A Microsoft Windows kártevőket eltávolító eszközének telepítése vállalati környezetben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 891716
A Microsoft Windows kártevőket eltávolító eszköze a cikk érintett termékeket ismertető részében feltüntetett operációs rendszerekhez készült. A listában nem szereplő operációs rendszereket nem tesztelte a Microsoft, így azokon nem támogatott az eszköz használata. A nem támogatott operációs rendszerek magukban foglalják a beágyazott rendszerek összes verzióját és kiadását.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A Microsoft közzétette a Microsoft Windows kártevőket eltávolító eszközét, amellyel eltávolíthatók a számítógépekről a különféle veszélyes kártevők.

A részletek átugrása és az eszköz letöltése

Az eszköz letöltéséről a Microsoft következő weblapján talál további tudnivalókat:
http://www.microsoft.com/hun/security/malwareremove/default.mspx
A jelen cikkben foglalt információk kifejezetten az eszköz vállalati környezetben történő telepítésére vonatkoznak. A művelet megkezdése előtt feltétlenül ajánlott a Microsoft Tudásbázis következő cikkének áttekintése, amely tartalmazza az eszközre vonatkozó általános tudnivalókat és a letöltési helyekkel kapcsolatos információkat.


Az eszköz elsősorban olyan, nem vállalati felhasználók számára készült, akiknek számítógépén nincs még folyamatosan frissített vírusirtó szoftver. Emellett azonban az eszközt vállalati környezetben is be lehet vezetni a meglévő védelmi rendszer megerősítése, illetve egy kidolgozott védelmi stratégia részeként. Az eszközt az alábbi módszerek valamelyikével telepítheti vállalati környezetben:
  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS) szoftvercsomag
  • Csoportházirendre épülő rendszerindítási parancsfájl
  • Csoportházirendre épülő felhasználói bejelentkezési parancsfájl
Az eszköz a Windows Update és az Automatikus frissítések szolgáltatással történő telepítéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
890830 A Microsoft Windows kártevő-eltávolító eszköz elősegíti bizonyos, gyakori kártevő szoftverek eltávolítását a Windows támogatott verzióit futtató számítógépekről
Az eszköz jelenlegi verziója nem támogatja az alábbi telepítési technológiákat és eljárásokat:
  • Windows Update katalógus
  • Az eszköz futtatása távoli számítógépen
  • Software Update Services (SUS)
Az eszköz végrehajtását ezenkívül a Microsoft Baseline Security Analyzer (MBSA) sem észleli. E cikkből megtudhatja, hogy miként ellenőrizheti az eszköz futtatását a telepítés részeként.

Példakód

Az itt használt parancsfájl és a bemutatott lépések kizárólag példaként szolgálnak. A példaként közölt parancsfájlokat és példaeseteket feltétlenül tesztelje, és módosítsa úgy, hogy az adott környezetben működőképesek legyenek. A Kiszolgálónév és a Megosztásnév értékét az adott környezet beállításainak megfelelően kell módosítani.

Az alábbi példakód a következőket hajtja végre:
  • csendes üzemmódban futtatja az eszközt,
  • a naplófájlt egy előre beállított hálózati megosztásra másolja,
  • a naplófájl nevéhez előtagként az eszköz végrehajtásának helyeként szolgáló számítógép nevét, valamint az aktuális felhasználó bejelentkezési nevét fűzi. A megosztáson a Kezdeti telepítési és beállítási teendők című részben leírtaknak megfelelő engedélyeket kell beállítani.
REM Ebben a példában a parancsfájl neve RunMRT.cmd.
REM A Sleep.exe segédprogram segítségével késleltethető az eszköz végrehajtása, ha 
REM rendszerindító parancsfájlként használják. Erről a cikk ismert problémákat bemutató részében olvashat bővebben.
@echo off
call \\Kiszolgálónév\Megosztásnév\Sleep.exe 5
Start /wait \\Kiszolgálónév\Megosztásnév\Windows-KB890830-V5.14.exe /q

copy %windir%\debug\mrt.log \\Kiszolgálónév\Megosztásnév\Logs\%computername%_%username%_mrt.log
Megjegyzés: A fenti kódmintában a Kiszolgálónév a kiszolgáló nevének, a Megosztásnév pedig a megosztás nevének helye.

Kezdeti telepítési és beállítási teendők

Ezt a részt olyan rendszergazdáknak ajánlott tanulmányozni, akik rendszerindító vagy bejelentkezési parancsfájlt használnak az eszköz telepítéséhez. Ha az SMS programot használja, a cikket a „Telepítési módszerek” című résztől olvassa tovább.

A kiszolgálót és a megosztást az alábbi lépésekkel állíthatja be:
  1. Állítson be egy megosztást egy tagkiszolgálón. Ezután adja a megosztásnak a következő nevet: Megosztásnév.
  2. Másolja az eszközt és a példakódot (RunMRT.cmd) a megosztásra. A részleteket a Példakód című részben találja.
  3. Állítsa be a megosztási és NTFS-engedélyeket a következő módon:
    • Megosztási engedélyek:
      1. Adja hozzá a megosztást kezelő felhasználó tartományi felhasználói fiókját, és válassza a Teljes hozzáférés beállítást.
      2. Távolítsa el a Mindenki csoportot.
      3. Ha számítógép-indítási parancsfájlt kíván használni, adja hozzá a Tartományi számítógépek csoportot módosítási és olvasási engedélyekkel.
      4. Ha bejelentkezési parancsfájlt kíván használni, adja hozzá a Hitelesített felhasználók csoportot módosítási és olvasási engedélyekkel.
    • NTFS-engedélyek:
      1. Adja hozzá a megosztást kezelő felhasználó tartományi felhasználói fiókját, és válassza a Teljes hozzáférés beállítást.
      2. Távolítsa el a Mindenki csoportot (ha szerepel a listán).

        Megjegyzés: Ha a Mindenki csoport eltávolításakor hibaüzenet jelenik meg, kattintson a Biztonság lapon a Speciális gombra, majd törölje Az örökölt engedélyek alkalmazása jelölőnégyzet jelölését.
      3. Rendszerindítási parancsfájl használatakor a Tartományi számítógépek csoporthoz adjon hozzá Olvasás és végrehajtás, Mappa tartalmának listázása és Olvasás engedélyt.
      4. Bejelentkezési parancsfájl használatakor a Hitelesített felhasználók csoporthoz adjon hozzá Olvasás és végrehajtás, Mappa tartalmának listázása és Olvasás engedélyt.
  4. A Megosztásnév mappán belül hozzon létre egy „Logs” nevű mappát.

    Ebbe a mappába kerülnek majd az eszköz ügyfélszámítógépeken való futtatását követően a végső naplófájlok.
  5. A Logs mappa NTFS-engedélyeit az alábbi műveletekkel állíthatja be.

    Megjegyzés: Ebben a lépésben ne módosítsa a megosztási engedélyeket.
    1. Adja hozzá a megosztást kezelő felhasználó tartományi felhasználói fiókját, és válassza a Teljes hozzáférés beállítást.
    2. Számítógép-indítási parancsfájl használatakor a Tartományi számítógépek csoporthoz adjon hozzá Módosítás, Olvasás és végrehajtás, Mappa tartalmának listázása, Olvasás és Írás engedélyeket.
    3. Bejelentkezési parancsfájl használatakor a Hitelesített felhasználók csoporthoz adjon hozzá Módosítás, Olvasás és végrehajtás, Mappa tartalmának listázása, Olvasás és Írás engedélyeket.

Telepítési módszerek

Megjegyzés: Az eszköz futtatásához rendszergazdai vagy rendszerjogosultságokkal kell rendelkeznie a választott üzembe helyezési beállítástól függetlenül.

Az SMS szoftvercsomag használata

Az alábbi példa részletesen ismerteti az SMS 2003 program használata esetén elvégzendő lépéseket. Az SMS 2.0-s verziója esetén a lépések hasonlóak az itt leírtakhoz.
  1. Csomagolja ki az Mrt.exe nevű fájlt a Windows-KB890830-V1.34.exe csomagból.
  2. Hozzon létre egy .bat fájlt, amely elindítja az Mrt.exe programot és rögzíti az ISMIF32.exe program visszatérési kódját.

    Az alábbiakban egy példa látható:
    @echo off
    Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end
    
    :error13
    Ismif32.exe –f MIFFILE –p MIFNAME –d "a 13-as hibát ismertető szöveg"
    Goto end
    
    :error12
    Ismif32.exe –f MIFFILE –p MIFNAME –d "a 12-es hibát ismertető szöveg"
    Goto end
    
    :end
    
    Az Ismif32.exe fájlról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    268791 Hogyan dolgozza fel az SMS 2.0 az ISMIF32.exe fájl által létrehozott állapotkezelési adatformátum (MIF) típusú fájlokat? (Előfordulhat, hogy a tartalom angol nyelven érhető el)
    186415 Beszerezhető az állapotra vonatkozó MIF-fájlok létrehozására szolgáló Ismif32.exe program (Előfordulhat, hogy a tartalom angol nyelven érhető el)
  3. Az SMS 2003 konzolján az alábbi műveletek végrehajtásával hozhat létre szoftvercsomagot:
    1. Nyissa meg az SMS felügyeleti konzolt.
    2. A jobb gombbal kattintson a Packages (Csomagok) csomópontra, válassza a New (Új), majd a Package (Csomag) parancsot.

      Megjelenik a Package Properties (Csomag tulajdonságai) párbeszédpanel.
    3. A General (Általános) lapon adjon nevet a csomagnak.
    4. A Data Source (Adatforrás) lapon jelölje be a This package contains source files (Ez a csomag forrásfájlokat tartalmaz) jelölőnégyzetet.
    5. Kattintson a Set (Beállítás) gombra, és jelöljön ki egy olyan forráskönyvtárat, amelyben megtalálható az eszköz.
    6. A Distribution Settings (Terjesztési beállítások) lapon állítsa a Sending priority (Küldési prioritás) beállítást High (Magas) értékre.
    7. A Reporting (Jelentés) lapon válassza a Use these fields for status MIF matching (Használja e mezőket az állapotra vonatkozó MIF-egyeztetésre) lehetőséget, majd adjon meg nevet a MIF file name (MIF-fájl neve) és a Name (Név) mezőben.

      A Version (Verzió) és a Publisher (Közzétevő) mező kitöltése nem kötelező.
    8. Kattintson az OK gombra a csomag létrehozásához.
  4. Adjon meg a csomaghoz egy terjesztési pontot (DP) az alábbi műveletsorral:
    1. Az SMS 2003 konzolban a Packages (Csomagok) csomóponton belül keresse meg az új csomagot.
    2. Bontsa ki a csomagot. A jobb gombbal kattintson a Distribution Points (Terjesztési pontok) elemre, mutasson a New pontra, és válassza a Distribution Points parancsot.
    3. Futtassa a New Distribution Points Wizard (Új terjesztési pontok) varázslót. Jelöljön ki egy létező terjesztési pontot.
    4. A Finish (Befejezés) gombra kattintva zárja be a varázslót.
  5. Az új csomaghoz az alábbi műveleteket végrehajtva adhatja hozzá a korábban már létrehozott kötegfájlt:
    1. Az új csomag csomópontján belül kattintással jelölje ki a Programs (Programok) csomópontot.
    2. A jobb gombbal kattintson a Programs elemre, mutasson a New (Új) pontra, és válassza a Program parancsot.
    3. Lépjen a General (Általános) lapra, és írjon be egy érvényes nevet.
    4. A Command line (Parancssor) mezőben a Browse (Tallózás) gombra kattintva válassza az Mrt.exe fájl indítására létrehozott .bat parancsfájlt.
    5. Állítsa a Run (Futtatás) beállítást Hidden (Rejtett) értékűre. Állítsa az After (Futtatás után) beállítást a No action required (Nincs szükség további műveletekre) értékre.
    6. Kattintson a Requirements (Követelmények) fülre, majd jelölje be a This program can run only on specified client operating systems (Ez a program csak bizonyos ügyfélplatformokon futhat) beállítást.
    7. Kattintson az All x86 Windows Server 2003 (Minden x86 rendszerű Windows 2003) és az All x86 Windows XP (Minden x86 rendszerű Windows XP) elemre.
    8. Kattintson az Environment (Környezet) fülre, és a Program can run (A program futhat) listában válassza a Whether a user is logged (Függetlenül attól, hogy van-e bejelentkezett felhasználó) lehetőséget. Állítsa a futtatási módot a Run with administrative rights (Futtatás felügyeleti jogokkal) értékre.
    9. Kattintson az OK gombra a párbeszédpanel bezárásához.
  6. Az alábbi műveletsorral hozzon létre hirdetést, amellyel a programot az ügyfeleknek hirdetheti:
    1. A jobb gombbal kattintson az Advertisement (Hirdetés) csomópontra, válassza a New (Új), majd az Advertisement parancsot.
    2. A General (Általános) lapon adjon nevet a hirdetésnek. A Package (Csomag) mezőben válassza ki az előzőleg létrehozott csomagot. Ezután a Program mezőben válassza ki az előzőleg létrehozott programot. Kattintson a Browse (Tallózás) gombra, és jelölje ki az All System (Teljes rendszer) gyűjteményt, illetve egy olyan számítógépekből álló gyűjteményt, amelyeken csak Microsoft Windows XP vagy újabb rendszer fut.
    3. A Schedule (Ütemezés) lapon hagyja változatlanul az alapbeállításokat, ha azt szeretné, hogy a program csak egyetlen alkalommal fusson. Ha ütemezni szeretné a program futtatását, adja meg az időközt.
    4. Állítsa a Priority (Prioritás) beállítást High (Magas) értékre.
    5. Kattintson az OK gombra a hirdetés létrehozásához.

Csoportházirendre épülő rendszerindítási parancsfájl használata

A módszer használatához a parancsfájl beállítása és a csoportházirend alkalmazása után újra kell indítania az ügyfélszámítógépet.
  1. Állítsa be a megosztásokat. Ehhez hajtsa végre a Kezdeti telepítési és beállítási teendők című részben ismertetett lépéseket.
  2. Állítsa be az indítási parancsfájlt. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az Active Directory - felhasználók és számítógépek Microsoft Management Console (MMC) beépülő modulban kattintson a jobb gombbal a tartomány nevére, majd kattintson a Tulajdonságok parancsra.
    2. Kattintson a Group Policy (Csoportházirend) fülre.
    3. A New (Új) gombra kattintva hozzon létre egy új csoportházirend-objektumot (GPO), és a házirendnek adja az MRT telepítése nevet.
    4. Jelölje ki az új házirendet, és kattintson az Edit (Szerkesztés) gombra.
    5. Nyissa meg a Felhasználó konfigurációja/Windows beállításai mappát, és kattintson a Parancsfájlok elemre.
    6. Kattintson duplán a Bejelentkezés elemre, majd kattintson a Hozzáadás gombra.

      Megjelenik a Parancsfájl hozzáadása párbeszédpanel.
    7. A Parancsfájl neve mezőbe írja be a következőt: \\Kiszolgálónév\Megosztásnév\RunMRT.cmd.
    8. Kattintson az OK, majd az Alkalmaz gombra.
  3. Indítsa újra azokat az ügyfélszámítógépeket, amelyek ennek a tartománynak a tagjai.

Csoportházirendre épülő felhasználói bejelentkezési parancsfájl használata

E módszer olyan felhasználói fiókon használható, amely tartományi fiók, és az ügyfélszámítógépen a helyi Rendszergazdák csoport tagja.
  1. Állítsa be a megosztásokat. Ehhez hajtsa végre a Kezdeti telepítési és beállítási teendők című részben ismertetett lépéseket.
  2. Állítsa be a bejelentkezési parancsfájlt. Ehhez hajtsa végre az alábbi lépéseket:
    1. Az Active Directory - felhasználók és számítógépek Microsoft Management Console (MMC) beépülő modulban kattintson a jobb gombbal a tartomány nevére, majd kattintson a Tulajdonságok parancsra.
    2. Kattintson a Group Policy (Csoportházirend) fülre.
    3. A New (Új) gombra kattintva hozzon létre egy új csoportházirend-objektumot (GPO), és adja neki az MRT telepítése nevet.
    4. Jelölje ki az új házirendet, és kattintson az Edit (Szerkesztés) gombra.
    5. Bontsa ki a Felhasználó konfigurációja/Windows beállításai elemet, majd kattintson a Parancsfájlok elemre.
    6. Kattintson duplán a Bejelentkezés elemre, majd kattintson a Hozzáadás gombra. Megjelenik a Parancsfájl hozzáadása párbeszédpanel.
    7. A Parancsfájl neve mezőbe írja be a következőt: \\Kiszolgálónév\Megosztásnév\RunMRT.cmd.
    8. Kattintson az OK, majd az Alkalmaz gombra.
  3. Jelentkezzen ki, majd jelentkezzen be az ügyfélszámítógépekre.
Ebben a forgatókönyvben a parancsfájl és az eszköz a bejelentkezett felhasználó környezetében fog futni. Ha ez a felhasználó nem tagja a helyi rendszergazdák csoportjának, illetve nem rendelkezik megfelelő jogosultsággal, az eszköz nem fog futni és nem adja vissza a megfelelő visszatérési kódot. Az indítási és a bejelentkezési parancsfájlok használatáról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
198642 A Windows 2000 rendszerbeli bejelentkezési, kijelentkezési, rendszerindítási és rendszerleállítási parancsfájlok áttekintése (Előfordulhat, hogy a tartalom angol nyelven érhető el)
322241 Parancsfájlok hozzárendelése Windows 2000 rendszerben (Előfordulhat, hogy a tartalom angol nyelven érhető el)

További információ a vállalati telepítéssel kapcsolatban

Visszatérési kódok vizsgálata

Az eszköz által visszaadott kód megvizsgálásával ellenőrizheti a végrehajtás eredményét; a kód a telepítéshez használt rendszerindítási vagy bejelentkezési parancsfájlban található. Ennek végrehajtásához a Példakód című részben talál példát.

Az érvényes visszatérési kódokat az alábbi lista tartalmazza:
A táblázat összecsukásaA táblázat kibontása
0=Nincs fertőzés.
1=Hiba az operációsrendszer-környezetben.
2=A programot nem rendszergazdai jogosultsággal futtatták.
3=A használt operációs rendszer nem támogatott.
4=Hiba a kereső inicializálásakor. (Töltse le újra az eszközt.)
5=Nincs használatban.
6=A program legalább egy fertőzést észlelt és eltávolított. Nincs hiba.
7=A program legalább egy fertőzést észlelt, de hibákba ütközött.
8=A program legalább egy fertőzést észlelt és eltávolított, de a teljes eltávolítás további felhasználói műveleteket igényel.
9=A program legalább egy fertőzést észlelt és eltávolított, de a teljes eltávolítás további felhasználói műveleteket igényel, és hibák is felmerültek.
10=A program legalább egy fertőzést észlelt és eltávolított, de a teljes eltávolításhoz újra kell indítani a számítógépet.
11=A program legalább egy fertőzést észlelt és eltávolított, de a teljes eltávolításhoz újra kell indítani a számítógépet, és hibák is felmerültek.
12=A program legalább egy fertőzést észlelt és eltávolított, de a teljes eltávolításhoz további felhasználói műveletek és a számítógép újraindítása is szükséges.
13=A program legalább egy fertőzést észlelt és eltávolított, de újra kell indítani a számítógépet. A program nem észlelt hibát.

A naplófájl értelmezése

A Microsoft Windows kártevőket eltávolító eszköze a végrehajtással kapcsolatos adatokat a %windir%\debug\mrt.log naplófájlban rögzíti.

Megjegyzések:
  • Ez a naplófájl csak angol nyelven jön létre.
  • Az eszköz 1.2-es (2005. márciusi) verziójától kezdve a naplófájl Unicode kódolású. Az 1.2-es verzió előtt a naplófájl ANSI formátumú volt.
  • A naplófájlformátum az 1.2-es verzióval változott, ezért mindenképpen ajánlatos az eszköz legújabb verzióját letölteni és futtatni.

    Ha ez a naplófájl már létezik, az eszköz a létező fájl végéhez fűzi az új adatokat.
  • A visszatérési kód rögzítéséhez és a fájlok hálózati megosztásra történő összegyűjtéséhez egy, a fentiekben bemutatotthoz hasonló parancsfájlt használhat.
  • Az ANSI formátumról a Unicode formátumra való váltás miatt az eszköz 1.2-es verziója az Mrt.log fájl a %windir%\debug mappában található ANSI kódolású változatait Mrt.old néven menti ugyanabban a könyvtárban. Az 1.2-es programverzió emellett létrehozza ebben a könyvtárban az Mrt.log fájl új, Unicode kódolású változatát is. Az ANSI kódolású fájlhoz hasonlóan ez a fájl is minden havi kiadásban bővül.
A következő példában az Mrt.log fájl egy, a Sasser.A féreggel fertőzött számítógépről származik:
Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

A következő példában szereplő naplófájl arról tanúskodik, hogy az eszköz nem talált kártevőt.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary: ---------------- No infection found.
 
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

Az alábbi példában a naplófájl azt jelzi, hogy hibák léptek fel.

Az eszköz által okozott figyelmeztetésekről és hibákról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
891717 A Microsoft Windows kártevő-eltávolító eszközének futtatásakor hibaüzenet jelenik meg
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary: ---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted. Found Win32/HLLW.Gaobot.ZF, partially removed.

Ismert problémák

1. ismert probléma

Ha az eszközt rendszerindítási parancsfájllal futtatja, az alábbihoz hasonló hibaüzenetek kerülhetnek az Mrt.log fájlba:
Error: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Access is denied.
Megjegyzés: A folyamatazonosító (pid) szám eltérhet az itt közölttől.

Ez a hibaüzenet olyankor jelenik meg, amikor egy folyamat éppen elindult, illetve nemrég állt le. A hiba egyetlen hatása az, hogy az eszköz nem ellenőrzi a programazonosítóval jelölt folyamatot.

2. ismert probléma

Bizonyos ritka esetekben, ha egy rendszergazda a /q kapcsolóval csendes módban telepíti az MSRT eszközt, előfordulhat, hogy az nem teljes mértékben tisztítja meg a rendszert az összes kártevőtől azokban a helyzetekben, amelyek esetén újraindítás után újabb tisztítás szükséges. Ez a jelenség csak a betörést álcázó programcsomagok (rootkitek) bizonyos variánsainak eltávolításakor tapasztalható.

Gyakori kérdések

1. kérdés: Amikor tesztelem az eszköz telepítésére létrehozott rendszerindító vagy bejelentkezési parancsfájlomat, nem látom jelét annak, hogy a naplófájlokat a rendszer az általam beállított hálózati megosztásra másolná. Miért?

1. válasz: Ez a leggyakrabban a hozzáférési engedélyek miatt fordul elő. Az eszköz futtatási környezeteként szolgáló fiók például nem rendelkezik írási jogosultsággal a megosztáshoz. A probléma kiküszöböléséhez először a beállításkulcs (korábbi nevén rendszerleíró kulcs) ellenőrzésével bizonyosodjon meg arról, hogy az eszköz befejezte működését, vagy pedig vizsgálja meg, hogy az ügyfélszámítógépen létrejött-e a naplófájl. Sikeres futtatás esetén egy egyszerű parancsfájl tesztelésével ellenőrizheti, hogy a parancsfájl írhat-e adatokat a hálózati megosztásra, ha ugyanabban a biztonsági környezetben futtatják, amelyben az eszköz is futott.

2. kérdés: Hogyan ellenőrizhetem, hogy az eltávolítóeszköz futása megtörtént-e egy adott ügyfélszámítógépen?

2. válasz: Az alábbi beállításkulcs értékeinek megtekintésével ellenőrizheti, hogy az eszköz futott-e. Ilyen vizsgálatot rendszerindítási vagy bejelentkezési parancsfájl részeként egyaránt végrehajthat, így megelőzheti, hogy az eszköz több alkalommal is elinduljon.
Alkulcs:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

Bejegyzés neve: Version
Valahányszor az eszköz fut, futásának bizonyítékaként egy GUID azonosítót ír a beállításjegyzékbe (korábbi nevén rendszerleíró adatbázis) a végrehajtás eredményétől függetlenül. Az alábbi táblázatban az egyes kiadásoknak megfelelő GUID azonosítók láthatók.
A táblázat összecsukásaA táblázat kibontása
KiadásÉrték
2005. januárE5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005. február 805647C6-E5ED-4F07-9E21-327592D40E83
2005. márciusF8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005. áprilisD89EBFD1-262C-4990-9927-5185FED1F261
2005. május08112F4F-11BF-4129-A90A-9C8DD0104005
2005. június63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005. július2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005. augusztus3752278B-57D3-4D44-8F30-A98F957EC3C8
2005. augusztus A4066DA74-2DDE-4752-8186-101A7C543C5F
2005. szeptember33B662A4-4514-4581-8DD7-544021441C89
2005. október08FFB7EB-5453-4563-A016-7DBC4FED4935
2005. november1F5BA617-240A-42FF-BE3B-14B88D004E43
2005. decemberF8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006. január250985ee-62e6-4560-b141-997fc6377fe2
2006. február99cb494b-98bf-4814-bff0-cf551ac8e205
2006. márciusb5784f56-32ca-4756-a521-ca57816391ca
2006. áprilisd0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006. májusce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006. június7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006. július5df61377-4916-440f-b23f-321933b0afd3
2006. augusztus37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006. szeptemberac3fa517-20f0-4a42-95ca-6383f04773c8
2006. október79e385d0-5d28-4743-aeb3-ed101c828abd
2006. november1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006. december621498ca-889b-48ef-872b-84b519365c76
2007. január2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007. februárFFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007. március5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007. április57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007. május15D8C246-6090-450f-8261-4BA8CA012D3C
2007. június234C3382-3B87-41ca-98D1-277C2F5161CC
2007. július4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007. augusztus0CEFC17E-9325-4810-A979-159E53529F47
2007. szeptemberA72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007. október52168AD3-127E-416C-B7F6-068D1254C3A4
2007. novemberEFC91BC1-FD0D-42EE-AA86-62F59254147F
2007. december73D860EC-4829-44DD-A064-2E36FCC21D40
2008. január330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008. február0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008. március24A92A45-15B3-412D-9088-A3226987A476
2008. áprilisF01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008. május0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008. június0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008. júliusBC308029-4E38-4D89-85C0-8A04FC9AD976
2008. augusztusF3889559-68D7-4AFB-835E-E7A82E4CE818
2008. szeptember7974CF06-BE58-43D5-B635-974BD92029E2
2008. október131437DE-87D3-4801-96F0-A2CB7EB98572
2008. novemberF036AE17-CD74-4FA5-81FC-4FA4EC826837
2008. december9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008. december9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009. január2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009. februárC5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009. márciusBDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009. április276F1693-D132-44EF-911B-3327198F838B
2009. májusAC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009. június8BD71447-AAE4-4B46-B652-484001424290
2009. júliusF530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009. augusztus91590177-69E5-4651-854D-9C95935867CE
2009. szeptemberB279661B-5861-4315-ABE9-92A3E26C1FF4
2009. október4C64200A-6786-490B-9A0C-DEF64AA03934
2009. november78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009. decemberA9A7C96D-908E-413C-A540-C43C47941BE4
2010. januárED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010. február76D836AA-5D94-4374-BCBF-17F825177898
2010. március076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010. áprilisD4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010. május18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010. június308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010. júliusA1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010. augusztusE39537F7-D4B8-4042-930C-191A2EF18C73
2010. szeptember 0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010. október32F1A453-65D6-41F0-A36F-D9837A868534
2010. november5800D663-13EA-457C-8CFD-632149D0AEDD
2010. december4E28B496-DD95-4300-82A6-53809E0F9CDA
2011. január258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011. februárB3458687-D7E4-4068-8A57-3028D15A7408
2011. márciusAF70C509-22C8-4369-AEC6-81AEB02A59B7
2011. április0CB525D5-8593-436C-9EB0-68C6D549994D
2011. május852F70C7-9C9E-4093-9184-D89D5CE069F0
2011. júniusDDE7C7DD-E76A-4672-A166-159DA2110CE5
2011. július3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011. augusztusF14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011. szeptemberE775644E-B0FF-44FA-9F8B-F731E231B507
2011. októberC0177BCC-8925-431B-AC98-9AC87B8E9699
2011. novemberBEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
2011. december79B9D6F6-2990-4C15-8914-7801AD90B4D7
2012. január634F47CA-D7D7-448E-A7BE-0371D029EB32
2012. február 23B13CB9-1784-4DD3-9504-7E58427307A7
2012. március 84C44DD1-20C8-4542-A1AF-C3BA2A191E25
2012. április 3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
2012. május D0082A21-13E4-49F7-A31D-7F752F059DE9
2012. június 4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
2012. július 3E9B6E28-8A74-4432-AD2A-46133BDED728
2012. augusztus C1156343-36C9-44FB-BED9-75151586227B
2012. szeptember 02A84536-D000-45FF-B71E-9203EFD2FE04
2012. október 8C1ACB58-FEE7-4FF0-972C-A09A058667F8
2012. november 7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
2012. decemberAD64315C-1421-4A96-89F4-464124776078
2013. januárA769BB72-28FC-43C7-BA14-2E44725FED20
2013. februárED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
2013. március147152D2-DFFC-4181-A837-11CB9211D091
2013. április7A6917B5-082B-48BA-9DFC-9B7034906FDC
2013. május3DAA6951-E853-47E4-B288-257DCDE1A45A
2013. június4A25C1F5-EA3D-4840-8E14-692DD6A57508
2013. július 9326E352-E4F2-4BF7-AF54-3C06425F28A6
2013. augusztusB6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8
2013. szeptember462BE659-C07A-433A-874F-2362F01E07EA
2013. október21063288-61F8-4060-9629-9DBDD77E3242
2013. novemberBA6D0F21-C17B-418A-8ADD-B18289A02461
2013. decemberAFAFB7C5-798B-453D-891C-6765E4545CCC
2014. január7BC20D37-A4C7-4B84-BA08-8EC32EBF781C
2014. februárFC5CF920-B37A-457B-9AB9-36ECC218A003
2014. március254C09FA-7763-4C39-8241-76517EF78744
2014. április54788934-6031-4F7A-ACED-5D055175AF71
2014. május91EFE48B-7F85-4A74-9F33-26952DA55C80
2014. június07C5D15E-5547-4A58-A94D-5642040F60A2
2014. július43E0374E-D98E-4266-AB02-AE415EC8E119
3. kérdés: Hogyan tilthatom le az eszköz fertőzésbejelentő összetevőjét, ha nem szeretném, hogy a jelentéseket elküldje a Microsoft cégnek?

3. válasz: Rendszergazdai jogosultság birtokában az alábbi beállításkulcs létrehozásával letilthatja a fertőzésbejelentő összetevő működését az egyes számítógépeken. Ha nincs beállítva ez a beállításkulcs, az eszköz nem küld jelentést a fertőzésről a Microsoftnak.
Alkulcs:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

Bejegyzés neve: \DontReportInfectionInformation
Típus: REG_DWORD
Érték: 1


4. kérdés: Az eszköz 2005. márciusi kiadásától kezdve úgy tűnik, hogy az Mrt.log fájlban lévő adatok elvesztek. Miért tűntek el az adatok, és van-e mód a megjelenítésükre?

4. válasz: A 2005. márciusi programverziótól kezdve az Mrt.log fájl már Unicode kódolást használ. A kompatibilitás megőrzése érdekében az eszköz 2005. márciusi verziójának futtatásakor a program egy, a %WINDIR%\debug mappában lévő, Mrt.log.old nevű fájlba másolja az ANSI formátumú naplófájl tartalmát (ha van ilyen fájl), és egy Unicode kódolású új verziót hoz létre az Mrt.log fájlból. Az ANSI verzióhoz hasonlóan a Unicode verziójú fájl is adatokkal bővül az eszköz minden egyes futtatásakor.

Tulajdonságok

Cikk azonosítója: 891716 - Utolsó ellenőrzés: 2014. július 8. - Verziószám: 114.0
Kulcsszavak: 
kbinfo KB891716
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com