Lo strumento di rimozione malware per Microsoft Windows facilita l'eliminazione di software dannoso specifico e prevalente dai computer che eseguono versioni supportate di Windows

Area download Microsoft
Distribuzione dello strumento di rimozione malware in ambiente aziendale
Prerequisiti per l'esecuzione dello strumento di rimozione malware
Supporto per le opzioni della riga di comando
Informazioni sulla versione e sull'utilizzo
Componente per la segnalazione di informazioni
Possibili risultati dell'analisi
Domande frequenti sullo strumento di rimozione malware

Questa sezione è riservata agli utenti esperti. Se non si ha familiarità con la risoluzione avanzata dei problemi, è consigliabile contattare il supporto tecnico. Per ulteriori informazioni su come contattare il supporto tecnico Microsoft, visitare il sito Web del Supporto tecnico Microsoft.

Area download Microsoft

Lo strumento di rimozione malware può essere scaricato manualmente dall'Area download Microsoft. I seguenti file sono disponibili per il download nell'Area Download Microsoft:

Per i sistemi con processore x86 a 32 bit:


Download del pacchetto MSRT x86.


Per i sistemi con processore x64 a 64 bit:


Download del pacchetto MSRT x64.

Data di rilascio: 11 giugno 2013

Distribuzione dello strumento di rimozione malware in ambiente aziendale

Per ulteriori informazioni sulla distribuzione dello strumento in un ambiente aziendale, gli amministratori IT possono fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:In questo articolo sono incluse informazioni su Microsoft Systems Management Server (SMS), Microsoft Software Update Services (SUS) e Microsoft Baseline Security Analyzer (MBSA).

Prerequisiti per l'esecuzione dello strumento di rimozione malware

Tranne dove specificato, le informazioni in questa sezione si applicano a tutti i metodi per scaricare ed eseguire lo strumento di rimozione malware:

• Microsoft Update
• Windows Update
• Aggiornamenti automatici
• Area download Microsoft
• Strumento di rimozione malware sul sito Web Microsoft.com

Per eseguire lo strumento di rimozione malware sono necessarie le seguenti condizioni:

• Nel computer deve essere in esecuzione Windows 7, Windows Vista, Windows Server 2003 o Windows XP.
• È necessario accedere al computer mediante un account appartenente al gruppo Administrators. Se l'account utilizzato per l'accesso non dispone delle autorizzazioni necessarie, lo strumento verrà chiuso. Se lo strumento viene eseguito in modalità interattiva, verrà visualizzata una finestra di dialogo con la descrizione dell'errore.
• Se lo strumento è scaduto da oltre 60 giorni, verrà visualizzata una finestra di dialogo nella quale viene consigliato di scaricare la versione più recente.

Supporto per le opzioni della riga di comando

Lo strumento di rimozione malware supporta quattro opzioni della riga di comando:

Informazioni sulla versione e sull'utilizzo

Quando si scarica lo strumento da Microsoft Update o tramite gli Aggiornamenti automatici e non viene rilevato software dannoso nel computer, la volta successiva verrà eseguito in modalità non interattiva. In caso contrario, all'accesso successivo di un amministratore verrà visualizzata una nota nell'area di notifica per indicare il rilevamento. Per ulteriori informazioni sul rilevamento, fare clic sulla nota.

Quando si scarica lo strumento dall'Area download Microsoft, durante l'esecuzione viene visualizzata l'interfaccia utente. Se tuttavia si utilizza l'opzione della riga di comando /Q, lo strumento verrà eseguito in modalità non interattiva.

Informazioni sulla versione

Lo strumento di rimozione malware viene rilasciato il secondo martedì di ogni mese. Tutte le versioni dello strumento consentono il rilevamento e la rimozione degli attuali componenti software dannosi prevalenti, quali virus, worm e Trojan horse. Microsoft utilizza numerosi parametri metrici per determinare la prevalenza con cui si diffonde una famiglia di software dannoso e il tipo di danno che può causare.

Nella tabella riportata di seguito sono elencati i componenti software dannosi che possono essere rimossi dallo strumento, con il quale è possibile rimuovere anche tutte le varianti conosciute al momento del rilascio. Nella tabella è indicata inoltre la versione dello strumento nel quale sono state incluse per la prima volta funzioni per il rilevamento e la rimozione di una determinata famiglia di software dannoso.

Ogni versione dello strumento è cumulativa, vale a dire che consente di rilevare e rimuovere sia le nuove famiglie di software dannoso sia quelle incluse nelle versioni precedenti. Le nuove varianti di software dannoso rilevate e rimosse nelle versioni precedenti sono incluse anche in ogni versione mensile.

Questo articolo della Microsoft Knowledge Base verrà aggiornato con informazioni relative a ogni versione mensile mantenendo lo stesso numero di articolo, mentre il nome del file verrà modificato in base alla versione dello strumento. Ad esempio, il nome del file della versione di gennaio 2005 è Windows-KB890830-ITA.exe, mentre quello della versione di febbraio 2005 è Windows-KB890830-V1.1-ITA.exe *La classificazione di gravità fa riferimento alle classificazioni degli avvisi relativi ai virus riportate nel seguente sito Web Microsoft: Tenere presente che la classificazione delle minacce può essere aggiornata di tanto in tanto per riflettere gli eventuali cambiamenti nella prevalenza e in altri fattori.

** W32/Hackdef solitamente nasconde altro software potenzialmente dannoso nel computer. Se lo strumento di rimozione rileva W32/Hackdef sul computer, si consiglia di eseguire una scansione con programmi antivirus e antispyware aggiornati (vedere http://www.microsoft.com/it-it/security/pc-security/spyware-prevent.aspx). Per visualizzare il software nascosto da W32/Hackdef, aprire il file di registro per lo strumento di rimozione, %Windir%\Debug\Mrt.log. Nella sezione relativa ai possibili risultati della scansione individuare la riga o le righe relative alla cartella nella quale è stato rilevato Win32/Hackdef. Nella stessa cartella dovrebbe essere contenuto il file di configurazione Win32/Hackdef con estensione ini. Visualizzare questo file per determinare il software nascosto da Win32/Hackdef nel computer.

Qualsiasi software dannoso non elencato in questa tabella non verrà rilevato e rimosso dallo strumento. Per la ricerca e la rimozione di altri tipi di software dannoso, utilizzare un prodotto antivirus aggiornato. Per ulteriori informazioni, visitare il seguente sito Web Microsoft relativo alla sicurezza del PC:

Componente per la segnalazione di informazioni

Se durante l'esecuzione dello strumento di rimozione malware viene rilevato software dannoso o se si verifica un errore, verrà inviato automaticamente un rapporto a Microsoft. Le informazioni specifiche inviate a Microsoft sono le seguenti:

• Il nome del software dannoso rilevato
• Il risultato della rimozione del software dannoso
• La versione del sistema operativo in uso
• La lingua del sistema operativo in uso
• L'architettura del processore
• Il numero di versione dello strumento
• Un indicatore relativo all'esecuzione dello strumento da Microsoft Update, Windows Update, Aggiornamenti automatici, Area download Microsoft o sito Web
• Un GUID anonimo
• Un hash unidirezionale crittografico (MD5) del percorso e del nome di ogni file di software dannoso rimosso dal computer

Se nel computer viene individuato software apparentemente dannoso, verrà richiesto l'invio a Microsoft di ulteriori informazioni rispetto a quelle elencate. In ciascun caso verrà visualizzata un'apposita richiesta e le informazioni verranno inviate solo con il consenso dell'utente. Le informazioni aggiuntive includono:

• I file che si sospetta corrispondano a software dannoso. Tali file verranno identificati automaticamente.
• Un hash unidirezionale crittografico (MD5) di tutti i file sospetti rilevati.

È possibile disattivare la funzionalità per la segnalazione di informazioni. Per informazioni su come disattivare il componente per la segnalazione di informazioni e su come impedire l'invio di informazioni a Microsoft, consultare l'articolo della Microsoft Knowledge Base

Possibili risultati dell'analisi

I risultati che potrebbero essere presentati all'utente dopo l'esecuzione dell'utilità sono principalmente di quattro tipi:

• Non è stata trovata alcuna infezione.
• È stata trovata e rimossa almeno un'infezione.
• È stata trovata un'infezione, ma non è stata rimossa. Questo risultato verrà visualizzato se nel computer vengono rilevati file sospetti. Per la rimozione di questi file, utilizzare un prodotto antivirus aggiornato.
• È stata trovata un'infezione ed è stata rimossa parzialmente. Per completare la rimozione, utilizzare un prodotto antivirus aggiornato.

Domande frequenti sullo strumento di rimozione malware

• D1: Lo strumento riporta la firma digitale di Microsoft?
  R1: Sì.
• D2: Che tipo di informazioni vengono riportate nel file di registro?
  R2: Per informazioni sul file di registro, consultare l'articolo della Microsoft Knowledge Base
  891716

  (http://support.microsoft.com/kb/891716/it/ )

  Distribuzione dello strumento di rimozione malware per Microsoft Windows in ambiente aziendale
• D3: È possibile ridistribuire questo strumento?
  R3: Sì. Secondo i termini delle condizioni di licenza lo strumento può essere ridistribuito. Assicurarsi tuttavia che venga ridistribuita la versione più recente.
• D4: In che modo è possibile sapere se si sta utilizzando la versione più recente dello strumento?
  R4: Gli utenti di Windows 7, Windows Vista, Windows XP o Windows Server 2003 possono utilizzare Microsoft Update o la funzionalità Aggiornamenti automatici Microsoft per stabilire se viene utilizzata la versione più recente dello strumento. Se si sceglie di non utilizzare Microsoft Update ed è in esecuzione Windows 7, Windows Vista, Windows XP o Windows Server 2003 Service Pack 1 (SP1), utilizzare Windows Update. oppure la funzionalità Aggiornamenti automatici per verificare se è in uso la versione più recente dello strumento. È inoltre possibile visitare l'Area download Microsoft. Se lo strumento è scaduto da oltre 60 giorni, verrà consigliato di scaricare la versione più recente.
• D5: Il numero dell'articolo della Microsoft Knowledge Base verrà modificato per ogni nuova versione?
  R5: No. Il numero dell'articolo rimarrà 890830 anche per le future versioni dello strumento. Cambierà invece il nome file dello strumento scaricato dall'Area download Microsoft in base al mese e all'anno di rilascio di ogni versione.
• D6: Esiste un modo per impostare la ricerca di un nuovo software dannoso particolare?
  R6: Attualmente no. Il software dannoso ricercato dallo strumento si basa su parametri metrici che tengono conto della prevalenza e del danno causato da tale software.
• D7: È possibile determinare se lo strumento è stato eseguito in un computer?
  R7: Sì. Effettuando il controllo di una chiave del Registro di sistema è possibile determinare se lo strumento è stato eseguito nel computer e l'ultima versione utilizzata. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
  891716

  (http://support.microsoft.com/kb/891716/it/ )

  Distribuzione dello strumento di rimozione malware per Microsoft Windows in ambiente aziendale
• D8: Perché lo strumento non è elencato in Microsoft Update, Windows Update o negli Aggiornamenti automatici?
  R8: Diverse condizioni possono impedire la visualizzazione di questo strumento in Microsoft Update, in Windows Update o in Aggiornamenti automatici:
  • Solo agli utenti di Windows 7, Windows Vista, Windows XP, and Windows Server 2003 SP1 viene presentato lo strumento tramite Windows Update o Aggiornamenti automatici.
  • Se è già stata eseguita la versione corrente dello strumento, sia da Windows Update, Microsoft Update o Aggiornamenti automatici sia mediante uno degli altri due meccanismi, esso non verrà visualizzato di nuovo in Windows Update o in Aggiornamenti automatici.
  • La prima volta che lo strumento viene eseguito tramite Aggiornamenti automatici sarà necessario accedere al sistema come membro del gruppo Administrators per accettare le condizioni di licenza.
• D9: Come viene stabilito in Microsoft Update, Windows Update e in Aggiornamenti automatici a chi dovrà essere presentato lo strumento?
  R9: A tutti gli utenti di Windows 7, Windows Vista, Windows XP e Windows Server 2003 viene presentato lo strumento in presenza delle seguenti condizioni:
  • Gli utenti eseguono la versione più recente di Microsoft Update o della funzionalità Aggiornamenti automatici Microsoft.
  • Gli utenti non hanno ancora eseguito la versione corrente dello strumento.
  Agli utenti di Windows 7, Windows Vista, Windows XP e Windows Server 2003 SP1 viene presentato lo strumento in presenza delle seguenti condizioni:
  • Gli utenti non eseguono Microsoft Update.
  • Gli utenti eseguono la versione più recente di Windows Update o della funzionalità Aggiornamenti automatici.
  • Gli utenti non hanno ancora eseguito la versione corrente dello strumento.
• D10: Nel file di registro viene segnalata la presenza di errori durante la scansione. Come si risolvono?
  R10: Per informazioni sugli errori, consultare l'articolo della Microsoft Knowledge Base
  891717

  (http://support.microsoft.com/kb/891717/it/ )

  Risoluzione del messaggio di errore visualizzato durante l'esecuzione dello strumento di rimozione malware per Microsoft Windows
• D11: Lo strumento verrà rilasciato anche se per un mese particolare non vi sono nuovi bollettini sulla sicurezza?
  R11: Sì. Anche in questo caso lo strumento verrà rilasciato regolarmente con il supporto per il rilevamento e la rimozione dei più recenti componenti software dannosi prevalenti.
• D12: Come è possibile impedire che lo strumento venga elencato tra gli aggiornamenti disponibili in Microsoft Update, Windows Update o in Aggiornamenti automatici?
  R12: Quando lo strumento viene presentato per la prima volta tramite Microsoft Update, Windows Update o Aggiornamenti automatici, è possibile rifiutarne il download e l'esecuzione non accettando le condizioni di licenza. Il rifiuto può riguardare solo la versione corrente dello strumento oppure la versione corrente e tutte le versioni future, a seconda delle opzioni scelte. Se le condizioni di licenza sono già state accettate e si preferisce evitare di installare lo strumento tramite Windows Update, deselezionare la casella di controllo corrispondente nell'interfaccia di Windows Update.
• D13: Dopo l'esecuzione dello strumento tramite Microsoft Update, Windows Update o Aggiornamenti automatici dove vengono memorizzati i file? È possibile eseguire di nuovo l'o strumento?
  R13: Se lo strumento viene scaricato da Microsoft Update o da Windows Update, viene eseguito solo una volta al mese. Per eseguire manualmente lo strumento più volte al mese, scaricarlo dall'Area download Microsoft oppure visitando il sito Web Microsoft Centro sicurezza e protezione
  (http://www.microsoft.com/it-it/security/pc-security/malware-removal.aspx)
  .
  Per un'analisi in linea del sistema tramite Windows Live OneCare Safety Scanner, visitare il sito Web Microsoft Microsoft Safety Scanner
  (http://onecare.live.com/site/it-it/default.htm)
  .
  http://onecare.live.com/site/it-it/default.htm

  (http://onecare.live.com/site/it-it/default.htm)
• D14: È possibile eseguire lo strumento su un computer Windows Embedded?
  R14: Attualmente lo strumento non è supportato su computer di questo tipo.
• D15: L'esecuzione dello strumento richiede l'installazione di aggiornamenti della protezione nel computer in uso?
  R15: No. A differenza della maggior parte degli strumenti di rimozione creati in precedenza da Microsoft, lo strumento di rimozione malware non presenta prerequisiti per quanto riguarda gli aggiornamenti della protezione. Si consiglia tuttavia di installare tutti gli aggiornamenti critici prima di eseguire lo strumento per impedire il ripetersi di infezioni causate da software dannoso che sfrutta le vulnerabilità di protezione.
• D16: È possibile distribuire lo strumento mediante SUS o SMS? È compatibile con MBSA?
  R 16: Per informazioni sulla distribuzione di questo strumento, consultare l'articolo della Microsoft Knowledge Base
  891716

  (http://support.microsoft.com/kb/891716/it/ )

  Distribuzione dello strumento di rimozione malware per Microsoft Windows in ambiente aziendale
• D17: Per eseguire lo strumento di rimozione malware è necessario disporre dei precedenti strumenti di rimozione?
  R17: No.
• D18: È disponibile un newsgroup per discussioni su questo strumento?
  R18: Sì. È possibile utilizzare il newsgroup microsoft.public.security.virus.
• D19: Perché viene visualizzata la finestra "Protezione file Windows" quando si esegue il componente?
  R19: In alcuni casi, quando in un sistema vengono rilevati virus specifici, lo strumento di rimozione tenta di ripristinare i file di sistema di Windows infetti. Tale operazione consente di rimuovere il software dannoso da questi file, ma può anche attivare la funzionalità Protezione file Windows. Se viene visualizzata la finestra Protezione file Windows, si consiglia vivamente di attenersi alle istruzioni e di inserire il CD di Microsoft Windows. In questo modo i file puliti verranno ripristinati allo stato originale precedente all'infezione.
• D20: Sono disponibili versioni localizzate di questo strumento?
  R20: Sì, lo strumento è disponibile in 24 lingue. Prima della versione di febbraio 2006, ogni versione localizzata dello strumento era disponibile come download distinto. A partire da febbraio 2006 lo strumento è disponibile come download multilingue. Pertanto è disponibile una sola versione dello strumento. Viene visualizzata la lingua appropriata in base a quella del sistema operativo in uso.
• D21: Sul computer è stato rilevato il file Mrtstub.exe in una directory con nome casuale. Si tratta di un componente legittimo dello strumento?
  R21: Lo strumento contiene effettivamente un file denominato Mrtstub.exe che viene utilizzato per determinate operazioni. Verificare se il file è firmato da Microsoft. In caso affermativo si tratta di un componente legittimo dello strumento.
• D22: È possibile eseguire lo Strumento di rimozione malware in modalità provvisoria?
  R22: Sì. È possibile accedere allo Strumento di rimozione malware da %windir%\system32\mrt.exe, se è stato eseguito prima di aver avviato il computer in modalità provvisoria. Fare doppio clic sul file mrt.exe per eseguirlo, quindi attenersi alle istruzioni visualizzate.