Microsoft Windowsin haittaohjelmien poistotyökalun ottaminen käyttöön yritysympäristössä

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 891716
Microsoft Windowsin haittaohjelmien poistotyökalu on tarkoitettu käytettäväksi yllä luetelluissa käyttöjärjestelmissä. Käyttöjärjestelmiä, jotka eivät ole luettelossa, ei ole testattu, eikä niitä siis tueta. Näitä käyttöjärjestelmiä, joita ei tueta, ovat esimerkiksi kaikki upotettujen käyttöjärjestelmien versiot.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

ESITTELY

Microsoft on julkaissut Microsoft Windowsin haittaohjelmien poistotyökalun auttamaan tiettyjen yleisten haittaohjelmien poistamisessa tietokoneesta.

Ohita yksityiskohdat ja lataa työkalu

Lisätietoja työkalun lataamisesta on seuraavalla Microsoftin WWW-sivulla:
http://www.microsoft.com/security/scanner/fi-fi/default.aspx
Tässä artikkelissa olevat tiedot koskevat työkalun ottamista käyttöön yritysympäristössä. Microsoft suosittelee, että luet seuraavan Microsoft Knowledge Base -tietokannan artikkelin. Se sisältää yleisiä tietoja työkalusta ja lataamissijainneista.


Tämä työkalu on pääasiassa suunnattu muille kuin yrityskäyttäjille, joiden tietokoneissa ei ole asennettuna ajan tasalla olevaa virustentorjuntaohjelmaa. Työkalu kuitenkin voidaan ottaa käyttöön yritysympäristössä parantamaan käytössä olevaa suojausta ja osana laajaa suojausstrategiaa. Voit ottaa työkalun käyttöön yritysympäristössä jollakin tai joillakin seuraavista tavoista:
  • Windows Server Update Servicesin avulla
  • Microsoft Systems Management Software (SMS) -ohjelmistopaketti
  • ryhmäkäytäntöön perustuvan tietokoneen käynnistyskomentosarjan avulla
  • ryhmäkäytäntöön perustuvan käyttäjän kirjautumiskomentosarjan avulla.
Saat lisätietoja työkalun käyttöön ottamisesta Windows Updaten ja automaattisten päivitysten avulla napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
890830 Microsoft Windowsin haittaohjelmien poistotyökalu auttaa poistamaan tiettyjä yleisiä haittaohjelmia tuettuja Windows-versioita käyttävistä tietokoneista
Tämän työkalun nykyinen versio ei tue seuraavia käyttöönottotekniikoita ja -tapoja:
  • Windows Update Catalog
  • etätietokoneen tarkistaminen työkalun avulla.
  • Software Update Services (SUS) -palvelut.
Lisäksi Microsoft Baseline Security Analyzer (MBSA) ei tunnista työkalun suorittamista. Tässä artikkelissa on tietoja työkalun suorittamisen tarkistamisesta osana sen käyttöönottoa.

Mallikoodi

Tässä olevat vaiheet ja komentosarja on tarkoitettu vain malleiksi ja esimerkeiksi. Asiakkaiden on testattava näitä mallikomentosarjoja ja esimerkkiskenaarioita sekä muokattava niitä niin, että ne toimivat heidän ympäristöissään oikein. Sinun on muutettava PalvelimenNimi ja Jakonimi ympäristösi mukaisiksi.

Seuraava mallikoodi tekee seuraavat toimet:
  • suorittaa työkalun hiljaisessa tilassa
  • kopioi lokitiedoston esimääritettyyn jaettuun verkkoresurssiin
  • lisää lokitiedoston nimen alkuun sen tietokoneen nimen, jossa työkalu suoritettiin, ja nykyisen käyttäjän käyttäjänimen. Sinun on määritettävä jaettuun resurssiin tarvittavat oikeudet Ensimmäinen asennus ja määritys -osan ohjeiden mukaisesti.
REM Tässä esimerkissä komentosarjan nimi on RunMRT.cmd.
REM Sleep.exe-apuohjelmaa käytetään viivyttämään työkalun suorittamista, kun sitä käytetään 
REM käynnistyskomentosarjana. Lisätietoja tästä on Tunnetut ongelmat -osassa.
@echo off
call \\PalvelimenNimi\Jakonimi\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.15.exe /q

copy %windir%\debug\mrt.log \\PalvelimenNimi\Jakonimi\Logs\%computername%_%username%_mrt.log
Huomautus Tässä mallikoodissa PalvelimenNimi on palvelimesi nimen paikkamerkki ja Jakonimi on jaetun resurssisi nimen paikkamerkki.

Ensimmäinen asennus ja määritys

Tämä osa on tarkoitettu järjestelmänvalvojille, jotka käyttävät työkalun käyttöönottoon käynnistys- tai kirjautumiskomentosarjaa. Jos käytössäsi on SMS, voit jatkaa Käyttöönottotavat-osaan.

Voit määrittää palvelimen ja jaetun resurssin seuraavasti:
  1. Määritä jaettu resurssi jäsenpalvelimeen. Anna sitten jaetulle resurssille nimeksi Jakonimi.
  2. Kopioi työkalu ja RunMRT.cmd-mallikomentosarja jaettuun resurssiin. Lisätietoja tästä on Mallikoodi-osassa.
  3. Määritä seuraavat jaetun resurssin ja NTFS-tiedostojärjestelmän oikeudet:
    • Jaetun resurssin oikeudet:
      1. Lisää toimialueen käyttäjätili sille käyttäjälle, joka hallitsee tätä jaettua resurssia, ja valitse Täydet oikeudet.
      2. Poista Kaikki-ryhmä.
      3. Jos käytät tietokoneen käynnistyskomentosarjaa, lisää Toimialueen tietokoneet -ryhmä sekä muutto- ja lukuoikeudet.
      4. Jos käytät kirjautumiskomentosarjaa, lisää Vahvistetut käyttäjät -ryhmä sekä muutto- ja lukuoikeudet.
    • NTFS-oikeudet:
      1. Lisää toimialueen käyttäjätili sille käyttäjälle, joka hallitsee tätä jaettua resurssia, ja valitse Täydet oikeudet.
      2. Poista Kaikki-ryhmä, jos se on luettelossa.

        Note Jos näyttöön tulee virhesanoma, kun poistat Kaikki-ryhmää, valitse Suojaus-välilehdessä Lisäasetukset ja poista sitten Salli oikeuksien periytyminen ylemmän tason objektista tähän objektiin -valintaruudun valinta.
      3. Jos käytät tietokoneen käynnistyskomentosarjaa, anna Toimialueen tietokoneet -ryhmälle Luku ja suoritus-, Luetteloi kansion sisältö- ja Luku-käyttöoikeudet.
      4. Jos käytät kirjautumiskomentosarjaa, anna Vahvistetut käyttäjät -ryhmälle Luku ja suoritus-, Luetteloi kansion sisältö- ja Luku-käyttöoikeudet.
  4. Luo Jakonimi-kansioon kansio nimeltä Logs.

    Lopulliset lokitiedostot kerätään tähän kansioon sen jälkeen, kun työkalu on suoritettu asiakastietokoneissa.
  5. Voit määrittää Logs-kansion NTFS-oikeudet seuraavasti.

    Huomautus Älä muuta jaetun resurssin oikeuksia tässä vaiheessa.
    1. Lisää toimialueen käyttäjätili sille käyttäjälle, joka hallitsee tätä jaettua resurssia, ja valitse Täydet oikeudet.
    2. Jos käytät tietokoneen käynnistyskomentosarjaa, anna Toimialueen tietokoneet -ryhmälle Muokkaus-, Luku ja suoritus-, Luetteloi kansion sisältö-, Luku- ja Kirjoitus-käyttöoikeudet.
    3. Jos käytät kirjautumiskomentosarjaa, anna Vahvistetut käyttäjät -ryhmälle Muokkaus-, Luku ja suoritus-, Luetteloi kansion sisältö-, Luku- ja Kirjoitus-käyttöoikeudet.

Käyttöönottotavat

Huomautus Tämän työkalun suorittaminen edellyttää, että sinulla on järjestelmänvalvojan tai järjestelmän oikeudet riippumatta siitä, minkä käyttöönottotavan valitset.

SMS-ohjelmistopaketin käyttäminen

Seuraavassa esimerkissä on vaiheittaiset ohjeet SMS 2003:n käyttämiseen. SMS 2.0:n käyttämisen vaiheet ovat samankaltaiset kuin nämä vaiheet.
  1. Pura Mrt.exe-tiedosto Windows-KB890830-V1.34-ENU.exe-paketista /x-valitsimen avulla.
  2. Luo Mrt.exe-tiedoston käynnistävä ja palautuskoodin ISMIF32.exe-komennon avulla noutava .bat-tiedosto.

    Seuraavassa on esimerkki.
    @echo off
    Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end
    
    :error13
    Ismif32.exe ?f MIFFILE ?p MIFNAME ?d "tekstiä virheestä 13"
    Goto end
    
    :error12
    Ismif32.exe ?f MIFFILE ?p MIFNAME ?d "tekstiä virheestä 12"
    Goto end
    
    :end
    
    Saat lisätietoja Ismif32.exe-ohjelmasta napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:
    268791 Ismif32.exe-ohjelman tuottaman tilatietojen MIF (Management Information Format) -tiedoston käsitteleminen SMS 2.0:ssa (Tämä artikkeli saattaa olla englanninkielinen)
    186415 Tilatietojen MIF-tiedoston luova Ismif32.exe-ohjelma on saatavana (Tämä artikkeli saattaa olla englanninkielinen)
  3. Voit luoda paketin SMS 2003 -konsolissa seuraavasti:
    1. Avaa SMS-hallintakonsoli.
    2. Napsauta Packages-solmua hiiren kakkospainikkeella, valitse New ja valitse sitten Package.

      Näyttöön tulee Package Properties -valintaikkuna.
    3. Nimeä paketti General-välilehdessä.
    4. Valitse Data Source -välilehdessä This package contains source files -valintaruutu.
    5. Valitse Set ja valitse sitten työkalun sisältävä lähdekansio.
    6. Määritä Distribution Settings -välilehdessä Sending priority -arvoksi High.
    7. Valitse Reporting-välilehdessä Use these fields for status MIF matching ja määritä sitten nimi MIF file name- ja Name-kenttään.

      Version- ja Publisher-tiedot ovat valinnaiset.
    8. Luo paketti valitsemalla OK.
  4. Voit määrittää paketille Distribution Point -jakelupisteen seuraavasti:
    1. Etsi uusi paketti SMS 2003 -konsolin Packages-solmussa.
    2. Laajenna paketti. Napsauta hiiren kakkospainikkeella Distribution Points, valitse New ja valitse sitten Distribution Points.
    3. Start the New Distribution Points Wizard. Select an existing Distribution Point.
    4. Sulje ohjattu toiminto valitsemalla Valmis.
  5. Voit lisätä aiemmin luodun komentojonotiedoston uuteen pakettiin seuraavasti:
    1. Valitse uuden paketin solmussa Programs-solmu.
    2. Napsauta hiiren kakkospainikkeella Programs, valitse New ja valitse sitten Program.
    3. Valitse General-välilehti ja kirjoita sitten kelvollinen nimi.
    4. Valitse Command line -kohdassa Browse ja valitse sitten Mrt.exe-tiedoston käynnistämiseksi luomasi komentojonotiedosto.
    5. Muuta Run-asetukseksi Hidden. Muuta After-asetukseksi No action required.
    6. Valitse Requirements-välilehti ja valitse sitten This program can run only on specified client operating systems.
    7. Valitse All x86 Windows Server 2003 ja All x86 Windows XP.
    8. Valitse Environment-välilehden Program can run -luettelosta Whether a user is logged. Määritä Run-tilaksi Run with administrative rights.
    9. Sulje valintaikkuna valitsemalla OK.
  6. Voit luoda ilmoituksen, joka kertoo ohjelmasta asiakkaille, seuraavasti:
    1. Napsauta Advertisement-solmua hiiren kakkospainikkeella, valitse New ja valitse sitten Advertisement.
    2. Kirjoita General-välilehdessä ilmoitukselle nimi. Valitse Package-kentässä aiemmin luomasi paketti. Valitse Program-kentässä aiemmin luomasi paketti. Valitse Browse ja valitse sitten All System -kokoelma tai kokoelma, jossa on vain Microsoft Windows XP:n tai uudemman version sisältäviä tietokoneita.
    3. Jätä Schedule-välilehteen oletusvaihtoehdot, jos haluat ohjelman suoritettavan vain kerran. Jos haluat suorittaa ohjelman jonkin aikataulun mukaan, määritä aikataululle aikaväli.
    4. Valitse Priority-asetukseksi High.
    5. Luo ilmoitus valitsemalla OK.

Ryhmäkäytäntöön perustuvan tietokoneen käynnistyskomentosarjan käyttäminen

Tämän tavan käyttäminen edellyttää, että käynnistät asiakastietokoneen uudelleen, kun olet määrittänyt komentosarjan ja ottanut ryhmäkäytäntöasetuksen käyttöön.
  1. Määritä jaetut resurssit. Voit tehdä tämän tekemällä Ensimmäinen asennus ja määritys -osassa kuvatut toimet.
  2. Määritä käynnistyskomentosarja. Voit tehdä tämän seuraavasti:
    1. Napsauta MMC:n Active Directoryn käyttäjät ja tietokoneet -laajennuksessa toimialueen nimeä hiiren kakkospainikkeella ja valitse sitten Ominaisuudet.
    2. Valitse Ryhmäkäytäntö-välilehti.
    3. Luo uusi ryhmäkäytäntöobjekti (GPO) valitsemalla Uusi, ja anna käytännölle nimeksi MRT Deployment.
    4. Valitse uusi käytäntö ja valitse sitten Muokkaa.
    5. Laajenna Tietokoneasetukset, laajenna Windows-asetukset ja valitse sitten Komentosarjat.
    6. Kaksoisnapsauta Kirjautuminen-kohtaa ja valitse sitten Lisää.

      Näyttöön tulee Lisää komentosarja -valintaikkuna.
    7. Kirjoita Komentosarjan nimi -ruutuun \\PalvelimenNimi\Jakonimi\RunMRT.cmd.
    8. Valitse OK ja valitse sitten Käytä.
  3. Käynnistä tämän toimialueen jäseninä olevat asiakastietokoneet uudelleen.

Ryhmäkäytäntöön perustuvan käyttäjän kirjautumiskomentosarjan käyttäminen

Tämän tavan käyttäminen edellyttää, että kirjautumisen käyttäjätili on toimialuetili ja asiakastietokoneen paikallisten järjestelmänvalvojien ryhmän jäsen.
  1. Määritä jaetut resurssit. Voit tehdä tämän tekemällä Ensimmäinen asennus ja määritys -osassa kuvatut toimet.
  2. Määritä kirjautumiskomentosarja. Voit tehdä tämän seuraavasti:
    1. Napsauta MMC:n Active Directoryn käyttäjät ja tietokoneet -laajennuksessa toimialueen nimeä hiiren kakkospainikkeella ja valitse sitten Ominaisuudet.
    2. Valitse Ryhmäkäytäntö-välilehti.
    3. Luo uusi ryhmäkäytäntöobjekti (GPO) valitsemalla Uusi ja anna sille nimeksi MRT Deployment.
    4. Valitse uusi käytäntö ja valitse sitten Muokkaa.
    5. Laajenna Tietokoneasetukset, laajenna Käyttäjäasetukset ja valitse sitten Komentosarjat.
    6. Kaksoisnapsauta Kirjautuminen-kohtaa ja valitse sitten Lisää. Näyttöön tulee Lisää komentosarja -valintaikkuna.
    7. Kirjoita Komentosarjan nimi -ruutuun \\PalvelimenNimi\Jakonimi\RunMRT.cmd.
    8. Valitse OK ja valitse sitten Käytä.
  3. Kirjaudu ulos asiakastietokoneista ja kirjaudu sitten takaisin sisään.
Tässä skenaariossa komentosarja ja työkalu suoritetaan kirjautuneena olevan käyttäjän kontekstissa. Jos tämä käyttäjä ei kuulu paikallisten järjestelmänvalvojien ryhmään tai jos hänellä ei ole tarvittavia oikeuksia, työkalua ei suoriteta eikä se palauta sopivaa palautuskoodia. Saat lisätietoja käynnistys- ja kirjautumiskomentosarjojen käyttämisestä napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan Microsoft Knowledge Base -tietokannan artikkelit:
198642 Windows 2000:n kirjautumis-, uloskirjautumis-, käynnistys- ja sammutuskomentosarjojen yleiskatsaus (Tämä artikkeli saattaa olla englanninkielinen)
322241 Komentosarjojen määrittäminen Windows 2000:ssa (Tämä artikkeli saattaa olla englanninkielinen)

Käyttöönottoon yritysympäristössä liittyviä lisätietoja

Palautuskoodien tarkasteleminen

Voit tarkistaa työkalun suorittamisen tulokset tarkastelemalla työkalun palautuskoodia käyttöönoton kirjautumisen tai käynnistyksen komentosarjassa. Esimerkki tämän tekemisestä on Mallikoodi-osassa.

Seuraavassa on luettelo kelvollisista palautuskoodeista.
Kutista tämä taulukkoLaajenna tämä taulukko
0=Tartuntaa ei löytynyt.
1=Käyttöjärjestelmäympäristön virhe.
2=Käyttäjällä ei ole järjestelmänvalvojan oikeuksia.
3=Käyttöjärjestelmää ei tueta.
4=Virhe käynnistettäessä tarkistusta (lataa työkalusta uusi versio).
5=Ei käytössä.
6=Vähintään yksi tartunta löytyi. Ei virheitä.
7=Vähintään yksi tartunta löytyi, mutta ilmeni virheitä.
8=Vähintään yksi tartunta löydettiin ja poistettiin, mutta täydellinen poistaminen edellyttää manuaalisia toimia.
9=Vähintään yksi tartunta löydettiin ja poistettiin, mutta täydellinen poistaminen edellyttää manuaalisia toimia ja ilmeni virheitä.
10=Vähintään yksi tartunta löydettiin ja poistettiin, mutta täydellinen poistaminen edellyttää uudelleenkäynnistämistä.
11=Vähintään yksi tartunta löydettiin ja poistettiin, mutta täydellinen poistaminen edellyttää uudelleenkäynnistämistä ja ilmeni virheitä.
12=Vähintään yksi tartunta löydettiin ja poistettiin, mutta täydellinen poistaminen edellyttää manuaalisia toimia ja uudelleenkäynnistämistä.
13=Vähintään yksi tartunta löydettiin ja poistettiin, mutta tietokone on käynnistettävä uudelleen. Virheitä ei ilmennyt.

Lokitiedoston jäsentäminen

Haittaohjelmien poistotyökalu kirjoittaa sen suorittamisen tuloksen %windir%\debug\mrt.log-lokitiedostoon.

Huomautuksia
  • Lokitiedosto on saatavana vain englanninkielisenä.
  • Poistotyökalun versiosta 1.2 (maaliskuu 2005) lähtien tämä lokitiedosto käyttää Unicode-tekstiä. Ennen versiota 1.2 lokitiedosto käytti ANSI-tekstiä.
  • Loktiedoston muoto muuttui versiosta 1.2 lähtien. Microsoft suosittelee työkalun uusimman version lataamista ja käyttämistä.

    Jos tämä lokitiedosto on jo luotu, työkalu lisää uudet tiedot aiemmin luodun tiedoston loppuun.
  • Voit käyttää edellä olevan esimerkin kaltaista komentosarjaa palautuskoodin noutamiseen ja tiedostojen keräämiseen jaettuun verkkoresurssiin.
  • Tämän ANSI-muodosta Unicode-muotoon vaihtamisen vuoksi poistotyökalun versio 1.2 kopioi %windir%\debug-kansion Mrt.log-tiedoston ANSI-versiot saman kansion Mrt.log.old-tiedostoon. Versio 1.2 myös luo Mrt.log-tiedostosta uuden Unicode-version kyseiseen samaan kansioon. Kuten ANSI-version yhteydessä, myös tähän lokitiedostoon lisätään tietoja joka kuukauden julkaisussa.
Seuraava esimerkki on Mrt.log-tiedosto tietokoneesta, jossa oli Sasser.A-matoviruksen tartunta:
Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

Seuraavassa on esimerkki lokitiedostosta, kun haittaohjelmia ei löytynyt.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary: ---------------- No infection found.
 
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

Seuraavassa on esimerkki lokitiedostosta, joka sisältää virheitä.

Saat lisätietoja työkalun varoituksista ja virheistä napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
891717 Microsoft Windowsin haittaohjelmien poistotyökalun suorittamisen aikana ilmenevän virheen vianmääritys
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary: ---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted. Found Win32/HLLW.Gaobot.ZF, partially removed.

Tunnetut ongelmat

Tunnettu ongelma 1

Kun suoritat työkalun käynnistyskomentosarjan avulla, Mrt.log-tiedostoon saatetaan kirjata seuraavaa virhesanomaa muistuttavia virhesanomia:
Error: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Access is denied.
Huomautus Pid-numero vaihtelee.

Tämän virhesanoman aiheuttaa prosessi, joka on juuri käynnistymässä tai joka on juuri pysäytetty. Ainoa vaikutus on se, että pid-tunnuksen määrittämää prosessia ei tarkisteta.

Tunnettu ongelma 2

Jos järjestelmänvalvoja päättää ottaa MSRT-työkalun käyttöön käyttäen hiljaisen tilan valitsinta /q (kutsutaan myös hiljaiseksi tilaksi), työkalu ei välttämättä joissakin harvinaisissa tapauksissa onnistu puhdistamaan pientä tartuntojen alijoukkoa täysin tilanteissa, joissa lisäpuhdistus vaaditaan uudelleenkäynnistyksen jälkeen. Tämä on huomattu ainoastaan tiettyjen rootkit-muunnosten poistamisessa.

Usein kysyttyjä kysymyksiä

Kysymys 1. Kun testaan työkalun käyttöönoton käynnistys- tai kirjautumiskomentosarjaa, lokitiedostot eivät kopioidu määrittämääni jaettuun verkkoresurssiin. Miksi?

Vastaus 1: Tämä aiheutuu yleensä käyttöoikeusongelmista. Esimerkiksi sillä tilillä, jota käyttäen poistotyökalu suoritetaan, ei ole kirjoitusoikeuksia jaettuun resurssiin. To troubleshoot this, first make sure that the tool ran by checking the registry key. Alternatively, you can look for the presence of the log file on the client computer. Jos työkalu suoritettiin onnistuneesti, voit testata yksinkertaista komentosarjaa ja varmistaa, että se pystyy kirjoittamaan jaettuun verkkoresurssiin, kun se suoritetaan samassa suojauskontekstissa kuin poistotyökalu suoritettiin.

Kysymys 2: Miten voin tarkistaa, suoritettiinko työkalu asiakastietokoneessa?

Vastaus 2: Voit tarkistaa työkalun suorittamisen tarkistamalla seuraavan rekisterimerkinnän arvon datan. Voit toteuttaa tällaisen tarkistuksen osana käynnistys- tai kirjautumiskomentosarjaa. Se estää työkalun suorittamisen useita kertoja.
Aliavain:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

Merkinnän nimi: Versio
Aina kun työkalu suoritetaan, se kirjoittaa rekisteriin GUID-tunnuksen ilmaisemaan sitä, että työkalu on suoritettu. Tämä tehdään suorittamisen tuloksista riippumatta. Seuraavassa taulukossa on luettelo kutakin versiota vastaavista GUID-tunnuksista.
Kutista tämä taulukkoLaajenna tämä taulukko
VersioArvon data
Tammikuu 2005E5DD9936-C147-4CD1-86D3-FED80FAADA6C
Helmikuu 2005 805647C6-E5ED-4F07-9E21-327592D40E83
Maaliskuu 2005F8327EEF-52AA-439A-9950-CE33CF0D4FDD
Huhtikuu 2005D89EBFD1-262C-4990-9927-5185FED1F261
Toukokuu 200508112F4F-11BF-4129-A90A-9C8DD0104005
Kesäkuu 200563C08887-00BE-4C9B-9EFC-4B9407EF0C4C
Heinäkuu 20052EEAB848-93EB-46AE-A3BF-9F1A55F54833
Elokuu 20053752278B-57D3-4D44-8F30-A98F957EC3C8
Elokuu 2005 A4066DA74-2DDE-4752-8186-101A7C543C5F
Syyskuu 200533B662A4-4514-4581-8DD7-544021441C89
Lokakuu 200508FFB7EB-5453-4563-A016-7DBC4FED4935
Marraskuu 20051F5BA617-240A-42FF-BE3B-14B88D004E43
Joulukuu 2005F8FEC144-AA00-48B8-9910-C2AE9CCE014A
Tammikuu 2006250985ee-62e6-4560-b141-997fc6377fe2
Helmikuu 200699cb494b-98bf-4814-bff0-cf551ac8e205
Maaliskuu 2006b5784f56-32ca-4756-a521-ca57816391ca
Huhtikuu 2006d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
Toukokuu 2006ce818d5b-8a25-47c0-a9cd-7169da3f9b99
Kesäkuu 20067cf4b321-c0dd-42d9-afdf-edbb85e59767
Heinäkuu 20065df61377-4916-440f-b23f-321933b0afd3
Elokuu 200637949d24-63f1-4fdc-ad24-5dc3eb3ad265
Syyskuu 2006ac3fa517-20f0-4a42-95ca-6383f04773c8
Lokakuu 200679e385d0-5d28-4743-aeb3-ed101c828abd
Marraskuu 20061d21fa19-c296-4020-a7c2-c5a9ba4f2356
Joulukuu 2006621498ca-889b-48ef-872b-84b519365c76
Tammikuu 20072F9BC264-1980-42b6-9EE3-2BE36088BB57
Helmikuu 2007FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
Maaliskuu 20075ABA0A63-8B4C-4197-A6AB-A1035539234D
Huhtikuu 200757FA0F48-B94C-49ea-894B-10FDA39A7A64
Toukokuu 200715D8C246-6090-450f-8261-4BA8CA012D3C
Kesäkuu 2007234C3382-3B87-41ca-98D1-277C2F5161CC
Heinäkuu 20074AD02E69-ACFE-475C-9106-8FB3D3695CF8
Elokuu 20070CEFC17E-9325-4810-A979-159E53529F47
Syyskuu 2007A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
Lokakuu 200752168AD3-127E-416C-B7F6-068D1254C3A4
Marraskuu 2007EFC91BC1-FD0D-42EE-AA86-62F59254147F
Joulukuu 200773D860EC-4829-44DD-A064-2E36FCC21D40
Tammikuu 2008 330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
Helmikuu 20080E918EC4-EE5F-4118-866A-93f32EC73ED6
Maaliskuu 200824A92A45-15B3-412D-9088-A3226987A476
Huhtikuu 2008F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
Toukokuu 20080A1A070A-25AA-4482-85DD-DF69FF53DF37
Kesäkuu 20080D9785CC-AEEC-49F7-81A8-07B225E890F1
Heinäkuu 2008BC308029-4E38-4D89-85C0-8A04FC9AD976
Elokuu 2008F3889559-68D7-4AFB-835E-E7A82E4CE818
Syyskuu 20087974CF06-BE58-43D5-B635-974BD92029E2
Lokakuu 2008131437DE-87D3-4801-96F0-A2CB7EB98572
Marraskuu 2008F036AE17-CD74-4FA5-81FC-4FA4EC826837
Joulukuu 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Joulukuu 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Tammikuu 2009 2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
Helmikuu 2009C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
Maaliskuu 2009BDEB63D0-4CEC-4D5B-A360-FB1985418E61
Huhtikuu 2009276F1693-D132-44EF-911B-3327198F838B
Toukokuu 2009AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
Kesäkuu 20098BD71447-AAE4-4B46-B652-484001424290
Heinäkuu 2009F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
Elokuu 200991590177-69E5-4651-854D-9C95935867CE
Syyskuu 2009B279661B-5861-4315-ABE9-92A3E26C1FF4
Lokakuu 20094C64200A-6786-490B-9A0C-DEF64AA03934
Marraskuu 200978070A38-A2A9-44CE-BAB1-304D4BA06F49
Joulukuu 2009A9A7C96D-908E-413C-A540-C43C47941BE4
Tammikuu 2010 ED3205FC-FC48-4A39-9FBD-B0035979DDFF
Helmikuu 201076D836AA-5D94-4374-BCBF-17F825177898
Maaliskuu 2010076DF31D-E151-4CC3-8E0A-7A21E35CF679
Huhtikuu 2010D4232D7D-0DB6-4E8B-AD19-456E8D286D67
Toukokuu 201018C7629E-5F96-4BA8-A2C8-31810A54F5B8
Kesäkuu 2010308738D5-18B0-4CB8-95FD-CDD9A5F49B62
Heinäkuu 2010A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
Elokuu 2010E39537F7-D4B8-4042-930C-191A2EF18C73
Syyskuu 2010 0916C369-02A8-4C3D-9AD0-E72AF7C46025
Lokakuu 201032F1A453-65D6-41F0-A36F-D9837A868534
Marraskuu 20105800D663-13EA-457C-8CFD-632149D0AEDD
Joulukuu 20104E28B496-DD95-4300-82A6-53809E0F9CDA
Tammikuu 2011 258FD3CF-9C82-4112-B1B0-18EC1ECFED37
Helmikuu 2011B3458687-D7E4-4068-8A57-3028D15A7408
Maaliskuu 2011AF70C509-22C8-4369-AEC6-81AEB02A59B7
Huhtikuu 20110CB525D5-8593-436C-9EB0-68C6D549994D
Toukokuu 2011852F70C7-9C9E-4093-9184-D89D5CE069F0
Kesäkuu 2011DDE7C7DD-E76A-4672-A166-159DA2110CE5
Heinäkuu 20113C009D0B-2C32-4635-9B34-FFA7F4CB42E7
Elokuu 2011F14DDEA8-3541-40C6-AAC7-5A0024C928A8
Syyskuu 2011E775644E-B0FF-44FA-9F8B-F731E231B507
Lokakuu 2011C0177BCC-8925-431B-AC98-9AC87B8E9699
Marraskuu 2011BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
Joulukuu 201179B9D6F6-2990-4C15-8914-7801AD90B4D7
Tammikuu 2012 634F47CA-D7D7-448E-A7BE-0371D029EB32
Helmikuu 2012 23B13CB9-1784-4DD3-9504-7E58427307A7
Maaliskuu 2012 84C44DD1-20C8-4542-A1AF-C3BA2A191E25
Huhtikuu 2012 3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
Toukokuu 2012 D0082A21-13E4-49F7-A31D-7F752F059DE9
Kesäkuu 2012 4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
Heinäkuu 2012 3E9B6E28-8A74-4432-AD2A-46133BDED728
Elokuu 2012 C1156343-36C9-44FB-BED9-75151586227B
Syyskuu 2012 02A84536-D000-45FF-B71E-9203EFD2FE04
Lokakuu 2012 8C1ACB58-FEE7-4FF0-972C-A09A058667F8
Marraskuu 2012 7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
Joulukuu 2012AD64315C-1421-4A96-89F4-464124776078
Tammikuu 2013A769BB72-28FC-43C7-BA14-2E44725FED20
Helmikuu 2013 ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
Maaliskuu 2013147152D2-DFFC-4181-A837-11CB9211D091
Huhtikuu 20137A6917B5-082B-48BA-9DFC-9B7034906FDC
Toukokuu 20133DAA6951-E853-47E4-B288-257DCDE1A45A
Kesäkuu 20134A25C1F5-EA3D-4840-8E14-692DD6A57508
Heinäkuu 20139326E352-E4F2-4BF7-AF54-3C06425F28A6
Elokuu 2013B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8
Syyskuu 2013462BE659-C07A-433A-874F-2362F01E07EA
Lokakuu 201321063288-61F8-4060-9629-9DBDD77E3242
Marraskuu 2013BA6D0F21-C17B-418A-8ADD-B18289A02461
Joulukuu 2013AFAFB7C5-798B-453D-891C-6765E4545CCC
Tammikuu 20147BC20D37-A4C7-4B84-BA08-8EC32EBF781C
Helmikuu 2014FC5CF920-B37A-457B-9AB9-36ECC218A003
Maaliskuu 2014254C09FA-7763-4C39-8241-76517EF78744
Huhtikuu 201454788934-6031-4F7A-ACED-5D055175AF71
Toukokuu 201491EFE48B-7F85-4A74-9F33-26952DA55C80
Kesäkuu 201407C5D15E-5547-4A58-A94D-5642040F60A2
Heinäkuu 201443E0374E-D98E-4266-AB02-AE415EC8E119
Elokuu 201453B5DBC4-54C7-46E4-B056-C6F17947DBDC
Kysymys 3: Miten voin estää tartunnasta raportoivaa työkalun osaa lähettämästä raporttia Microsoftille?

Vastaus 3: Järjestelmänvalvoja voi poistaa tartunnasta raportoivan osan käytöstä lisäämällä tietokoneisiin seuraavan rekisteriavaimen arvon. Jos tämä rekisteriavaimen arvo on määritetty, työkalu ei lähetä tartunnasta kertovaa raporttia Microsoftille.
Aliavain:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

Merkinnän nimi: \DontReportInfectionInformation
Tyyppi: REG_DWORD
Arvon data: 1


Kysymys 4: Maaliskuun 2005 versiossa Mrt.log-tiedoston tiedot vaikuttavat kadonneen. Miksi nämä tiedot poistettiin, ja voiko ne saada jostain?

Vastaus 4: Maaliskuun 2005 versiosta lähtien Mrt.log-lokitiedosto on Unicode-tiedosto. Jotta yhteensopivuus varmistetaan, työkalun maaliskuun 2005 version suorittamisen yhteydessä järjestelmässä mahdollisesti oleva tiedoston ANSI-version sisältö kopioidaan %WINDIR%\debug-kansiossa olevaan Mrt.log.old-tiedostoon ja Mrt.log-tiedostosta luodaan uusi Unicode-versio. Samoin kuin ANSI-versioon, myös tähän Unicode-versioon lisätään tietoja työkalun jokaisen version suorittamisen yhteydessä.

Ominaisuudet

Artikkelin tunnus: 891716 - Viimeisin tarkistus: 12. elokuuta 2014 - Versio: 113.0
Hakusanat: 
kbinfo KB891716

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com