로그인

Select the product you need help with

엔터프라이즈 환경에서 Microsoft Windows 악성 소프트웨어 제거 도구 배포

기술 자료: 891716

Microsoft Windows 악성 소프트웨어 제거 도구는 "본 문서의 정보는 다음의 제품에 적용됩니다." 절에 나열된 운영 체제에 사용하기 위한 것입니다. 목록에 포함되지 않은 운영 체제는 테스트되지 않았으므로 지원되지 않습니다. 지원되지 않는 이러한 운영 체제에는 Windows Embedded 운영 체제의 모든 버전이 포함됩니다.

모두 확대 | 모두 축소

소개

Microsoft는 컴퓨터에서 널리 알려진 특정 악성 소프트웨어를 제거하는 데 도움이 되는 Microsoft Windows 악성 소프트웨어 제거 도구를 발표했습니다.

세부 정보 건너뛰기 및 도구 다운로드

이 도구 다운로드 방법에 대한 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.

http://www.microsoft.com/ko-kr/security/default.aspx

(http://www.microsoft.com/ko-kr/security/default.aspx)

이 문서에 포함된 정보는 도구의 엔터프라이즈 배포에만 해당됩니다. 다음 Microsoft 기술 자료 문서를 검토하는 것이 좋습니다. 이 문서에는 도구 및 다운로드 위치에 대한 일반 정보가 포함되어 있습니다.

이 도구는 주로 컴퓨터에 최신 바이러스 백신 제품이 설치되어 있지 않은 개인 사용자를 위한 것입니다. 하지만 엔터프라이즈 환경에서 기존의 보호 기능을 향상시키고 심층 방어(defense-in-depth) 전략의 일환으로 이 도구를 설치할 수도 있습니다. 엔터프라이즈 환경에서는 다음 방법 중 하나 이상을 사용하여 이 도구를 배포할 수 있습니다.

Windows Server Update Services
SMS(Microsoft Systems Management Software) 소프트웨어 패키지
그룹 정책 기반 컴퓨터 시작 스크립트
그룹 정책 기반 사용자 로그온 스크립트

Windows Update 및 자동 업데이트를 통해 이 도구를 배포하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

890830

(http://support.microsoft.com/kb/890830/ko/ )

지원되는 Windows 버전이 실행되는 컴퓨터에서 특정 악성 소프트웨어가 확산되지 않도록 도와주는 Microsoft Windows 악성 소프트웨어 제거 도구

다음과 같은 배포 기술은 이 도구의 현재 버전에서 지원되지 않습니다.

Windows Update 카탈로그
원격 컴퓨터를 대상으로 도구 실행
SUS(Software Update Services)

또한 MBSA(Microsoft Baseline Security Analyzer)도 도구 실행을 검색하지 못합니다. 이 문서에는 배포하는 동안 도구 실행을 확인할 수 있는 방법에 대한 정보가 나와 있습니다.

코드 샘플

여기에 나와 있는 스크립트와 단계는 단지 예제일 뿐입니다. 고객은 이러한 예제 스크립트와 예제 시나리오를 테스트해서 자신의 환경에서 작동하도록 적절하게 수정해야 합니다. 사용 중인 환경 설정에 따라 ServerName 및 ShareName을 변경해야 합니다.

아래의 코드 예제는 다음과 같은 작업을 수행합니다.

자동 모드로 도구를 실행합니다.
미리 구성한 네트워크 공유에 로그 파일을 복사합니다.
도구를 실행하는 컴퓨터 이름과 현재 사용자의 사용자 이름을 로그 파일 이름 앞에 추가합니다. 초기 설정 및 구성 절의 지침에 따라 공유에 대해 적절한 사용 권한을 설정해야 합니다.

REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a  
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V4.20.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

참고 이 코드 샘플에서 ServerName은 해당 서버 이름의 자리 표시자이고 ShareName은 해당 공유 이름의 자리 표시자입니다.

초기 설정 및 구성

이 절은 시작 스크립트나 로그온 스크립트를 사용하여 이 도구를 배포하는 관리자를 위한 것입니다. SMS를 사용하는 경우에는 "배포 방법" 절로 진행하십시오.

서버와 공유를 구성하려면 다음과 같이 하십시오.

구성원 서버에서 공유를 설정합니다. 그런 다음 공유의 이름을 ShareName으로 설정합니다.
도구와 예제 스크립트 RunMRT.cmd를 공유에 복사합니다. 자세한 내용은 코드 예제 절을 참조하십시오.
다음 공유 사용 권한과 NTFS 파일 시스템 권한을 아래와 같이 구성합니다.
- 공유 사용 권한
  1. 이 공유를 관리하고 있는 사용자의 도메인 사용자 계정을 추가하고 모든 권한을 클릭합니다.
  2. Everyone 그룹을 제거합니다.
  3. 컴퓨터 시작 스크립트 방법을 사용하는 경우에는 변경 및 읽기 권한을 갖고 있는 Domain Computers 그룹을 추가합니다.
  4. 로그온 스크립트 방법을 사용하는 경우에는 변경 및 읽기 권한을 갖고 있는 Authenticated Users 그룹을 추가합니다.
- NTFS 권한
  1. 이 공유를 관리하고 있는 사용자의 도메인 사용자 계정을 추가하고 모든 권한을 클릭합니다.
  2. Everyone 그룹이 목록에 있으면 제거합니다.
    
    참고 Everyone 그룹을 제거할 때 오류 메시지가 나타나면 보안 탭의 고급 단추를 클릭한 다음 상속 가능한 권한을 부모 개체에서 이 개체 및 모든 자식 개체에 전파할 수 있음 확인란의 선택을 취소하십시오.
  3. 컴퓨터 시작 스크립트 방법을 사용하는 경우 Domain Computers 그룹에 읽기 및 실행 권한, 폴더 내용 보기 권한 및 읽기 권한을 부여합니다.
  4. 로그온 스크립트 방법을 사용하는 경우 Authenticated Users 그룹에 읽기 및 실행 권한, 폴더 내용 보기 권한 및 읽기 권한을 부여합니다.
ShareName 폴더에서 "Logs"라는 폴더를 만듭니다.

클라이언트 컴퓨터에서 도구를 실행하면 최종 로그 파일이 이 폴더에 저장됩니다.
다음과 같이 Logs 폴더에서 NTFS 권한을 구성합니다.

참고 이 단계에서는 공유 사용 권한을 변경하지 마십시오.
1. 이 공유를 관리하고 있는 사용자의 도메인 사용자 계정을 추가하고 모든 권한을 클릭합니다.
2. 컴퓨터 시작 스크립트 방법을 사용하는 경우 Domain Computers 그룹에 수정 권한, "읽기 및 실행" 권한, 폴더 내용 보기 권한, 읽기 권한 및 쓰기 권한을 부여합니다.
3. 로그온 스크립트 방법을 사용하는 경우 Authenticated Users 그룹에 수정 권한, "읽기 및 실행" 권한, 폴더 내용 보기 권한, 읽기 권한 및 쓰기 권한을 부여합니다.

배포 방법

참고 이 도구를 실행하려면 선택한 배포 옵션에 관계없이 Administrator 권한 또는 SYSTEM 권한이 있어야 합니다.

SMS 소프트웨어 패키지 사용 방법

다음 예제에서는 SMS 2003을 사용하는 단계별 지침이 나와 있습니다. SMS 2.0을 사용하는 단계는 다음 단계와 비슷합니다.

Windows-KB890830-V1.34-KOR.exe 패키지에서 Mrt.exe 파일의 압축을 풉니다.
Mrt.exe를 시작하고 ISMIF32.exe를 사용하여 반환 코드를 캡처하기 위한 .bat 파일을 만듭니다.

예제는 다음과 같습니다.
@echo off Mrt.exe /q If errorlevel 13 goto error13 If errorlevel 12 goto error12 Goto end :error13 Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ”text about error 13” Goto end :error12 Ismif32.exe ?f MIFFILE ?p MIFNAME ?d “text about error 12” Goto end :end
Ismif32.exe에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
268791
(http://support.microsoft.com/kb/268791/ko/ )
SMS 2.0에서 ISMIF32.exe 파일에서 생성한 상태 MIF(관리 정보 형식) 파일을 처리하는 방법
186415
(http://support.microsoft.com/kb/186415/ko/ )
상태 MIF 작성 프로그램인 Ismif32.exe를 사용할 수 있음
다음과 같이 SMS 2003 콘솔에서 패키지를 만듭니다.
1. SMS 관리자 콘솔을 엽니다.
2. Packages 노드를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 Package를 클릭합니다.
  
  Package Properties 대화 상자가 표시됩니다.
3. General 탭에서 패키지 이름을 지정합니다.
4. Data Source 탭에서 This package contains source files 확인란을 선택합니다.
5. Set를 클릭한 다음 도구가 포함되어 있는 원본 디렉터리를 선택합니다.
6. Distribution Settings 탭에서 Sending priority를 High로 설정합니다.
7. Reporting 탭에서 Use these fields for status MIF matching을 클릭한 다음 MIF file name 필드와 Name 필드의 이름을 지정합니다.
  
  Version과 Publisher는 옵션입니다.
8. 확인을 클릭하여 패키지를 만듭니다.
다음과 같이 패키지에 DP(배포 지점)를 지정합니다.
1. SMS 2003 콘솔의 Packages 노드에서 새 패키지를 찾습니다.
2. 이 패키지를 확장합니다. Distribution Points를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 Distribution Points를 클릭합니다.
3. New Distribution Points Wizard를 시작하고 기존의 배포 지점을 선택합니다.
4. 마침을 클릭하여 마법사를 닫습니다.
다음과 같이 앞에서 만든 배치 파일을 새 패키지에 추가합니다.
1. 새 패키지 노드에서 Programs 노드를 클릭합니다.
2. Programs를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 Program을 클릭합니다.
3. General 탭을 클릭한 다음 올바른 이름을 입력합니다.
4. Command line에서 Browse를 클릭하여 Mrt.exe를 시작하기 위해 만든 배치 파일을 선택합니다.
5. Run을 Hidden으로 변경합니다. After running을 No action required로 변경합니다.
6. Requirements 탭을 클릭한 다음 This program can run only on specified client platforms를 클릭합니다.
7. All x86 Windows Server 2003 및 All x86 Windows XP를 클릭합니다.
8. Environment 탭을 클릭하고 Program can run 목록에서 Whether or not a user is logged를 클릭합니다. Run mode를 Run with administrative rights로 설정합니다.
9. 확인을 클릭하여 대화 상자를 닫습니다.
다음과 같이 보급 알림을 만들어 클라이언트에 프로그램을 보급합니다.
1. Advertisements 노드를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 Advertisement를 클릭합니다.
2. General 탭에서 해당 보급 알림의 이름을 입력합니다. Package 필드에서 앞에서 만든 패키지를 선택합니다. 그런 다음 Program 필드에서 앞에서 만든 프로그램을 선택합니다. Browse를 클릭한 다음 All Systems 컬렉션을 클릭하거나 Microsoft Windows XP 이상 버전만 포함되어 있는 컴퓨터 컬렉션을 선택합니다.
3. Schedule 탭에서 프로그램을 한 번만 실행할 경우에는 기본 옵션을 그대로 사용하고 일정에 따라 프로그램을 실행하려면 일정 간격을 지정합니다.
4. Priority를 High로 설정합니다.
5. 확인을 클릭하여 보급 알림을 만듭니다.

그룹 정책 기반 컴퓨터 시작 스크립트 사용 방법

이 방법을 사용하려면 스크립트를 설정하고 그룹 정책 설정을 적용한 후에 클라이언트 컴퓨터를 다시 시작해야 합니다.

공유를 설정합니다. 이렇게 하려면 초기 설정 및 구성 절의 단계를 수행하십시오.
시작 스크립트를 설정합니다. 이렇게 하려면 다음과 같이 하십시오.
1. Active Directory 사용자 및 컴퓨터 MMC 스냅인에서 도메인 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
2. 그룹 정책 탭을 클릭합니다.
3. 새로 만들기를 클릭하여 GPO(그룹 정책 개체)를 새로 만들고 정책에 MRT Deployment라는 이름을 지정합니다.
4. 새 정책을 클릭한 다음 편집을 클릭합니다.
5. 컴퓨터 구성에 Windows 설정을 차례로 확장한 다음 스크립트를 클릭합니다.
6. 로그온을 두 번 클릭한 다음 추가를 클릭합니다.
  
  스크립트 추가 대화 상자가 나타납니다.
7. 스크립트 이름 상자에 \\ServerName\ShareName\RunMRT.cmd를 입력합니다.
8. 확인을 클릭한 다음 적용을 클릭합니다.
이 도메인의 구성원에 해당하는 클라이언트 컴퓨터를 다시 시작합니다.

그룹 정책 기반 사용자 로그온 스크립트 사용 방법

이 방법을 사용하려면 로그온 사용자 계정이 도메인 계정이고 해당 클라이언트 컴퓨터에서 로컬 관리자 그룹의 구성원이어야 합니다.

공유를 설정합니다. 이렇게 하려면 초기 설정 및 구성 절의 단계를 수행하십시오.
로그온 스크립트를 설정합니다. 이렇게 하려면 다음과 같이 하십시오.
1. Active Directory 사용자 및 컴퓨터 MMC 스냅인에서 도메인 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
2. 그룹 정책 탭을 클릭합니다.
3. 새로 만들기를 클릭하여 GPO를 새로 만들고 정책에 MRT Deployment라는 이름을 지정합니다.
4. 새 정책을 클릭한 다음 편집을 클릭합니다.
5. 사용자 구성의 Windows 설정을 차례로 확장한 다음 스크립트를 클릭합니다.
6. 로그온을 두 번 클릭한 다음 추가를 클릭합니다. 스크립트 추가 대화 상자가 나타납니다.
7. 스크립트 이름 상자에 \\ServerName\ShareName\RunMRT.cmd를 입력합니다.
8. 확인을 클릭한 다음 적용을 클릭합니다.
로그오프한 다음 클라이언트 컴퓨터에 로그온합니다.

이 시나리오에서는 스크립트와 도구가 로그온한 사용자의 컨텍스트에서 실행됩니다. 이 사용자가 로컬 관리자 그룹에 속해 있지 않거나 이 사용자에게 충분한 사용 권한이 없으면 도구가 실행되지 않고 적절한 반환 코드를 반환하지 않습니다. 시작 스크립트와 로그온 스크립트를 사용하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

198642

(http://support.microsoft.com/kb/198642/ko/ )

Windows 2000의 로그온, 로그오프, 시작 및 종료 스크립트에 대한 개요

322241

(http://support.microsoft.com/kb/322241/ko/ )

Windows 2000에서 스크립트를 할당하는 방법

엔터프라이즈 배포 관련 추가 정보

반환 코드 검사 방법

배포 로그온 스크립트 또는 배포 시작 스크립트에 있는 도구의 반환 코드를 검사하여 실행 결과를 확인할 수 있습니다. 이러한 작업을 수행하는 방법의 예제에 대해서는 코드 예제 절을 참조하십시오.

다음 목록에는 올바른 반환 코드가 나와 있습니다.

표 축소표 확대

0	=	감염되지 않음
1	=	OS 환경 오류
2	=	Administrator로 실행하지 않음
3	=	지원되지 않는 OS
4	=	스캐너 초기화 오류. 도구의 새 복사본을 다운로드하십시오.
5	=	사용되지 않음
6	=	하나 이상의 감염이 검색되었습니다. 오류는 없습니다.
7	=	하나 이상의 감염이 검색되었지만 오류가 발생했습니다.
8	=	하나 이상의 감염이 검색되어 제거되었지만 제거를 완료하기 위해 수동 단계를 수행해야 합니다.
9	=	하나 이상의 감염이 검색되어 제거되었지만 제거를 완료하기 위해 수동 단계를 수행해야 하고 오류가 발생했습니다.
10	=	하나 이상의 감염이 검색되어 제거되었지만 제거를 완료하기 위해 다시 시작해야 합니다.
11	=	하나 이상의 감염이 검색되어 제거되었지만 제거를 완료하기 위해 다시 시작해야 하고 오류가 발생했습니다.
12	=	하나 이상의 감염이 검색되어 제거되었지만 제거를 완료하기 위해 수동 단계를 수행해야 하고 다시 시작해야 합니다.
13	=	하나 이상의 감염이 검색되어 제거되었지만 다시 시작해야 합니다. 오류는 발생하지 않았습니다.

로그 파일 구문 분석 방법

악성 소프트웨어 제거 도구는 실행 결과에 대한 자세한 정보를 %windir%\debug\mrt.log 로그 파일에 기록합니다.

참고

이 로그 파일은 영어로만 제공됩니다.
제거 도구 버전 1.2(2005년 3월)부터 이 로그는 유니코드 텍스트를 사용합니다. 버전 1.2 이전에는 로그 파일에서 ANSI 텍스트를 사용했습니다.
로그 파일 형식이 버전 1.2로 변경되었으므로 최신 버전의 도구를 다운로드하여 사용하는 것이 좋습니다.

이 로그 파일이 이미 있을 경우 이 파일에 정보가 추가됩니다.
앞의 예제와 유사한 명령 스크립트를 사용하면 반환 코드를 캡처하고 네트워크 공유로 파일을 수집할 수 있습니다.
ANSI에서 유니코드로 전환되었기 때문에 제거 도구 버전 1.2는 %windir%\debug에 있는 Mrt.log 파일의 ANSI 버전을 같은 디렉터리의 Mrt.log.old로 복사하고 동일한 디렉터리에 Mrt.log 파일의 새 유니코드 버전을 만듭니다. ANSI 버전처럼 이 로그 파일도 매달 제공되는 릴리스에 추가됩니다.

아래의 예제는 Sasser.A 웜에 감염되었던 컴퓨터의 Mrt.log 파일입니다.

Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

다음은 악성 소프트웨어가 발견되지 않은 예제 로그 파일입니다.

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary: ---------------- No infection found.
 
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

다음은 오류가 발견된 예제 로그 파일입니다.

도구로 인해 나타나는 경고 및 오류에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

891717

(http://support.microsoft.com/kb/891717/ko/ )

Microsoft Windows 악성 소프트웨어 제거 도구를 실행할 때 발생하는 오류를 해결하는 방법

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary: ---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted. Found Win32/HLLW.Gaobot.ZF, partially removed.

알려진 문제

알려진 문제 1

시작 스크립트를 사용하여 도구를 실행할 경우 Mrt.log 파일에 다음과 유사한 오류 메시지가 나타날 수 있습니다.

오류: MemScanGetImagePathFromPid(pid: 552)가 실패했습니다.
0x00000005: 액세스가 거부되었습니다.

참고 PID 번호는 이와 다를 수 있습니다.

이 오류 메시지는 프로세스가 방금 시작되었거나 최근에 중지된 경우에 나타납니다. 나타나는 결과는 해당 PID로 지정된 프로세스가 검색되지 않는다는 것뿐입니다.

알려진 문제 2

드문 경우지만 관리자가 quiet 스위치 /q를 사용하여 MSRT를 배포하도록 선택하면(무인 모드로도 알려져 있음) 부분적인 감염이 완전히 해결되지 못하여 시스템 다시 시작 이후에 추가 정리가 필요할 수 있습니다. 이러한 상황은 특정 루트킷 변형을 제거할 때만 확인되었습니다.

FAQ

Q1. 도구 배포용 시작 또는 로그온 스크립트를 테스트할 때 설정한 네트워크 공유에 로그 파일이 복사되지 않습니다. 그 이유는 무엇입니까?

대답 1. 이 문제는 흔히 사용 권한 문제 때문에 발생합니다. 예를 들어, 제거 도구가 실행되는 계정에 공유에 대한 쓰기 권한이 없을 수 있습니다. 이를 해결하려면 먼저 레지스트리 키를 검사하여 도구가 실행되었는지 확인하거나 클라이언트 컴퓨터에 로그 파일이 있는지 확인합니다. 도구가 성공적으로 실행되었으면 간단한 스크립트를 테스트하여 제거 도구와 동일한 보안 컨텍스트에서 실행할 경우 네트워크 공유에 쓸 수 있는지 확인합니다.

질문 2: 클라이언트 컴퓨터에서 제거 도구가 실행되었는지 확인하는 방법은 무엇입니까?

대답 2. 다음 레지스트리 항목의 값 데이터를 검사하면 도구 실행을 확인할 수 있습니다. 시작 스크립트나 로그온 스크립트의 일부로 이러한 확인 작업을 구현할 수도 있습니다. 이 프로세스가 진행되면 도구를 여러 번 실행하지 않아도 됩니다.

하위 키:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

항목 이름: 버전

도구를 실행할 때마다 도구는 레지스트리에 도구가 실행되었음을 나타내는 GUID를 기록합니다. 이 GUID는 실행 결과에 관계없이 기록됩니다. 다음 표에는 각 릴리스에 해당하는 GUID가 나와 있습니다.

표 축소표 확대

릴리스	값 데이터
2005년 1월	E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005년 2월	805647C6-E5ED-4F07-9E21-327592D40E83
2005년 3월	F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005년 4월	D89EBFD1-262C-4990-9927-5185FED1F261
2005년 5월	08112F4F-11BF-4129-A90A-9C8DD0104005
2005년 6월	63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005년 7월	2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005년 8월	3752278B-57D3-4D44-8F30-A98F957EC3C8
2005년 8월 A	4066DA74-2DDE-4752-8186-101A7C543C5F
2005년 9월	33B662A4-4514-4581-8DD7-544021441C89
2005년 10월	08FFB7EB-5453-4563-A016-7DBC4FED4935
2005년 11월	1F5BA617-240A-42FF-BE3B-14B88D004E43
2005년 12월	F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006년 1월	250985ee-62e6-4560-b141-997fc6377fe2
2006년 2월	99cb494b-98bf-4814-bff0-cf551ac8e205
2006년 3월	b5784f56-32ca-4756-a521-ca57816391ca
2006년 4월	d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006년 5월	ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006년 6월	7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006년 7월	5df61377-4916-440f-b23f-321933b0afd3
2006년 8월	37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006년 9월	ac3fa517-20f0-4a42-95ca-6383f04773c8
2006년 10월	79e385d0-5d28-4743-aeb3-ed101c828abd
2006년 11월	1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006년 12월	621498ca-889b-48ef-872b-84b519365c76
2007년 1월	2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007년 2월	FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007년 3월	5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007년 4월	57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007년 5월	15D8C246-6090-450f-8261-4BA8CA012D3C
2007년 6월	234C3382-3B87-41ca-98D1-277C2F5161CC
2007년 7월	4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007년 8월	0CEFC17E-9325-4810-A979-159E53529F47
2007년 9월	A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007년 10월	52168AD3-127E-416C-B7F6-068D1254C3A4
2007년 11월	EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007년 12월	73D860EC-4829-44DD-A064-2E36FCC21D40
2008년 1월	330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008년 2월	0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008년 3월	24A92A45-15B3-412D-9088-A3226987A476
2008년 4월	F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008년 5월	0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008년 6월	0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008년 7월	BC308029-4E38-4D89-85C0-8A04FC9AD976
2008년 8월	F3889559-68D7-4AFB-835E-E7A82E4CE818
2008년 9월	7974CF06-BE58-43D5-B635-974BD92029E2
2008년 10월	131437DE-87D3-4801-96F0-A2CB7EB98572
2008년 11월	F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008년 12월	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008년 12월	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009년 1월	2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009년 2월	C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009년 3월	BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009년 4월	276F1693-D132-44EF-911B-3327198F838B
2009년 5월	AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009년 6월	8BD71447-AAE4-4B46-B652-484001424290
2009년 7월	F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009년 8월	91590177-69E5-4651-854D-9C95935867CE
2009년 9월	B279661B-5861-4315-ABE9-92A3E26C1FF4
2009년 10월	4C64200A-6786-490B-9A0C-DEF64AA03934
2009년 11월	78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009년 12월	A9A7C96D-908E-413C-A540-C43C47941BE4
2010년 1월	ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010년 2월	76D836AA-5D94-4374-BCBF-17F825177898
2010년 3월	076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010년 4월	D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010년 5월	18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010년 6월	308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010년 7월	A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010년 8월	E39537F7-D4B8-4042-930C-191A2EF18C73
2010년 9월	0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010년 10월	32F1A453-65D6-41F0-A36F-D9837A868534
2010년 11월	5800D663-13EA-457C-8CFD-632149D0AEDD
2010년 12월	4E28B496-DD95-4300-82A6-53809E0F9CDA
2011년 1월	258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011년 2월	B3458687-D7E4-4068-8A57-3028D15A7408
2011년 3월	AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011년 4월	0CB525D5-8593-436C-9EB0-68C6D549994D
2011년 5월	852F70C7-9C9E-4093-9184-D89D5CE069F0
2011년 6월	DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011년 7월	3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011년 8월	F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011년 9월	E775644E-B0FF-44FA-9F8B-F731E231B507
2011년 10월	C0177BCC-8925-431B-AC98-9AC87B8E9699
2011년 11월	BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
2011년 12월	79B9D6F6-2990-4C15-8914-7801AD90B4D7
2012년 1월	634F47CA-D7D7-448E-A7BE-0371D029EB32
2012년 2월	23B13CB9-1784-4DD3-9504-7E58427307A7
2012년 3월	84C44DD1-20C8-4542-A1AF-C3BA2A191E25
2012년 4월	3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
2012년 5월	D0082A21-13E4-49F7-A31D-7F752F059DE9
2012년 6월	4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
2012년 7월	3E9B6E28-8A74-4432-AD2A-46133BDED728
2012년 8월	C1156343-36C9-44FB-BED9-75151586227B
2012년 9월	02A84536-D000-45FF-B71E-9203EFD2FE04
2012년 10월	8C1ACB58-FEE7-4FF0-972C-A09A058667F8
2012년 11월	7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
2012년 12월	AD64315C-1421-4A96-89F4-464124776078
2013년 1월	A769BB72-28FC-43C7-BA14-2E44725FED20
2013년 2월?	ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
2013년 3월	147152D2-DFFC-4181-A837-11CB9211D091
2013년 4월	7A6917B5-082B-48BA-9DFC-9B7034906FDC
2013년 5월	3DAA6951-E853-47E4-B288-257DCDE1A45A

질문 3: 보고서가 Microsoft로 전송되지 않도록 도구의 감염 보고 구성 요소를 사용할 수 없게 설정하는 방법은 무엇입니까?

대답 3. 관리자는 컴퓨터에 다음 레지스트리 키 값을 추가하여 도구의 감염 보고 구성 요소를 사용할 수 없게 설정할 수 있습니다. 이 레지스트리 키 값을 설정하면 도구가 Microsoft에 감염 정보를 보고하지 않습니다.

하위 키:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

항목 이름: \DontReportInfectionInformation
종류: REG_DWORD
값 데이터: 1

질문 4: 2005년 3월 릴리스에서 Mrt.log 파일의 데이터가 없는 것으로 나타납니다. 이 데이터가 제거된 이유는 무엇이며, 이 데이터를 검색하는 방법이 있습니까?

대답 4. 2005년 3월 릴리스부터 Mrt.log 파일은 유니코드 파일로 작성됩니다. 도구의 2005년 3월 버전을 실행할 경우 호환성을 위해 로그 파일의 ANSI 버전이 시스템에 있으면 %WINDIR%\debug에 있는 Mrt.log.old로 이 로그의 내용이 복사되고 Mrt.log의 유니코드 버전이 새로 만들어집니다. ANSI 버전과 마찬가지로 이 유니코드 버전도 도구를 실행할 때마다 추가됩니다.

위로 가기 | 피드백 보내기

속성

기술 자료: 891716 - 마지막 검토: 2013년 5월 14일 화요일 - 수정: 106.0

kbinfo KB891716

위로 가기 | 피드백 보내기

피드백 보내기

위로 가기

Select the product you need help with

엔터프라이즈 환경에서 Microsoft Windows 악성 소프트웨어 제거 도구 배포

이 페이지에서

소개

세부 정보 건너뛰기 및 도구 다운로드

코드 샘플

초기 설정 및 구성

배포 방법

SMS 소프트웨어 패키지 사용 방법

그룹 정책 기반 컴퓨터 시작 스크립트 사용 방법

그룹 정책 기반 사용자 로그온 스크립트 사용 방법

엔터프라이즈 배포 관련 추가 정보

반환 코드 검사 방법

로그 파일 구문 분석 방법

알려진 문제

알려진 문제 1

알려진 문제 2

FAQ

속성

키워드:?

피드백 보내기

기술 자료 번역