Distribusjon av Microsoft Windows-verktøyet for fjerning av skadelig programvare i et bedriftsmiljø

Hopp over detaljene og laste ned verktøyet

• Windows Server Update Services
• Microsoft Systems Management Software (SMS)-programvare pakke
• Gruppere gruppepolicybasert oppstartsskript for datamaskiner
• Gruppere gruppepolicybasert påloggingsskript for brukere

• Windows Update-katalogen
• Kjøring av verktøyet mot en ekstern datamaskin
• Software Update Services (SUS)

Kodeeksemplet

• Kjører verktøyet i stille modus
• Kopierer loggfilen til en forhåndskonfigurert, delt dele
• Prefixes navnet på loggfilen med navnet på datamaskinen fra verktøyet kjøres, og brukernavnet til gjeldende bruker. Du må angi riktige tillatelser på den delte ressursen i henhold til instruksjonene i den Første installasjon og konfigurasjondelen.

REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a 
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V4.20.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Første installasjon og konfigurasjon

1. Konfigurer en delt ressurs på en medlemsserver. Deretter gir du den delte ressursenNavn på delt ressurs.
2. Kopier verktøyet og eksempelskriptet, RunMRT.cmd, til den dele. Se den Kodeeksemplet delen for mer informasjon.
3. Konfigurer følgende delingstillatelser og NTFS-fil filsystem:
   • Tillatelser for delte ressurser:
     1. Legg til domenebrukerkontoen for brukeren som er Behandle dette dele, og klikk deretter Full kontroll.
     2. Fjern gruppen alle.
     3. Hvis du bruker metoden for oppstartsskript for datamaskin, legger du til gruppen Domenedatamaskiner sammen med endrings- og tillatelser.
     4. Hvis du bruker metoden for påloggingsskript, legger du til Gruppen Godkjente brukere sammen med endrings- og lesetillatelser.
   • NTFS-tillatelser:
     1. Legg til domenebrukerkontoen for brukeren som er Behandle dette dele, og klikk deretter Full kontroll.
     2. Fjern alle-gruppen hvis den er i den liste.
        
        Merk Hvis du får en feilmelding når du fjerner gruppen alle gruppen, klikker du Avansert på den Sikkerhet i kategorien og klikk deretter for å fjerne den Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet avmerkingsboksen.
     3. Hvis du bruker datamaskinen metoden for oppstartsskript for, Gi gruppen Domenedatamaskiner lese & kjøre tillatelsene, listemappe Tillatelser for innholdet, og lesetillatelser.
     4. Hvis du bruker metoden for påloggingsskript, gir du Godkjente brukere lese & kjøre tillatelsene, Vise mappeinnhold tillatelser og lesetillatelser.
4. Under Ressursnavn -mappen oppretter du en mappe som heter "Logs."
   
   Denne mappen er der samles de endelige loggfilene Når verktøyet er kjørt på klientdatamaskinene.
5. Konfigurere NTFS-tillatelsene i Logs-mappen Følg disse trinnene.
   
   Merk Ikke endre delingstillatelsene i dette trinnet.
   1. Legg til domenebrukerkontoen for brukeren som er Behandle dette dele, og klikk deretter Full kontroll.
   2. Hvis du bruker metoden for oppstartsskript for datamaskin, gir på Domenedatamaskiner tillatelsene Endre, "Les & kjøre" tillatelser, Vise mappeinnhold, lese og skrive tillatelser.
   3. Hvis du bruker metoden for påloggingsskript, gir du Godkjente brukere tillatelsene Endre, "Les &" Kjøringstillatelser Vise mappeinnhold, lese og skrive tillatelser.

Distribusjonsmetoder

Hvordan du bruker SMS-programvarepakke

1. Pakk ut filen Mrt.exe fra pakken som heter Windows-KB890830-V1.34-ENU.exe/x.
2. Opprett en bat-fil for å starte Mrt.exe og registrere den Returkoden ved hjelp av ISMIF32.exe.
   
   Følgende er et eksempel.

   @echo off
   Mrt.exe /q
   If errorlevel 13 goto error13
   If errorlevel 12 goto error12
   Goto end
   
   :error13
   Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?text about error 13?
   Goto end
   
   :error12
   Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?text about error 12?
   Goto end
   
   :end
   

   Hvis du vil ha mer informasjon om Ismif32.exe, klikker du følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
   268791

   (http://support.microsoft.com/kb/268791/ )

   Hvordan behandles filtypen for status (MIF-Management Information Format) produsert av filen ISMIF32.exe i SMS 2.0
   186415

   (http://support.microsoft.com/kb/186415/ )

   MIF-statusoppretter, Ismif32.exe, er tilgjengelig
3. Hvis du vil opprette en pakke i SMS 2003-konsollen, følger du disse fremgangsmåte:
   1. Åpne SMS-administratorkonsollen.
   2. Høyreklikk den Pakker node, klikker du Ny, og klikk deretter Pakke.
      
      Den Pakke-egenskaper dialogboksen vises.
   3. På den Generelt kategorien, gi navn til pakken.
   4. På den Datakilde kategorien Velg den Denne pakken inneholder kildefiler Kontroller -boksen.
   5. Klikk Angi, og velg deretter en kilde mappen som inneholder verktøyet.
   6. På den Distribusjonsinnstillinger for kategorien den Sende prioritet til Høy.
   7. På den Rapportering klikker Bruk disse feltene for status MIF matching, og angi deretter en navnet for den MIF-filnavn feltet og for den Navn feltet.
      
      Versjon og Publisher er valgfrie.
   8. Klikk OK du oppretter den pakken.
4. Hvis du vil angi en fordeling punkt (DP)-pakken, kan du følge disse trinnene:
   1. Finn den nye pakken under i SMS 2003-konsollen den Pakker noden.
   2. Utvid pakken. Høyreklikk Distribusjon Poeng, pek på Ny, og klikk deretter Distribution Points.
   3. Start New Distribution Points veiviseren. Velg en eksisterende distribusjonssted.
   4. Klikk Fullfør for å avslutte veiviseren.
5. Legge til den satsvise filen som tidligere ble opprettet til den ny pakke, følger du denne fremgangsmåten:
   1. Under noden for nye pakken, klikker du Programmer noden.
   2. Høyreklikk Programmer, pek på Ny, og klikk deretter Programmet.
   3. Klikk på Generelt kategorien, og angi deretter et gyldig navn.
   4. På den Kommandolinje:, klikker du Bla gjennom til å velge den satsvise filen du opprettet for å starte Mrt.exe.
   5. Endre Kjør til Skjult. Endre Etter til Ingen handling kreves.
   6. Klikk på Krav i kategorien, og deretter Klikk Dette programmet kan bare kjøre på klienten drift systemer.
   7. Klikk Alle x 86 Windows Server 2003, og Alle x 86 Windows XP.
   8. Klikk på Miljø klikker Om en bruker er logget i den Programmet kan Kjør liste. Angi den Kjør modus for å Kjør med administrative rettigheter.
   9. Klikk OK for å lukke dialogboksen.
6. Opprette en annonse for å annonsere programmet til klienter, følger du denne fremgangsmåten:
   1. Høyreklikk den Annonse node, Klikk Ny, og klikk deretter Annonse.
   2. På den Generelt skriver du inn et navn for annonsen. I den Pakke velger pakken at du har opprettet. I den Programmet -feltet velger du programmet du opprettet tidligere. Klikk Bla gjennom, og deretter Klikk på Alle System -samlingen, eller velg en samling datamaskiner som bare inkluderer Windows XP og senere versjoner.
   3. På den Tidsplan lar du standardalternativer Hvis du vil at programmet skal kjøres bare én gang. Å kjøre den programmet etter en tidsplan, tilordner et planleggingsintervall.
   4. Angi den Prioritet til Høy.
   5. Klikk OK du oppretter den annonsen.

Bruke et gruppepolicybasert oppstartsskript for datamaskiner

1. Konfigurer de delte ressursene. Hvis du vil gjøre dette, følger du trinnene i denFørste installasjon og konfigurasjondelen.
2. Definere oppstartsskriptet. Hvis du vil gjøre dette, gjør du følgende:
   1. I den Active Directory-brukere og Datamaskiner MMC-snapin-modulen, høyreklikker du domenenavnet, og klikk deretter Egenskaper.
   2. Klikk på Gruppepolicy i kategorien.
   3. Klikk Ny til å opprette et nytt gruppepolicyobjekt (GPO), og Skriv inn MRT-distribusjon navnet på policyen.
   4. Klikk den nye policyen, og klikk deretter Rediger.
   5. Utvid Windows-innstillingene for datamaskinen Konfigurasjon, og klikk deretter Skript.
   6. Dobbeltklikk Pålogging, og klikk deretter Legge til.
      
      Den Legge til et skript dialogboksen vises.
   7. I den Skriptnavn skriver du inn \\Servernavn\Navn på delt ressurs\RunMRT.cmd.
   8. Klikk OK, og klikk deretter Bruk.
3. Start klientdatamaskinene som er medlemmer av dette domene.

Bruke et gruppepolicybasert påloggingsskript for brukere

1. Konfigurer de delte ressursene. Hvis du vil gjøre dette, følger du trinnene i denFørste installasjon og konfigurasjondelen.
2. Definere påloggingsskriptet. Hvis du vil gjøre dette, gjør du følgende:
   1. I den Active Directory-brukere og Datamaskiner MMC-snapin-modulen, høyreklikker du domenenavnet, og klikk deretter Egenskaper.
   2. Klikk på Gruppepolicy i kategorien.
   3. Klikk Ny til å opprette et nytt Gruppepolicyobjekt, og deretter skriver du inn MRT-distribusjon for navnet.
   4. Klikk den nye policyen, og klikk deretter Rediger.
   5. Utvid Windows-innstillinger for brukeren Konfigurasjon, og klikk deretter Skript.
   6. Dobbeltklikk Pålogging, og klikk deretter Legge til. Den Legge til et skript dialogboksen vises.
   7. I den Skriptnavn skriver du inn \\Servernavn\Navn på delt ressurs\RunMRT.cmd.
   8. Klikk OK, og klikk deretter Bruk.
3. Logg av og logg deretter på klientdatamaskinene.

Ytterligere informasjon relevant for distribusjon i bedrifter

Undersøke returkoder

Analysere loggfilen

• Denne loggfilen er bare tilgjengelig på engelsk.
• Fra og med versjon 1.2 av verktøyet for fjerning av (mars 2005) brukes Unicode-tekst i loggfilen. Før versjon 1.2 brukt i loggfilen ANSI tekst.
• Loggfilformatet er endret med versjon 1.2, og vi anbefale at du laster ned og bruker den nyeste versjonen av verktøyet.
  
  Hvis Denne loggfilen eksisterer allerede, legges det til den eksisterende filen.
• Du kan bruke et kommandoskript som ligner på det forrige eksemplet til å registrere returkoden og samle filene på et nettverk dele.
• På grunn av byttet fra ANSI til Unicode, vil versjon 1.2 av verktøyet for fjerning kopiere alle ANSI-versjoner av Mrt.log-filen i den -mappen %windir%\debug til Mrt.log.old i samme mappe. Versjon 1.2 også oppretter en ny Unicode-versjon av Mrt.log-filen i den samme mappen. På samme måte som ANSI-versjonen føyes denne loggfilen til hver måned Frigi.

Microsoft Windows Malicious Software Removal Tool v1.28, April 2007
Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results:
----------------
Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe
Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe
Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results
----------------
Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe
Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe
Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe
Operation succeeded !
 
Results Summary:
----------------
Found Win32/Sasser.A.worm and Removed!
 
Return code: 6
Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005
Started On Wed May 01 21:19:01 2002
 
Results Summary:
----------------
No infection found.
 
Return code: 0
Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005
Started On Wed May 01 21:27:57 2002
 
Scanning Results:
----------------
Found virus: Win32/HLLW.Gaobot.ZF in process 1880
Found virus: Win32/HLLW.Gaobot.ZF in process 1880
Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
Found virus: Win32/HLLW.Gaobot.ZF in process 1880
Found virus: Win32/HLLW.Gaobot.ZF in process 1880
Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results:
----------------
Terminating process with pid 1880
->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697]
Operation failed !
 
Terminating process with pid 1880
Operation had previously completed.
 
Terminating process with pid 1880
Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec
Operation succeeded !
 
Terminating process with pid 1880
Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec
Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts
Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe
Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe
Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe
Operation had previously completed.
 

Results Summary:
----------------
For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted.
Found Win32/HLLW.Gaobot.ZF, partially removed.

Kjente problemer

Kjent problem 1

Kjent problem 2

VANLIGE SPØRSMÅL

Tilbake til toppen | Gi tilbakemelding