37, такая же, как и в Windows 7.< /p>
WINDOWS XP
Система Windows XP запускалась с файлом mrt.exe версии 4.19.7304.0, последнее изменение 6 мая 2013 г., 15:38. Это выпуск MSRT за апрель 2013 г.
При первом запуске Центра обновления Windows (11 июля) была установлена версия MSRT от июля 2013 года. В результате получился файл mrt.exe версии 4.22.7601.0, последний раз измененный 24 июня 2013 г. в 00:16.
При следующем запуске Центра обновления Windows (также 11 июля) была установлена еще одна копия MSRT, также датированная июлем 2013 года. После этого файл mrt.exe имел версию 5.2.9201.0, такую же, как в Windows 7 и 8. Дата последней модификации было 24 июня 2013 г., 00:37, что снова соответствует другим версиям Windows.
ЧТО ПРОИСХОДИТ?
Похоже, что при первой установке MSRT за июль 2013 г. всегда устанавливается версия 4.22.7601.0. Однако дата и время последней модификации файла различаются (это может быть связано с запуском Центра обновления Windows). Второй этап выпуска MSRT за июль 2013 г. всегда устанавливает версию 5.2.9201.0 с последовательной датой последнего обновления 24 июня 2013 г., 00:37.
Почему изменилось поведение? Мне не удалось найти документацию об этом от Microsoft. Ни в одной из статей, которые я читал об исправлениях от июля 2013 года, MSRT вообще не упоминается.
Microsoft опубликовала статью о средстве удаления вредоносных программ для Microsoft Windows (идентификатор статьи: 890830), последний раз рецензируемую сегодня, 12 июля. В нем говорится: «Майкрософт выпускает новую версию средства удаления вредоносных программ Microsoft каждый месяц». Очевидно, что это неправда, поскольку в этом месяце было два выпуска.
В разделе «Информация о выпуске» этой статьи показано, что MSRT последний раз обновлялся в июне 2013 г. и имеет версию 4.21, поэтому сегодняшний обзор был далеко не идеальным.
На странице загрузки MSRT указана версия 5.2. Если это последняя версия, а она кажется таковой, то зачем заставлять каждый компьютер сначала устанавливать версию 4.x перед обновлением до версии 5.2?
Я связался с Microsoft, и если я получу от них ответ, обновлю это.
Обновление: Microsoft отказалась от комментариев.
Обновление от 15 июля 2013 г. Сьюзен Брэдли нашла чат Technet, посвященный исправлениям, выпущенным в июле 2013 г., которые устраняют эту проблему. По словам Microsoft, «мы находимся в процессе развертывания новой версии MSRT, и для управления рисками мы выпускаем новую версию поэтапно в течение нескольких месяцев». Спасибо, Сьюзан.
Майкл Горовиц — независимый консультант, давно занимающийся оборонными вычислениями.
Windows 10 Windows 7 Домашняя базовая Windows 7 Домашняя расширенная Windows 7 Профессиональная Windows 7 Профессиональная N Windows 7 Начальная Windows 7 Начальная N Windows 7 Максимальная Windows 7 Максимальная N Windows 8 Windows 8 Корпоративная Windows 8 Pro Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Standard Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 7 Enterprise N Дополнительно. Меньше
Средство удаления вредоносных программ для Windows предназначено для использования с операционными системами, перечисленными в разделе «Относится к». Операционные системы, не вошедшие в список, не тестировались и поэтому не поддерживаются. К таким неподдерживаемым операционным системам относятся все версии и выпуски встроенных операционных систем.
Введение
Майкрософт обычно выпускает средство удаления вредоносных программ для Windows (MSRT) ежемесячно как часть Центра обновления Windows или как отдельное средство. Используйте этот инструмент, чтобы найти и удалить определенные распространенные угрозы и отменить внесенные ими изменения (см. покрытые угрозы). Для комплексного обнаружения и удаления вредоносных программ рассмотрите возможность использования Microsoft Safety Scanner.
Этот инструмент дополняет существующие решения для защиты от вредоносных программ и может использоваться в большинстве последних версий Windows (см. раздел "Свойства").
Информация, содержащаяся в этой статье, относится к корпоративному развертыванию инструмента. Мы рекомендуем вам просмотреть следующую статью базы знаний для получения дополнительной информации об этом инструменте:
Загрузить инструмент
Вы можете вручную загрузить MSRT из Центра загрузки Майкрософт. Следующие файлы доступны для загрузки из Центра загрузки Майкрософт:
Для 32-разрядных систем на базе x86:
Загрузите пакет x86 MSRT прямо сейчас.
Для 64-разрядных систем на базе x64:
Загрузите пакет x64 MSRT прямо сейчас.
Обзор развертывания
Этот инструмент можно развернуть в корпоративной среде для улучшения существующей защиты и в рамках стратегии глубокоэшелонированной защиты. Чтобы развернуть инструмент в корпоративной среде, вы можете использовать один или несколько из следующих методов:
Службы обновления Windows Server
Программный пакет Microsoft Systems Management Software (SMS)
Сценарий запуска компьютера на основе групповой политики
Сценарий входа пользователя на основе групповой политики
Текущая версия этого инструмента не поддерживает следующие технологии и методы развертывания:
Каталог Центра обновления Windows
Выполнение инструмента на удаленном компьютере
Службы обновления программного обеспечения (SUS)
Кроме того, Microsoft Baseline Security Analyzer (MBSA) не обнаруживает запуск инструмента. В этой статье содержится информация о том, как можно проверить выполнение инструмента в рамках развертывания.
Пример кода
Приведенный здесь сценарий и шаги предназначены только для образцов и примеров. Клиенты должны протестировать эти примеры сценариев и примеры сценариев и соответствующим образом изменить их для работы в своей среде. Вы должны изменить ServerName и ShareName в соответствии с настройкой в вашей среде.
В следующем примере кода выполняются следующие действия:
Запускает инструмент в автоматическом режиме
Копирует файл журнала в предварительно настроенную сетевую папку
Добавляет в журнал имя файла в качестве префикса, используя имя компьютера, с которого запущен инструмент, и имя текущего пользователя
Примечание. Необходимо установить соответствующие разрешения для общего ресурса в соответствии с инструкциями в разделе «Начальная установка и конфигурация».
Примечание. В этом примере кода ServerName — это заполнитель для имени вашего сервера, а ShareName — это заполнитель для имени вашего общего ресурса.
Первоначальная установка и настройка
Этот раздел предназначен для администраторов, использующих сценарий запуска или сценарий входа в систему для развертывания этого инструмента. Если вы используете SMS, вы можете перейти к разделу «Способы развертывания».
Чтобы настроить сервер и общий ресурс, выполните следующие действия:
Настройте общий ресурс на рядовом сервере. Затем назовите общий ресурс
ShareName.
Скопируйте средство и пример сценария RunMRT.cmd в общую папку. Дополнительные сведения см. в разделе «Пример кода».
Настройте следующие разрешения общего доступа и разрешения файловой системы NTFS:
Добавьте учетную запись пользователя домена для пользователя, который управляет этой общей папкой, а затем нажмите "Полный доступ".
Удалите группу "Все".
Если вы используете сценарий запуска компьютера, добавьте группу «Компьютеры домена» вместе с разрешениями «Изменение» и «Чтение».
Если вы используете сценарий входа в систему, добавьте группу «Прошедшие проверку» вместе с разрешениями «Изменение» и «Чтение».
Добавьте учетную запись пользователя домена для пользователя, который управляет этой общей папкой, а затем нажмите "Полный доступ".
Удалите группу «Все», если она есть в списке.
Примечание. Если вы получаете сообщение об ошибке при удалении группы «Все», нажмите «Дополнительно» на вкладке «Безопасность», а затем снимите флажок «Разрешить наследуемые разрешения от родителя для распространения на этот объект».
Если вы используете сценарий запуска компьютера, предоставьте группе "Компьютеры домена" разрешения на чтение и выполнение, разрешения на просмотр содержимого папки и разрешения на чтение.
Если вы используете сценарий входа в систему, предоставьте группе «Прошедшие проверку» разрешения на чтение и выполнение, разрешения на просмотр содержимого папки и разрешения на чтение.
В папке ShareName создайте папку с именем Logs.
В этой папке будут собраны окончательные файлы журналов после запуска инструмента на клиентских компьютерах.
Чтобы настроить разрешения NTFS для папки журналов, выполните следующие действия.
Примечание. Не изменяйте разрешения общего доступа на этом шаге.
Добавьте учетную запись пользователя домена для пользователя, который управляет этой общей папкой, а затем нажмите "Полный доступ".
Если вы используете метод сценария запуска компьютера, предоставьте группе "Компьютеры домена" разрешения на изменение, разрешения "Чтение и выполнение", разрешения на получение списка содержимого папки, разрешения на чтение и разрешения на запись.
Если вы используете сценарий входа в систему, предоставьте группе «Прошедшие проверку» разрешения на изменение, разрешения «Чтение и выполнение», разрешения на получение списка содержимого папки, разрешения на чтение и разрешения на запись.
Методы развертывания
Примечание. Для запуска этого инструмента необходимы права администратора или системные разрешения, независимо от выбранного варианта развертывания.
Как пользоваться программным пакетом SMS
В следующем примере приведены пошаговые инструкции по использованию SMS 2003. Действия по использованию SMS 2.0 аналогичны этим шагам.
Извлеките файл Mrt.exe из пакета с именем Windows-KB890830-V1.34-ENU.exe /x.
Создайте файл .bat для запуска Mrt.exe и получения кода возврата с помощью ISMIF32.exe.
Ниже приведен пример.
Дополнительные сведения об Ismif32.exe см. в следующей статье базы знаний Майкрософт:
186415 Состояние создателя MIF, Ismif32.exe доступен
Чтобы создать пакет в консоли SMS 2003, выполните следующие действия:
Откройте консоль администратора SMS.
Щелкните правой кнопкой мыши узел "Пакеты", выберите
Создать и выберите "Пакет".
Отображается диалоговое окно
Свойства пакета.
На вкладке "Общие" укажите имя пакета.
На вкладке Источник данных установите флажок Этот пакет содержит исходные файлы.
Нажмите «Установить», а затем выберите исходный каталог, содержащий инструмент.
На вкладке "Настройки рассылки" установите для параметра "Приоритет отправки" значение "Высокий".
На вкладке "Отчетность" нажмите "Использовать эти поля для сопоставления статуса MIF", а затем укажите имя для поля "Имя файла MIF" и для поля
Имя.
Версия и издатель не являются обязательными.
Нажмите "ОК", чтобы создать пакет.
Чтобы указать точку распространения (DP) для пакета, выполните следующие действия:
В консоли SMS 2003 найдите новый пакет в узле "Пакеты".
Развернуть пакет. Щелкните правой кнопкой мыши "Точки распространения", выберите "Создать" и выберите "Точки распространения".
Запустите мастер создания новых точек распространения. Выберите существующую точку распространения.
Нажмите "Готово", чтобы выйти из мастера.
Чтобы добавить ранее созданный пакетный файл в новый пакет, выполните следующие действия:
Под узлом нового пакета щелкните узел Программы.
Щелкните правой кнопкой мыши "Программы", выберите
Создать и выберите "Программа".
Перейдите на вкладку "Общие" и введите допустимое имя.
В командной строке нажмите
Обзор, чтобы выбрать пакетный файл, который вы создали для запуска Mrt.exe.
Измените Run на
Скрытый. Изменить «После» на «Действие не требуется».
Перейдите на вкладку "Требования" и выберите "Эта программа может работать только в указанных клиентских операционных системах".
Нажмите Все x86 Windows XP.
Перейдите на вкладку "Среда" и выберите
Выполнить ли пользователь вход в список "Программа может запускаться". Установите для параметра «Режим запуска» значение «Запуск с правами администратора».
Нажмите "ОК", чтобы закрыть диалоговое окно.
Чтобы создать объявление для рекламы программы клиентам, выполните следующие действия:
Щелкните правой кнопкой мыши узел "Реклама", выберите "Создать" и выберите
Реклама.
На вкладке "Общие" введите название объявления. В поле Пакет выберите ранее созданный пакет. В поле «Программа» выберите ранее созданную программу. Нажмите кнопку «Обзор», а затем выберите коллекцию «Все системы» или выберите коллекцию компьютеров, включающую только Windows Vista и более поздние версии.
На вкладке Расписание оставьте параметры по умолчанию, если вы хотите, чтобы программа запускалась только один раз. Чтобы запустить программу по расписанию, назначьте интервал расписания.
Установите высокий приоритет.
Нажмите OK, чтобы создать объявление.
Как использовать сценарий запуска компьютера на основе групповой политики
Этот метод требует перезагрузки клиентского компьютера после настройки сценария и применения параметра групповой политики.
Настройте общие ресурсы. Для этого выполните действия, описанные в разделе
Начальная установка и настройка
Настройте сценарий запуска. Для этого выполните следующие действия:
В оснастке MMC "Пользователи и компьютеры Active Directory" щелкните правой кнопкой мыши имя домена и выберите
Свойства.
Перейдите на вкладку "Групповая политика".
Нажмите «Создать», чтобы создать новый объект групповой политики (GPO), и введите MRT Deployment в качестве имени политики.
Выберите новую политику, а затем нажмите "Изменить".
Разверните Параметры Windows для конфигурации компьютера и нажмите Сценарии.
Дважды щелкните «Войти», а затем нажмите «Добавить».
Отображается диалоговое окно "Добавить скрипт".
В поле "Имя сценария" введите
\\ServerName\ShareName\RunMRT.cmd.
Нажмите "ОК", а затем "Применить".
Перезагрузите клиентские компьютеры, входящие в этот домен.
Как использовать сценарий входа пользователя на основе групповой политики
Этот метод требует, чтобы учетная запись пользователя для входа в систему была учетной записью домена и входила в группу локальных администраторов на клиентском компьютере.
Настройте общие ресурсы. Для этого выполните действия, описанные в разделе
Начальная установка и настройка
Настройте сценарий входа. Для этого выполните следующие действия:
В оснастке MMC "Пользователи и компьютеры Active Directory" щелкните правой кнопкой мыши имя домена и выберите
Свойства.
Перейдите на вкладку "Групповая политика".
Нажмите «Создать», чтобы создать новый объект групповой политики, а затем введите MRT Deployment в качестве имени.
Нажмите на новую политику, а затем нажмите
Изменить.
Разверните Параметры Windows для конфигурации пользователя и нажмите Сценарии.
Дважды щелкните «Войти», а затем нажмите «Добавить». Отобразится диалоговое окно «Добавить сценарий».
В поле "Имя сценария" введите
\\ServerName\ShareName\RunMRT.cmd.
Нажмите "ОК", а затем "Применить".
Выйдите из системы, а затем войдите на клиентские компьютеры.
В этом сценарии сценарий и инструмент будут работать в контексте вошедшего в систему пользователя. Если этот пользователь не принадлежит к группе локальных администраторов или не имеет достаточных разрешений, средство не запустится и не вернет соответствующий код возврата. Дополнительные сведения об использовании сценариев запуска и сценариев входа см. в следующей статье базы знаний Майкрософт:
Дополнительная информация, относящаяся к корпоративному развертыванию
Как проверить коды возврата
Вы можете проверить код возврата инструмента в сценарии входа в систему развертывания или в сценарии запуска развертывания, чтобы проверить результаты выполнения. Пример того, как это сделать, см. в разделе «Пример кода».
Следующий список содержит допустимые коды возврата.
Заражение не обнаружено
Ошибка среды ОС
Не работает от имени администратора
Не поддерживаемая ОС
Ошибка инициализации сканера. (Загрузить новую копию инструмента)
Обнаружено как минимум одно заражение. Нет ошибок.
Обнаружено как минимум одно заражение, но обнаружены ошибки.
Обнаружено и удалено как минимум одно заражение, но для полного удаления требуются действия вручную.
По крайней мере одно заражение было обнаружено и удалено, но для полного удаления требуются действия вручную, и были обнаружены ошибки.
Обнаружено и удалено как минимум одно заражение, но для полного удаления требуется перезагрузка
Обнаружено и удалено как минимум одно заражение, но для полного удаления требуется перезагрузка и обнаружены ошибки
По крайней мере одно заражение было обнаружено и удалено, но для полного удаления требуются как ручные действия, так и перезагрузка.
По крайней мере одно заражение было обнаружено и удалено, но требуется перезагрузка. Ошибок не обнаружено.
Как анализировать файл журнала
Средство удаления вредоносных программ записывает сведения о результате своего выполнения в файл журнала %windir%\debug\mrt.log.
Этот файл журнала доступен только на английском языке.
Начиная с версии 1.2 средства удаления (март 2005 г.) в этом файле журнала используется текст Unicode. До версии 1.2 в файле журнала использовался текст ANSI.
Формат файла журнала изменился в версии 1.2, и мы рекомендуем вам загрузить и использовать последнюю версию инструмента.
Если этот файл журнала уже существует, инструмент дополняет существующий файл.
Вы можете использовать командный сценарий, похожий на предыдущий пример, чтобы зафиксировать код возврата и собрать файлы в общую сетевую папку.
Из-за переключения с ANSI на Unicode версия 1.2 средства удаления будет копировать все версии ANSI файла Mrt.log из папки %windir%\debug в Mrt.log.old в том же каталоге. Версия 1.2 также создает новую Unicode-версию файла Mrt.log в том же каталоге. Как и версия ANSI, этот файл журнала будет добавляться к выпуску каждого месяца.
В следующем примере показан файл Mrt.log с компьютера, зараженного червем MPnTestFile:
Ниже приведен пример файла журнала, в котором вредоносное ПО не обнаружено.
Ниже приведен пример файла журнала, в котором обнаружены ошибки.
Дополнительные сведения о предупреждениях и ошибках, вызванных этим средством, см. в следующей статье базы знаний Майкрософт:
891717 Устранение ошибки при запуске средства удаления вредоносных программ для Microsoft Windows Средство удаления вредоносных программ для Microsoft Windows версии 5.3, август 2013 г. (сборка 5.3.9300.0) Запущено, пятница, 02 августа, 16:17:49 Результаты сканирования 2013 г. : ------------- Обнаружена угроза: Вирус: Win32/MPTestFile.2004, частично удален. Операция не удалась. Действие: Очистить, Результат: 0x8007065E. Пожалуйста, используйте полный антивирусный продукт! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z Сводка результатов: --------------- - Найден вирус: Win32/MPTestFile.2004, частично удален. Средство удаления вредоносных программ для Microsoft Windows завершено Пт, 02 августа, 16:18:09 2013 Код возврата: 7 (0x7)
Известные проблемы
Известная проблема 1
При запуске средства с помощью сценария запуска в файле Mrt.log могут регистрироваться сообщения об ошибках, подобные приведенному ниже:
Ошибка: не удалось выполнить MemScanGetImagePathFromPid (pid: 552).
0x00000005: Доступ запрещен.
Примечание. Номер pid может меняться.
Это сообщение об ошибке появляется, когда процесс только запускается или недавно был остановлен. Единственный эффект заключается в том, что процесс, указанный pid, не сканируется.
Известная проблема 2
В некоторых редких случаях, если администратор решит развернуть MSRT с помощью тихого переключателя /q (также известного как автоматический режим), это может не решить проблему очистки небольшого подмножества инфекций в ситуациях, когда требуется дополнительная очистка. требуется после перезагрузки. Это наблюдалось только при удалении некоторых вариантов руткитов.
В1. Когда я тестирую свой сценарий запуска или входа в систему для развертывания инструмента, я не вижу файлы журналов, которые копируются в настроенную мной сетевую папку. Почему?
А1. Это часто вызвано проблемами с разрешениями. Например, учетная запись, из которой было запущено средство удаления, не имеет разрешения на запись в общий ресурс. Чтобы устранить эту проблему, сначала убедитесь, что инструмент запущен, проверив раздел реестра. Кроме того, вы можете проверить наличие файла журнала на клиентском компьютере.Если инструмент успешно запустился, вы можете протестировать простой сценарий и убедиться, что он может записывать в общий сетевой ресурс, когда он работает в том же контексте безопасности, в котором был запущен инструмент удаления.
Вопрос 2. Как убедиться, что средство удаления запущено на клиентском компьютере?
А2. Вы можете проверить данные значения для следующей записи реестра, чтобы проверить выполнение инструмента. Вы можете реализовать такую проверку как часть сценария запуска или сценария входа в систему. Этот процесс предотвращает многократное выполнение инструмента.
Подключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Имя записи:
Версия
Каждый раз, когда инструмент запускается, он записывает GUID в реестр, чтобы указать, что он был выполнен. Это происходит вне зависимости от результатов выполнения. В следующей таблице перечислены идентификаторы GUID, соответствующие каждому выпуску.
Если вы каждый месяц проверяете, какие обновления устанавливаются на ваш компьютер через Центр обновления Windows, вы, возможно, заметили критическое обновление KB890830 (средство удаления вредоносных программ для Windows). Это обновление содержит последнюю версию средства удаления вредоносных программ для Windows (MSRT) от Microsoft. Этот инструмент может сканировать и очищать ваш компьютер от вирусов, троянов, червей и других вредоносных программ. MSRT доступен для всех поддерживаемых версий Windows (включая Windows 7, которая в настоящее время не поддерживается).
Средство удаления вредоносных программ Microsoft Windows не является антивирусом и не защищает ваш компьютер в режиме реального времени от всех угроз. Область применения инструмента — быстрое сканирование компьютера на наличие ограниченного количества наиболее опасных вредоносных программ и угроз (по мнению Microsoft) и их удаление.
Чтобы использовать средство удаления вредоносных программ Windows, выполните следующую команду:
Доступно 3 типа сканирования:
- Быстрая проверка — быстрая проверка памяти и системных файлов, которые могут быть заражены чаще всего. При обнаружении вируса или троянской программы инструмент предложит выполнить полную проверку;
- Полная проверка — полная проверка устройства (может занять до нескольких часов в зависимости от количества файлов на диске);
- Настраиваемое сканирование — в этом режиме вы можете указать папку для сканирования.
Выберите нужный тип сканирования и дождитесь завершения сканирования.
Если зараженных файлов не обнаружено, инструмент отобразит сообщение «Вредоносное ПО не обнаружено». Если вы нажмете «Просмотреть подробные результаты сканирования», будет показан список вредоносных программ, сигнатуры которых были найдены, и статус сканирования для каждого из них.
- Обнаружено и удалено как минимум одно заражение;
- Вредоносное ПО было обнаружено, но не удалено. Это сообщение отображается, если на компьютере были обнаружены подозрительные файлы. Чтобы удалить их, используйте антивирусное приложение;
- Вредоносное ПО обнаружено и частично удалено. Чтобы удалить его полностью, вы должны использовать антивирус.
MSRT сохраняет подробный журнал сканирования в файл: %WinDir%\Debug\mrt.log .
Обратите внимание на последнюю строку журнала (Отчет пульса). Как видите, Malicious Software Removal Tool отправляет отчет в Microsoft (MSFT говорит, что он анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте параметр REG_DWORD с именем DontReportInfectionInformation и значением 1 в ключе реестра HKLM\SOFTWARE\Policies\Microsoft\MRT.
reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f
Если вы хотите отключить автоматическую загрузку и установку средства удаления вредоносных программ через Центр обновления Windows, выполните следующую команду:
reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f
MRT.exe имеет несколько параметров командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (используя SCCM, GPO или аналогичные инструменты).
- /Q – запустить инструмент в тихом режиме (в фоновом режиме без графического интерфейса)
- /N – включить режим обнаружения (инструмент только сканирует вредоносные программы, не удаляя их)
- /F — запустить полное сканирование компьютера.
- /F:Y — для запуска полной проверки компьютера и автоматического удаления зараженных файлов
Для автоматического сканирования компьютера используется специальная задача MRT_HB в планировщике заданий (Библиотека планировщика заданий -> Microsoft -> Windows -> RemovalTools).
Средство удаления вредоносных программ для Microsoft Windows (MRT.exe) — это еще одно из многих бесплатных средств безопасности от Microsoft для пользователей Windows, таких как Microsoft Security Essentials, Защитник Windows, Автономный инструмент Защитника Windows, Сканер безопасности Microsoft, и расширенный набор инструментов для смягчения последствий
Средство удаления вредоносных программ (MRT.exe)
Средство удаления вредоносных программ для Microsoft Windows, расположенное в папке System32, помогает удалять распространенные вредоносные программы с компьютеров под управлением Windows 11, Windows 10, Windows 8, Windows 7, Windows Vista и Windows Server.
Средство удаления вредоносных программ Microsoft не заменяет антивирусный продукт. Это строго инструмент для удаления после заражения.
- Этот инструмент удаляет вредоносное ПО с уже зараженного компьютера. Антивирусные продукты блокируют запуск вредоносных программ на компьютере. Значительно желательнее заблокировать запуск вредоносных программ на компьютере, чем удалять их после заражения.
- Этот инструмент удаляет только определенные распространенные вредоносные программы. Конкретное распространенное вредоносное ПО — это небольшое подмножество всех существующих на сегодняшний день вредоносных программ.
- Этот инструмент предназначен для обнаружения и удаления активных вредоносных программ. Активное вредоносное ПО — это вредоносное ПО, работающее в данный момент на компьютере. Инструмент не может удалить вредоносное программное обеспечение, которое не запущено. Однако эту задачу может выполнить антивирусный продукт.
По завершении процесса обнаружения и удаления инструмент отображает отчет с описанием результата, в том числе, какие вредоносные программы были обнаружены и удалены, если таковые имеются.
Microsoft выпускает обновленную версию этого инструмента во второй вторник каждого месяца, когда это необходимо для реагирования на инциденты, связанные с безопасностью. Версия инструмента, предоставленная Центром обновления Windows, работает в фоновом режиме и сообщает об обнаружении заражения.
Средство удаления вредоносных программ для Microsoft Windows проверяет компьютеры на предмет заражения определенными распространенными вредоносными программами, включая Blaster, Sasser и Mydoom, и помогает удалить любую обнаруженную инфекцию.
После загрузки MSRT на ваш компьютер сканирование запускается автоматически. Если будут обнаружены какие-либо инфекции, вы сразу же получите уведомление и попросите щелкнуть уведомление, чтобы завершить процесс удаления».
Если вам нужна дополнительная информация, вы можете нажать на ссылку.
Чтобы запускать его по запросу, вы можете загрузить Microsoft Malicious Software Removal Tool для Windows 10/8.1/8/7/Vista с веб-сайта Microsoft.
Если вы планируете чтобы развернуть средство удаления вредоносных программ Microsoft Windows в корпоративной среде, проверьте KB891716.
Остановить загрузку или установку средства удаления вредоносных программ
Если вы хотите остановить установку MRT.exe, откройте редактор реестра и перейдите к следующему разделу реестра:
Создайте новое 32-битное значение DWORD, назовите его DontOfferThroughWUAU и задайте для его данных значение 1.
Читайте также: