Что такое mrt в windows
Перейти к содержимому

Что такое mrt в windows

  • автор:

Развертывание средства удаления вредоносных программ Windows в корпоративной среде (KB891716)

Windows 10 Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Professional N Windows 7 Starter Windows 7 Starter N Windows 7 Ultimate Windows 7 Ultimate N Windows 8 Windows 8 Enterprise Windows 8 Pro Windows Server 2012 Datacenter Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Standard Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 7 Enterprise N Еще. Меньше

Средство удаления вредоносных программ Windows (MSRT) предназначено для использования с операционными системами, перечисленными в разделе «Применимо к». Операционные системы, которые не включены в список, не тестировались и, следовательно, не поддерживаются. Эти неподдерживаемые операционные системы включают все версии и выпуски внедренных операционных систем.

Введение

Корпорация Майкрософт обычно выпускает MSRT ежемесячно в рамках клиентский компонент Центра обновления Windows или как автономное средство. (Исключения см. в разделе Пропущенные выпуски.) Используйте это средство для поиска и удаления определенных распространенных угроз и отмены внесенных изменений (см. список «Охваченные семейства вредоносных программ» в разделе «Сведения о выпуске» статьи KB 890830). Для комплексного обнаружения и удаления вредоносных программ рекомендуется использовать Защитник Windows в автономном режиме или средство проверки безопасности (Майкрософт).

Это средство дополняет существующие антивредоносные решения и может использоваться в большинстве последних версий Windows.

Сведения, содержащиеся в этой статье, относятся к развертыванию средства на предприятии. Мы рекомендуем ознакомиться со следующей статьей базы знаний для получения дополнительных сведений о средстве:

Скачивание средства

MsRT можно скачать вручную из Центра загрузки Майкрософт. Для скачивания доступны следующие файлы:

Для 32-разрядных систем на базе x86:

Значок скачивания

Для 64-разрядных систем на базе x64:

Значок скачивания

Общие сведения о развертывании

Это средство можно развернуть в корпоративной среде для повышения уровня защиты и в рамках стратегии глубокой защиты. Чтобы развернуть средство в корпоративной среде, можно использовать один или несколько из следующих методов:

  • Windows Server Update Services
  • Пакет программного обеспечения microsoft Systems Management Software (SMS)
  • сценарий запуска компьютера на основе групповая политика
  • сценарий входа пользователя на основе групповая политика

Текущая версия этого средства не поддерживает следующие технологии и методы развертывания:

  • Каталог клиентский компонент Центра обновления Windows
  • Выполнение средства на удаленном компьютере
  • Службы обновления программного обеспечения (SUS)

Кроме того, анализатор безопасности Microsoft Baseline (MBSA) не обнаруживает выполнение средства. В этой статье содержатся сведения о том, как проверить выполнение средства при развертывании.

Пример кода

Скрипт и шаги, приведенные здесь, должны быть только примерами и примерами. Клиенты должны протестировать эти примеры сценариев и примеры сценариев и изменить их соответствующим образом, чтобы они работали в своей среде. Необходимо изменить serverName и ShareName в соответствии с настройкой в вашей среде.

В следующем примере кода выполняется следующее:

  • Запускает средство в автоматическом режиме
  • Копирует файл журнала в предварительно настроенную сетевую папку.
  • Префиксирует имя файла в журнале, используя имя компьютера, с которого запускается средство, и имя пользователя текущего пользователя

REM In this example, the script is named RunMRT.cmd. REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details. @echo off call \\ServerName\ShareName\Sleep.exe 5 Start /wait \\ServerName\ShareName\Windows-KB890830-V5.121.exe /q copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Примечание В этом примере кода имя_сервера является заполнителем для имени сервера, а ShareName — заполнителем для имени общей папки.

Начальная настройка и настройка

Этот раздел предназначен для администраторов, которые используют скрипт запуска или сценарий входа для развертывания этого средства. Если вы используете SMS, перейдите к разделу «Методы развертывания».

Чтобы настроить сервер и общую папку, выполните следующие действия.

  1. Настройка общей папки на рядовом сервере. Затем присвойте общей папке
    имяShareName.
  2. Скопируйте средство и пример скрипта RunMRT.cmd в общую папку. Дополнительные сведения см. в разделе Пример кода .
  3. Настройте следующие разрешения общей папки и разрешения файловой системы NTFS:
  4. Разрешения общего доступа:
    1. Добавьте учетную запись пользователя домена для пользователя, который управляет этой общей папкой, а затем выберите Полный доступ.
    2. Удалите группу Все.
    3. Если используется метод скрипта запуска компьютера, добавьте группу Компьютеры домена вместе с разрешениями «Изменение» и «Чтение».
    4. Если вы используете метод скрипта входа, добавьте группу Прошедшие проверку подлинности пользователи вместе с разрешениями «Изменение» и «Чтение».
    1. Добавьте учетную запись пользователя домена для пользователя, который управляет этой общей папкой, а затем выберите Полный доступ.
    2. Если используется метод скрипта запуска компьютера, предоставьте группе Компьютеры домена разрешения На изменение, «Чтение & выполнение», Разрешения на перечисление содержимого папки, Разрешения на чтение и Запись.
    3. Если вы используете метод сценария входа, предоставьте группе Пользователи, прошедшие проверку подлинности, разрешения на изменение, «Чтение & выполнение», разрешения на перечисление содержимого папки, разрешения на чтение и запись.

    Методы развертывания

    Примечание Чтобы запустить это средство, необходимо иметь разрешения администратора или системные разрешения независимо от выбранного варианта развертывания.

    Использование пакета программного обеспечения SMS

    В следующем примере приведены пошаговые инструкции по использованию SMS 2003. Инструкции по использованию SMS 2.0 похожи на эти действия.

    1. Извлеките файл Mrt.exe из пакета с именем Windows-KB890830-V5.121.exe /x.
    2. Создайте файл .bat, чтобы начать Mrt.exe и записать код возврата с помощью ISMIF32.exe.

    Ниже приведен пример.

    @echo off Start /wait Mrt.exe /q If errorlevel 13 goto error13 If errorlevel 12 goto error12 Goto end :error13 Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13” Goto end :error12 Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12” Goto end :end
    1. Откройте консоль администрирования SMS.
    2. Щелкните правой кнопкой мыши узел Пакеты , выберите Создать, а затем — Пакет.

    1. В консоли SMS 2003 найдите новый пакет в узле Пакеты .
    2. Разверните пакет. Щелкните правой кнопкой мыши Пункты распространения, наведите указатель на пункт Создать, а затем выберите Пункты распространения.
    3. Запустите мастер создания точек распространения. Выберите существующую точку распространения.
    4. Нажмите кнопку Готово , чтобы выйти из мастера.
    1. В узле новый пакет выберите узел Программы .
    2. Щелкните правой кнопкой мыши Программы, наведите указатель мыши на пункт Создать, а затем выберите Пункт Программа.
    3. Перейдите на вкладку Общие и введите допустимое имя.
    4. В командной строке выберите Обзор , чтобы выбрать пакетный файл, созданный для запуска Mrt.exe.
    5. Измените значение Выполнить на Скрытый. Измените после на Нет обязательных действий.
    6. Перейдите на вкладку Требования , а затем выберите Эта программа может выполняться только в указанных клиентских операционных системах.
    7. Выберите Все x86 Windows XP.
    8. Перейдите на вкладку Среда и выберите, входит ли пользователь в список Программа может выполняться . Задайте для режима запуска значение Запуск с правами администратора.
    9. Нажмите кнопку ОК , чтобы закрыть диалоговое окно.
    1. Щелкните правой кнопкой мыши узел Объявление , выберите Создать, а затем — Объявление.
    2. На вкладке Общие введите имя объявления. В поле Пакет выберите ранее созданный пакет. В поле Программа выберите созданную ранее программу. Выберите Обзор, а затем выберите коллекцию Все системы или выберите коллекцию компьютеров, включающую только Windows Vista и более поздние версии.
    3. На вкладке Расписание оставьте параметры по умолчанию, если нужно, чтобы программа запускала только один раз. Чтобы запустить программу по расписанию, назначьте интервал расписания.
    4. Задайте для параметра Приоритетзначение Высокий.
    5. Нажмите кнопку ОК , чтобы создать объявление.

    Использование скрипта запуска компьютера на основе групповая политика

    Для этого метода необходимо перезагрузить клиентский компьютер после настройки скрипта и применения параметра групповая политика.

    1. Настройка общих папок. Для этого выполните действия, описанные в разделе Начальная настройка и настройка .
    2. Настройте скрипт запуска. Для этого выполните указанные ниже действия.
      1. В оснастке MMC Пользователи и компьютеры Active Directory выберите правой кнопкой мыши доменное имя, а затем выберите Свойства.
      2. Перейдите на вкладку групповая политика.
      3. Выберите Создать, чтобы создать объект групповая политика и введите MRT Deployment в поле имя политики.
      4. Выберите новую политику и нажмите кнопку Изменить.
      5. Разверните узел Параметры Windows для конфигурации компьютера, а затем выберите Скрипты.
      6. Дважды щелкните Вход и нажмите кнопку Добавить.

      Использование скрипта входа пользователя на основе групповая политика

      Для этого метода требуется, чтобы учетная запись пользователя входа была учетной записью домена и членом группы локального администратора на клиентском компьютере.

      1. Настройка общих папок. Для этого выполните действия, описанные в
        разделеНачальная настройка и настройка.
      2. Настройте сценарий входа. Для этого выполните указанные ниже действия.
        1. В оснастке MMC Пользователи и компьютеры Active Directory выберите правой кнопкой мыши доменное имя, а затем выберите Свойства.
        2. Перейдите на вкладку групповая политика.
        3. Выберите Создать , чтобы создать новый объект групповой политики, а затем введите mrt Deployment в поле имя.
        4. Выберите новую политику и нажмите кнопку Изменить.
        5. Разверните узел Параметры Windows для пользовательской конфигурации, а затем выберите Скрипты.
        6. Дважды щелкните Вход и нажмите кнопку Добавить. Откроется диалоговое окно Добавление скрипта .
        7. В поле Имя скрипта введите \\ServerName\ShareName\RunMRT.cmd.
        8. Нажмите кнопку ОК и нажмите кнопку Применить.

        В этом сценарии скрипт и средство будут выполняться в контексте пользователя, выполнившего вход. Если этот пользователь не принадлежит к локальной группе администраторов или не имеет достаточных разрешений, средство не будет запущено и не вернет соответствующий код возврата. Дополнительные сведения об использовании скриптов запуска и входа в систему см. в следующей статье базы знаний Майкрософт:

        Дополнительные сведения, относящиеся к развертыванию на предприятии

        Как изучить коды возврата

        Чтобы проверить результаты выполнения, вы можете изучить код возврата средства в скрипте входа в развертывание или в скрипте запуска развертывания. Пример этого см. в разделе Пример кода .

        В следующем списке содержатся допустимые коды возврата.

        Как удалить mrt

        Подлинный файл является одним из компонентов программного обеспечения Windows, разработанного Microsoft .

        MRT — это аббревиатура от Microsoft Removal Tool

        Mrt.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли mrt.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

        Вот так, вы сможете исправить ошибки, связанные с mrt.exe

        1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
        2. Обновите программу mrt.exe. Обновление можно найти на сайте производителя (ссылка приведена ниже).
        3. В следующих пунктах предоставлено описание работы mrt.exe.

        Информация о файле mrt.exe

        Описание: mrt.exe не является важным для Windows и часто вызывает проблемы. Mrt.exe находится в папке C:\Windows\System32. Размер файла для Windows 10/11/7 составляет 13,179,660 байт.
        У файла поставлена цифровая подпись. Это не системный файл Windows. Приложение не видно пользователям. Mrt.exe способен мониторить приложения, манипулировать другими программами и записывать ввод данных. Поэтому технический рейтинг надежности 18% опасности.
        Если у вас возникли проблемы с mrt.exe, Вы можете попросить разработчиков, www.microsoft.com, о помощи, или удалить программу Microsoft Corp. или Microsoft Windows Malicious Software Removal в Панели управления Windows в разделе Программы и компоненты.

        • Если mrt.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 88% опасности. Размер файла 1,484,800 байт (83% всех случаев) или 1,484,288 байт. Это не системный процесс Windows. Нет описания файла. У процесса нет видимого окна. Mrt.exe способен манипулировать другими программами и мониторить приложения.
        • Если mrt.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 84% опасности. Размер файла 1,484,800 байт (60% всех случаев) или 1,482,240 байт. Это не системный процесс Windows. Нет более детального описания программы. У процесса нет видимого окна. Mrt.exe способен манипулировать другими программами и мониторить приложения.

        Важно: Некоторые вирусы маскируют себя как mrt.exe, например UDS:DangerousObject.Multi.Generic или Backdoor.Win32.Agent.mytfip (определяется антивирусом Kaspersky), и Trojan:Win32/Occamy.C или Trojan:Win32/Tiggre!rfn (определяется антивирусом Microsoft). Таким образом, вы должны проверить файл mrt.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

        Комментарий пользователя

        Product: Антивирус Касперского 6.0 для Windows Servers версия 6.0.4.1212 Важное событие: 15.07.2010 8:47:44 Попытка процесса C:\WINDOWS\system32\MRT.exe с PID 1980 получения доступа к процессу Антивирус Касперского с PID 2544 была заблокирована. Это результат срабатывания механизма самозащиты. Важное событие: 15.07.2010 8:47:44 Попытка процесса C:\WINDOWS\system32\MRT.exe с PID 1980 получения доступа к процессу Антивирус Касперского с PID 1644 была заблокирована. Это результат срабатывания механизма самозащиты.
        Артём
        Еще бы каспер не замычал. Это средство удаление вредоносных программ MS Windows
        Advert_Noise
        Хочу удалить, NOD 32 показал, что там вирус. Программа касперского ничего не дала. Утилита nod 32 6057 тоже не дал результатов. avz4 4.34.0.0 не нашел вируса.
        Ramer’s
        У меня вопрос. При каждом запуске РС ( Опериционная виста стоит) Выплывает окошко , в котором просится разрешение на действия MRT.exe. Нужно ли разрешать?
        это программа походу для мониторинга клавиатуры,т.к. я перестал доверят всяким нодам,касперским и т.д. я нашёл антивирусник COMODO он отлично справляется со всеми вирусами ,у меня к игре выдовало ошибку что нихватает какого то файла я решил его скачать,скачал. открыл там типа рарника и уменя комп упал, я скорей его включать и ставить комод,поставил,и в результате у меня нашло за 20 минут около 30 вирусов в том числе MRT.exe
        Артём
        Посмотрите на сертификат и убедитесь, что это еще один антивирус на вашем компе
        Jak95
        да-да Comodo рулит.
        Игорь
        Пару раз,COMODO на него рычал(в частности сам cmdagent.exe у самого COMODO),не знаю насколько этот файл необходим,буду наблюдать 🙂
        Alex Dee
        Зто прога от Windows update для поиска вредоносных программ.Вещь бесполезная.Удаляем из папки System32 MRT.exe и больше не загружаем из центра обновлений. Просто убираем галочку.
        Igor
        Программа, которая выходит почти каждый месяц (в подписи добавляется месяц и год выпуска) и после загрузки на компьютер, делает (вроде 1 раз) сканирование на вредоносные программы, а далее просто находится в папке системы, видимо, для повторного запуска при необходимости. Не опасная, но и пользы в ней немного, если на вашем компьютере установлен антивирус.
        Andy
        файл windows/system32/mrt.exe — инструмент защиты windows от вирусов. эту защиту большинство пользователей отключают. так что файл в принципе не нужен. сам по себе этот файл естественно не является угрозой системе, но не исключена возможность его заражения, как и многих других екзешников.
        Виктор
        Файл компании Microsoft, средство удаление вредноносных прогамм, в кого используются лоадеры для активации виндовс в том числе kms server- вернее система и офис не лицензионные и применение watermark для Windows этот файл с легкостью удаляет выше перечисленные применения, файл полещен но его стоит запускать как отдельное приложение, или кто то может его по желанию удалить. Файл чистый и не несет в себе вирусов.
        Бодя
        программа удаления вредоносных программ
        recycler
        в эту прогу встраиваются трояны
        Gufy
        лезет в сеть, важные дела видите ли у файла там, заблокировал в комодо!
        John Galt
        Привет всем. Я не уверен полностью, но подозреваю что в моих ‘ЧП’виноват именно MRT.exe. Рассказываю: При запуске любого из моих браузеров, начальная страница открывается с каким то непонятным адресом в адресной строке(hezurap-meryry.pw\vk2\) . И тут же, в ультимативной форме предлагается ввести свой номер мобильного для выяснения, поскольку мой IP якобы замечен в каком то мошенничестве. Но самое интересное, что покинуть эту страницу, или просто закрыть браузер никакими обычными способами не удаётся. Я знаю о двух способах: 1.Аварийное отключение компьютера с последующим запуском в безопасном режиме. 2.Через ‘Диспетчер задач’-снять задачу. К чему я это рассказываю ? Пару дней назад, мой антивирусник выдал сообщение о заблокированных им потенциально опасных файлах и процессах. После выяснения я пришёл к выводу что все пути ведут к этому самому MRT.exe. Удалил его, почистил системные папки, и вот уже третий день никаких эксцессов. Прав я или нет, не мне решать, просто поделился опытом.
        Александр
        Включил. MRT перешёл на какой-то сайт (в адресе было слово ‘microsoft’долго что-то проверял, а потом выдал окно с текстом, что найдены опасные и подозрительные файлы, что они заблокированы, а личная информация зашифрована. Указан ключ из набора букв и цифр, который необходимо ввести на сайте с названием .bz. Я перешёл на этот сайт. Оказалось, что надо оплатить некоторую сумму, от 10$ до 100$, чтобы разблокировать личную информацию. Правда, есть кнопка ‘Free’, но она не реагирует. Теперь файлы .doc, .dbf и прочие неработоспособны. Переустановка Windows ничего не дала. Пальцы сломать тем, кто это придумал.
        Алексей
        при поиске проводником проводник зависает а сам проводник запускается(ничего не понятно
        ктото
        Средство удаления вредоносных программ Microsoft Windows. Бесполезно, учитывая его вес.
        stalk

        Итого: Средняя оценка пользователей сайта о файле mrt.exe: — на основе 21 голосов с 19 отзывами.
        47 пользователей спрашивали про этот файл. 4 пользователей не поставили рейтинг («я не знаю»). 3 пользователей оценили, как неопасный. 2 пользователей оценили, как кажется неопасным. 9 пользователей оценили, как нейтрально. 5 пользователей оценили, как кажется опасным. 2 пользователей оценили, как опасный.

        Лучшие практики для исправления проблем с mrt

        Аккуратный и опрятный компьютер — это главное требование для избежания проблем с mrt. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

        Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

        Следующие программы могут вам помочь для анализа процесса mrt.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

        mrt сканер

        Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

        Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

        Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

        What is mrt.exe? 5 ways to see if it’s safe.

        GlassWire UI

        You might think that mrt.exe is related to the popular character on the 80’s TV show called The A-Team, but that’s actually not the case. However, you’ll want to pity the fool who tries to run malware on your PC if you’re running mrt.exe. mrt.exe is the Windows Malicious Software Removal Tool. This handy app made by Microsoft will check your PC for malware, then remove it. The app is freely distributed and built into most Windows versions. To launch it, type mrt in the Windows search bar. Once you launch the app you can check your PC for malicious software.

        Publisher: Microsoft Windows Hardware Compatibility Publisher

        mrt.exe stands for Malicious Software Removal Tool.

        What does mrt.exe do?

        Checks your PC for malicious software, then removes it.

        Is mrt.exe safe? 5 easy ways to see if mrt.exe is safe or malware.

        • 1. See who signed the mrt.exe (check the publisher)
        • 2. Scan mrt.exe with Windows Security.
        • 3. Check the network activity of mrt.exe.
        • 4. Analyze mrt.exe with VirusTotal.
        • 5. Run it in Windows Sandbox.

        Instantly detect spying apps on your PC, then block them!

        Get access to the same network security tool that Information Security Professionals use to detect suspicious .exe apps, bandwidth wasters, and privacy violators. Trust by over 20 million people.

        Why does mrt.exe access the network?

        While investigating igfxem.exe with the GlassWire network security monitor on our devices based in Austin, TX USA we found it connects to servers controlled by Microsoft at wd-prod-cp-us-west-1-fe.westus.cloudapp.azure.com. We think the app connects there for telemetry, software updates, and antivirus updates. We believe it’s safe for mrt.exe to access the network.

        About Us

        Our goal at GlassWire is to help people protect their privacy and security. We have helped over 20 million people protect their devices from threats.

        Are you curious about the safety of another Windows file?
        Visit our full Windows .exe file directory.

        Have feedback?

        Have suggestions on how we can improve this page? Please let us know.

        Join our Internet security newsletter!

        Learn how to protect and monitor your network with GlassWire.

        Cybersecurity News

        Learn new ways to protect your computer and phone from online threats.

        Особенности использования средства удаления вредоносных программ Windows (MRT.exe)

        date

        07.09.2020

        user

        itpro

        directory

        Windows 10, Windows 8, Windows Server 2016, Утилиты

        comments

        комментариев 15

        Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7).

        Средство удаления вредоносных программ Microsoft – не является антивирусом и не защищает компьютер в реальном времени от всех угроз. Область применения утилиты – быстрое сканирование компьютера на предмет наличия ограниченного списка наиболее опасных вредоносных программ и угроз (по мнению Microsoft) и их удаление.

        средство удаления вредоносных программ в WIndows

        Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).

        KB890830 обновление с Windows Malicious Software Removal Tool

        Начиная с мая 2020 года обновление утилиты MSRT выпускается раз в квартал (ранее – ежемесячно).

        Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:

        Доступны 3 режима сканирования компьютера:

        • Quick scan – быстрая проверки памяти и системных файлов, которые чаще всего бывают заражены. При обнаружении вируса или трояна, утилита предложит выполнить полное сканирование;
        • Full scan – полное сканирование компьютера (может занять до нескольких часов, в зависимости от количества файлов на диске);
        • Customized scan – в этом режиме можно указать конкретную папку, которую нужно просканировать.

        выбо режима сканирования компьютера

        Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.

        проверка компьютера с помощью средства удаления вредоносных программ Windows (MRT.exe)

        Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.

        Если вредоносная программ обнаружена, утилита выдаст один из следующих статусов:

        • Обнаружено и было удалено по крайней мере одно заражение;
        • Обнаружено заражение, но оно не было удалено. Этот результат отображается в том случае, если на компьютере обнаружены подозрительные файлы. Для удаления этих файлов следует использовать антивирус;
        • Обнаружено и частично удалено заражение. Чтобы завершить удаление, следует использовать антивирус.

        не обнаружено вирусов

        Утилита MSRT сохраняет подробный лог сканирования в файл %WinDir%\Debug\mrt.log .

        Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2) Started On Mon Sep 7 08:50:39 2020 Engine: 1.1.16900.4 Signatures: 1.313.2734.0 MpGear: 1.1.16330.1 Results Summary: ---------------- No infection found. Successfully Submitted Heartbeat Report

        лог Microsoft Windows Malicious Software Removal Tool

        Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\MRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1.

        reg add «HKLM\SOFTWARE\Policies\Microsoft\MRT» /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

        Если вы хотите отключить автоматическое получение средства удаления вредоносных программ Windows через Windows Update, выполните команду

        reg add «HKLM\SOFTWARE\Policies\Microsoft\MRT» /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

        У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).

        параметры командной строки mrt.exe

        • /Q – запуск в фоновом режиме (без графического интерфейса);
        • /N – режим детектирования (выполняется только проверка, без удаления обнаруженных зловредов);
        • /F – полная проверка компьютера;
        • /F:Y – полная проверка и автоматическое удаление заражённых файлов.

        Microsoft предлагает несколько сценариев развертывания и использования Windows Malicious Software Removal Tool на предприятии (https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an-enterprise-enviro).

        Для автоматической проверки компьютера используется специальное задание MRT_HB в Task Scheduler (Task Scheduler Library -> Microsoft -> Windows -> RemovalTools).

        MRT_HB задание в планировщике для сканирвания компьтера от вредоносных программ

        Это задание запускает утилиту mrt.exe с параметрами /EHB /Q (что, интересно параметры /EHB не документированы, в справке их нет).

        Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *