Wdrażanie Narzędzia Microsoft Windows do usuwania złośliwego oprogramowania w środowisku przedsiębiorstwa

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 891716
Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania jest przeznaczone do użytku w systemach operacyjnych wymienionych na liście w sekcji „Informacje zawarte w tym artykule dotyczą”. Systemy operacyjne, które nie zostały uwzględnione na tej liście, nie były testowane, dlatego nie są obsługiwane. Przykładem nieobsługiwanych systemów operacyjnych są wszystkie wersje i wydania osadzonych systemów operacyjnych.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

Firma Microsoft wydała Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania, aby pomóc w usuwaniu z komputerów określonego, rozpowszechnionego złośliwego oprogramowania.

Pomiń szczegóły i pobierz narzędzie

Aby uzyskać więcej informacji o tym, jak pobrać to narzędzie, odwiedź następującą stronę firmy Microsoft w sieci Web:
http://www.microsoft.com/pl-pl/security/pc-security/malware-removal.aspx
Informacje zamieszczone w tym artykule dotyczą wdrażania tego narzędzia w przedsiębiorstwie. Firma Microsoft zdecydowanie zaleca przejrzenie następującego artykułu z bazy wiedzy Microsoft Knowledge Base. Zawiera on informacje ogólne o tym narzędziu oraz lokalizacjach pobierania.


To narzędzie jest przeznaczone przede wszystkim dla użytkowników prywatnych, którzy na swoich komputerach nie mają zainstalowanego aktualnego oprogramowania antywirusowego. Jednak można je również wdrożyć w środowisku przedsiębiorstwa w celu podwyższenia poziomu istniejącej ochrony i w ramach strategii wielostronnej obrony. Aby wdrożyć to narzędzie w środowisku przedsiębiorstwa, można zastosować jedną lub więcej z następujących metod:
  • Usługi Windows Server Update Services
  • Pakiet oprogramowania Microsoft Systems Management Software (SMS)
  • Skrypt uruchamiania komputera oparty na zasadach grupy
  • Skrypt logowania użytkownika oparty na zasadach grupy
Aby uzyskać więcej informacji dotyczących sposobu wdrażania tego narzędzia za pośrednictwem witryny Windows Update i funkcji Aktualizacje automatyczne, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
890830 Narzędzie Microsoft Windows do usuwania złośliwego oprogramowania ułatwia usuwanie określonych najbardziej rozpowszechnionych rodzajów złośliwego oprogramowania z komputerów z obsługiwanymi wersjami systemu Windows
Bieżąca wersja tego narzędzia nie obsługuje następujących technologii ani technik wdrażania:
  • Wykaz Windows Update
  • Uruchamianie narzędzia na komputerze zdalnym
  • Usługi Software Update Services (SUS)
Ponadto narzędzie Microsoft Baseline Security Analyzer (MBSA) nie wykrywa uruchomienia tego narzędzia. W tym artykule zamieszczono informacje dotyczące sposobu weryfikacji uruchomienia tego narzędzia jako części wdrożenia.

Przykładowy kod źródłowy

Przedstawiony tutaj skrypt oraz procedura są tylko przykładami. Klienci muszą przetestować te przykładowe kody źródłowe i scenariusze oraz zmodyfikować je, tak aby odpowiednio działały w ich środowiskach. Konieczna będzie zmiana ciągów NazwaSerwera i NazwaUdziału zgodnie z konfiguracją danego środowiska.

Poniższy przykładowy kod źródłowy wykonuje następujące operacje:
  • Uruchomienie narzędzia w trybie dyskretnym
  • Skopiowanie pliku dziennika do wstępnie skonfigurowanego udziału sieciowego
  • Dodanie do nazwy pliku dziennika prefiksu składającego się z nazwy komputera, na którym uruchomiono narzędzie, oraz nazwy bieżącego użytkownika. Należy skonfigurować odpowiednie uprawnienia dotyczące udziału zgodnie z instrukcjami podanymi w sekcji Początkowa instalacja i konfiguracja.
REM W tym przykładzie skrypt ma nazwę RunMRT.cmd.
REM Narzędzie Sleep.exe jest używane w celu opóźnienia uruchomienia narzędzia 
REM w przypadku używania go jako skryptu uruchamiania. Aby uzyskać szczegóły, zobacz sekcję „Znane problemy”.
@echo off
call \\NazwaSerwera\NazwaUdziału\Sleep.exe 5
Start /wait \\NazwaSerwera\NazwaUdziału\Windows-KB890830-V5.16.exe /q

copy %windir%\debug\mrt.log \\NazwaSerwera\NazwaUdziału\Dzienniki\%computername%_%username%_mrt.log
Uwaga W tym przykładowym kodzie źródłowym NazwaSerwera jest symbolem zastępczym nazwy używanego serwera, a NazwaUdziału jest symbolem zastępczym nazwy używanego udziału.

Początkowa instalacja i konfiguracja

Ta część jest przeznaczona dla administratorów, którzy w celu wdrożenia tego narzędzia używają skryptu uruchamiania lub skryptu logowania. Użytkownicy korzystający z programu SMS mogą przejść do sekcji „Metody instalacji”.

Aby skonfigurować serwer i udział, wykonaj następujące kroki:
  1. Utwórz udział na serwerze członkowskim. Następnie nadaj mu nazwę ShareName.
  2. Skopiuj narzędzie i przykładowy skrypt o nazwie RunMRT.cmd do udziału. Aby uzyskać szczegółowe informacje, zobacz sekcję Przykładowy kod źródłowy
  3. Skonfiguruj następujące uprawnienia udziału i uprawnienia systemu plików NTFS:
    • Uprawnienia udziału:
      1. Dodaj konto użytkownika domeny dla użytkownika zarządzającego udziałem, a następnie wybierz uprawnienie Pełna kontrola.
      2. Usuń grupę Wszyscy.
      3. Jeżeli korzystasz z metody skryptu uruchamiania komputera, dodaj grupę Komputery domeny z uprawnieniami Modyfikacja i Odczyt.
      4. Jeżeli korzystasz z metody skryptu logowania, dodaj grupę Użytkownicy uwierzytelnieni z uprawnieniami Modyfikacja i Odczyt.
    • Uprawnienia systemu plików NTFS:
      1. Dodaj konto użytkownika domeny dla użytkownika zarządzającego udziałem, a następnie wybierz uprawnienie Pełna kontrola.
      2. Usuń grupę Wszyscy, jeżeli została uwzględniona na liście.

        Uwaga: Jeżeli podczas usuwania grupy Wszyscy pojawi się komunikat o błędzie, należy kliknąć przycisk Zaawansowane na karcie Zabezpieczenia, a następnie wyczyścić pole wyboru Zezwalaj na propagowanie uprawnień dziedzicznych obiektu nadrzędnego do tego obiektu.
      3. Jeśli uruchamiasz komputer za pomocą skryptu uruchamiania, udziel grupie Komputery domeny uprawnień Zapis i wykonanie, Wyświetlanie zawartości folderu i Odczyt.
      4. Jeśli używasz skryptu logowania, udziel grupie Użytkownicy uwierzytelnieni uprawnień Odczyt i wykonanie, Wyświetlanie zawartości folderu i Odczyt.
  4. W folderze NazwaUdziału utwórz folder o nazwie „Logs”.

    W tym folderze będą przechowywane finalne pliki dzienników utworzone po uruchomieniu narzędzia na komputerach klienckich.
  5. Aby skonfigurować uprawnienia systemu plików NTFS dotyczące folderu Logs, wykonaj następujące kroki.

    Uwaga: W tym kroku nie należy zmieniać uprawnień udziału.
    1. Dodaj konto użytkownika domeny dla użytkownika zarządzającego udziałem, a następnie wybierz uprawnienie Pełna kontrola.
    2. Jeśli uruchamiasz komputer za pomocą skryptu uruchamiania, udziel grupie Komputery domeny uprawnień Modyfikacja, Odczyt i wykonanie, Wyświetlanie zawartości folderu, Odczyt oraz Zapis.
    3. Jeśli używasz skryptu logowania, udziel grupie Użytkownicy uwierzytelnieni uprawnień Modyfikacja, Odczyt i wykonanie, Wyświetlanie zawartości folderu, Odczyt oraz Zapis.

Metody wdrażania

Uwaga Aby uruchomić to narzędzie, należy mieć uprawnienia konta Administrator lub System, niezależnie od wybranej opcji wdrażania.

Jak korzystać z pakietu oprogramowania SMS

W poniższym przykładzie podano instrukcje krok po kroku dotyczące korzystania z programu SMS 2003. W przypadku korzystania z programu SMS 2.0 należy wykonać podobne kroki.
  1. Wyodrębnij plik Mrt.exe z pakietu Windows-KB890830-V1.34-ENU.exe /x.
  2. Utwórz plik .bat, aby uruchomić program Mrt.exe i przechwycić zwracany kod za pomocą programu ISMIF32.exe.

    Poniżej znajduje się przykład.
    @echo off
    Start /wait Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end
    
    :error13
    Ismif32.exe –f MIFFILE –p MIFNAME –d ”tekst dotyczący błędu 13”
    Goto end
    
    :error12
    Ismif32.exe –f MIFFILE –p MIFNAME –d ”tekst dotyczący błędu 12”
    Goto end
    
    :end
    
    Aby uzyskać dodatkowe informacje dotyczące programu Ismif32.exe, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
    268791 W jaki sposób plik MIF (Management Information Format) dotyczący stanu, utworzony za pomocą pliku ISMIF32.exe, jest przetwarzany w programie SMS 2.0 (strona może być w języku angielskim)
    186415 Tworzenie pliku MIF stanu; plik Ismif32.exe jest dostępny (strona może być w języku angielskim)
  3. Aby utworzyć pakiet w konsoli programu SMS 2003, wykonaj następujące kroki:
    1. Otwórz konsolę administratora programu SMS.
    2. Kliknij prawym przyciskiem myszy węzeł Packages, wybierz polecenie New, a następnie kliknij polecenie Package.

      Zostanie wyświetlone okno dialogowe Package Properties.
    3. Na karcie General nadaj nazwę pakietowi.
    4. Na karcie Data Source kliknij pole wyboru This package contains source files, aby je zaznaczyć.
    5. Kliknij opcję Set, a następnie wybierz katalog źródłowy, w którym znajduje się to narzędzie.
    6. Na karcie Distribution Settings skonfiguruj opcję Sending priority z wartością High.
    7. Na karcie Reporting kliknij opcję Use these fields for status MIF matching, a następnie wpisz nazwę w polu MIF file name i w polu Name.

      Pola Version i Publisher są opcjonalne.
    8. Kliknij przycisk OK, aby utworzyć pakiet.
  4. Aby określić punkt dystrybucji (DP) dla pakietu, wykonaj następujące kroki:
    1. W konsoli programu SMS 2003 zlokalizuj nowy pakiet w węźle Packages.
    2. Rozwiń pakiet. Kliknij prawym przyciskiem myszy pozycję Distribution Points, wskaż polecenie New, a następnie kliknij polecenie Distribution Points.
    3. Uruchom kreatora New Distribution Points Wizard. Wybierz istniejący punkt dystrybucji.
    4. Kliknij przycisk Finish, aby zakończyć pracę kreatora.
  5. Aby dodać do nowego pakietu utworzony uprzednio plik wsadowy, wykonaj następujące kroki:
    1. W węźle nowego pakietu kliknij węzeł Programs, aby go zaznaczyć.
    2. Kliknij prawym przyciskiem myszy grupę Programs, wskaż polecenie New, a następnie kliknij polecenie Program.
    3. Kliknij kartę General, a następnie wprowadź prawidłową nazwę.
    4. W obszarze Command line kliknij przycisk Browse, aby wybrać plik wsadowy, który został utworzony w celu uruchamiania programu Mrt.exe.
    5. Zmień wartość opcji Run na Hidden. Zmień wartość opcji After running na No action required.
    6. Kliknij kartę Requirements, a następnie kliknij opcję This program can run only on specified client platforms, aby ją zaznaczyć.
    7. Kliknij pozycje All x86 Windows Server 2003 (Wszystkie systemy Windows Server 2003 x86) i All x86 Windows XP (Wszystkie systemy Windows XP x86).
    8. Kliknij kartę Environment, kliknij pozycję Whether or not a user is logged on na liście Program can run. Ustaw tryb uruchamiania (Run mode) na Run with administrative rights.
    9. Kliknij przycisk OK, aby zamknąć okno dialogowe.
  6. Aby utworzyć anons w celu anonsowania programu klientom, wykonaj następujące kroki:
    1. Kliknij prawym przyciskiem myszy węzeł Advertisements, kliknij polecenie New, a następnie kliknij polecenie Advertisement.
    2. Na karcie General wprowadź nazwę anonsu. W polu Package wybierz uprzednio utworzony pakiet. Następnie w polu Program zaznacz uprzednio utworzony program. Kliknij przycisk Browse (Przeglądaj), a następnie wybierz kolekcję All System (Cały system) lub kolekcję komputerów z zainstalowanymi wyłącznie systemami Windows XP i nowszymi.
    3. Na karcie Schedule pozostaw opcje domyślne, jeżeli program ma być uruchomiony tylko raz. Aby program był uruchamiany zgodnie z harmonogramem, przypisz interwał harmonogramu.
    4. Skonfiguruj opcję Priority z wartością High.
    5. Kliknij przycisk OK, aby utworzyć anons.

Jak używać skryptu uruchamiania komputera opartego na zasadach grupy

Ta metoda wymaga ponownego uruchomienia komputera klienckiego po skonfigurowaniu skryptu i zastosowaniu ustawienia zasad grupy.
  1. Skonfiguruj udziały. Aby to zrobić, wykonaj kroki opisane w sekcji Początkowa instalacja i konfiguracja.
  2. Skonfiguruj skrypt uruchamiania. Aby to zrobić, wykonaj następujące kroki:
    1. W programie MMC Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy nazwę domeny, a następnie kliknij polecenie Właściwości.
    2. Kliknij kartę Zasady grupy.
    3. Kliknij przycisk Nowa, aby utworzyć nowy obiekt zasad grupy (GPO), i nadaj zasadzie nazwę Wdrażanie MRT.
    4. Zaznacz tę nową zasadę, a następnie kliknij przycisk Edytuj.
    5. Rozwiń węzeł Ustawienia systemu Windows w folderze Konfiguracja komputera, a następnie kliknij węzeł Skrypty (Uruchamianie/Zamykanie).
    6. Kliknij dwukrotnie pozycję Logowanie, a następnie kliknij przycisk Dodaj.

      Pojawi się okno dialogowe Dodawanie skryptu.
    7. W polu Nazwa skryptu wpisz \\NazwaSerwera\NazwaUdziału\RunMRT.cmd.
    8. Kliknij przycisk OK, a następnie kliknij przycisk Zastosuj.
  3. Ponownie uruchom komputery klienckie, które należą do tej domeny.

Jak używać skryptu logowania użytkownika opartego na zasadach grupy

Ta metoda wymaga, aby konto użytkownika używane do logowania było kontem domeny i należało do lokalnej grupy Administratorzy na komputerze klienckim.
  1. Skonfiguruj udziały. Aby to zrobić, wykonaj kroki opisane w sekcji Początkowa instalacja i konfiguracja.
  2. Skonfiguruj skrypt logowania. Aby to zrobić, wykonaj następujące kroki:
    1. W programie MMC Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy nazwę domeny, a następnie kliknij polecenie Właściwości.
    2. Kliknij kartę Zasady grupy.
    3. Kliknij przycisk Nowa, aby utworzyć nowy obiekt zasad grupy (GPO), i nadaj zasadzie nazwę Wdrażanie MRT .
    4. Zaznacz tę nową zasadę, a następnie kliknij przycisk Edytuj.
    5. Rozwiń węzeł Ustawienia systemu Windows w folderze Konfiguracja użytkownika, a następnie kliknij węzeł Skrypty (Logowanie\Wylogowywanie).
    6. Kliknij dwukrotnie pozycję Logowanie, a następnie kliknij przycisk Dodaj. Pojawi się okno dialogowe Dodawanie skryptu.
    7. W polu Nazwa skryptu wpisz \\NazwaSerwera\NazwaUdziału\RunMRT.cmd.
    8. Kliknij przycisk OK, a następnie kliknij przycisk Zastosuj.
  3. Wyloguj się, a następnie zaloguj się na komputerach klienckich.
W tym scenariuszu skrypt i narzędzie będą uruchamiane w kontekście zalogowanego użytkownika. Jeżeli użytkownik nie należy do lokalnej grupy administratorów lub nie ma wystarczających uprawnień, narzędzie nie zostanie uruchomione lub nie będzie zwracać prawidłowych kodów. Aby uzyskać więcej informacji na temat sposobu korzystania ze skryptów uruchamiania i skryptów logowania, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
198642 Omówienie skryptów logowania, wylogowywania, uruchamiania i zamykania w systemie Windows 2000
322241 Jak przypisywać skrypty w systemie Windows 2000

Dodatkowe informacje dotyczące wdrażania w przedsiębiorstwie

Jak sprawdzać kody powrotne

Aby zweryfikować wyniki działania narzędzia uruchomionego za pomocą skryptu wdrażania (logowania lub uruchamiania), można sprawdzić zwracany przez nie kod. W sekcji Przykładowy kod źródłowy przedstawiono jeden ze sposobów wykonania tego zadania.

Na poniższej liście znajdują się prawidłowe zwracane kody.
Zwiń tę tabelęRozwiń tę tabelę
0=Nie wykryto infekcji
1=Błąd środowiska systemu operacyjnego
2=Nie uruchomiono jako Administrator
3=Nieobsługiwany system operacyjny
4=Błąd inicjowania skanera. (Pobierz nową kopię narzędzia)
5=Nie użyto
6=Wykryto co najmniej jedną infekcję. Brak błędów.
7=Wykryto co najmniej jedną infekcję, ale wystąpiły błędy.
8=Wykryto i usunięto co najmniej jedną infekcję, ale w celu kompletnego usunięcia złośliwego oprogramowania wymagane jest ręczne wykonanie pewnych czynności.
9=Wykryto i usunięto co najmniej jedną infekcję, ale w celu kompletnego usunięcia złośliwego oprogramowania wymagane jest ręczne wykonanie pewnych czynności, a ponadto wystąpiły błędy.
10=Wykryto i usunięto co najmniej jedną infekcję, ale w celu kompletnego usunięcia złośliwego oprogramowania wymagane jest ponowne uruchomienie komputera.
11=Wykryto i usunięto co najmniej jedną infekcję, ale w celu kompletnego usunięcia złośliwego oprogramowania wymagane jest ponowne uruchomienie komputera, a ponadto wystąpiły błędy.
12=Wykryto i usunięto co najmniej jedną infekcję, ale w celu kompletnego usunięcia złośliwego oprogramowania wymagane jest ręczne wykonanie pewnych kroków i ponowne uruchomienie komputera.
13=Wykryto i usunięto co najmniej jedną infekcję, ale wymagane jest ponowne uruchomienie komputera. Nie wystąpiły błędy.

Jak analizować plik dziennika

Narzędzie do usuwania złośliwego oprogramowania zapisuje szczegółowe informacje na temat swojego działania w pliku dziennika %windir%\debug\mrt.log.

Uwagi:
  • Plik dziennika jest dostępny tylko w wersji anglojęzycznej.
  • Począwszy od wersji 1.2 (marzec 2005) narzędzia ten plik dziennika zawiera tekst Unicode. Przed wersją 1.2 ten plik dziennika zawierał tekst ANSI.
  • Format pliku dziennika został zmieniony w wersji 1.2, a firma Microsoft zaleca pobranie i używanie najnowszej wersji narzędzia.

    Jeżeli ten plik dziennika już istnieje, narzędzie doda wpisy do istniejącego pliku.
  • Można użyć skryptu poleceń podobnego do skryptu przedstawionego we wcześniejszym przykładzie, aby przechwytywać zwracane kody i gromadzić pliki w udziale sieciowym.
  • Z powodu zmiany standardu z ANSI na Unicode wersja 1.2 kopiuje wszystkie wersje ANSI pliku Mrt.log z folderu %windir%\debug do pliku Mrt.log.old znajdującego się w tym samym katalogu. Wersja 1.2 tworzy również nową wersję Unicode pliku Mrt.log w tym samym katalogu. Podobnie jak w wersji ANSI, ten plik dziennika jest dołączany do comiesięcznego wydania.
W następującym przykładzie przedstawiono plik Mrt.log pochodzący z komputera zainfekowanego robakiem MPnTestFile:
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Tue Jul 30 23:34:49 2013


Quick Scan Results: ------------------- Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2

Results Summary: ---------------- Found Virus:Win32/MPnTestFile.2004 and Removed! Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013


Return code: 6 (0x6)           


W następującym przykładzie przedstawiono plik dziennika utworzony wówczas, gdy nie znaleziono złośliwego oprogramowania.
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Thu Aug 01 21:15:43 2013


Results Summary: ---------------- No infection found. Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013


Return code: 0 (0x0)

Poniżej przedstawiono przykładowy plik dziennika utworzony w sytuacji, gdy znaleziono błędy.

Aby uzyskać więcej informacji dotyczących ostrzeżeń i błędów zgłaszanych podczas uruchamiania narzędzia, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
891717 Jak usunąć błąd pojawiający się podczas uruchamiania Narzędzia Microsoft Windows do usuwania złośliwego oprogramowania
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Fri Aug 02 16:17:49 2013

Scan Results: ------------- Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z

Results Summary: ---------------- Found Virus:Win32/MPTestFile.2004, partially removed. Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013


Return code: 7 (0x7)

Znane problemy

Znany problem 1

Jeśli to narzędzie będzie uruchamiane za pomocą skryptu uruchamiania, w pliku Mrt.log mogą być rejestrowane komunikaty o błędach podobne do następujących:
Błąd: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Odmowa dostępu.
Uwaga: Identyfikatory PID mogą być różne.

Ten komunikat o błędzie jest generowany, gdy proces jest właśnie uruchamiany lub tuż po jego zatrzymaniu. Jedynym efektem tego błędu jest to, że proces określony przez ten identyfikator PID nie będzie skanowany.

Znany problem 2

W niektórych rzadkich przypadkach, gdy administrator wybierze wdrożenie Narzędzia do usuwania złośliwego oprogramowania z przełącznikiem trybu cichego /q, może ono nie przeprowadzić pełnego czyszczenia dla niewielkiego podzbioru infekcji w sytuacjach, gdy dodatkowe czyszczenie jest wymagane po ponownym uruchomieniu. Takie działanie zaobserwowano przy usuwaniu tylko niektórych wariantów programów typu rootkit.

Często zadawane pytania

P1. Gdy testuję skrypt uruchamiania lub logowania służący do instalacji tego narzędzia, pliki dziennika nie są kopiowane do skonfigurowanego przeze mnie udziału sieciowego. Dlaczego?

O1. W takim przypadku częstą przyczyną są problemy z uprawnieniami. Na przykład konto używane do uruchamiania narzędzia nie ma uprawnienia Zapis w odniesieniu do danego udziału. Aby rozwiązać ten problem, należy najpierw upewnić się, czy narzędzie działa, sprawdzając klucz rejestru. Alternatywne rozwiązanie polega na sprawdzeniu, czy na komputerze klienckim tworzony jest plik dziennika. Jeżeli narzędzie działa prawidłowo, można przetestować prosty skrypt i upewnić się, że może on zapisywać w wybranym udziale sieciowym, gdy zostanie uruchomiony w tym samym kontekście zabezpieczeń, co narzędzie do usuwania złośliwego oprogramowania.

P2. Jak mogę sprawdzić, czy narzędzie do usuwania złośliwego oprogramowania zostało uruchomione na komputerze klienckim?

O2. Aby zweryfikować działanie narzędzia, można sprawdzić dane wartości w następującym kluczu rejestru. Taką kontrolę można zaimplementować jako część skryptu uruchamiania lub skryptu logowania. Ten proces zapobiega wielokrotnemu uruchamianiu narzędzia.
Podklucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

Nazwa wpisu: Version
Po każdym uruchomieniu narzędzia zapisuje ono w rejestrze identyfikator GUID, aby wskazać, że zostało uruchomione. Dzieje się to niezależnie od wyników jego uruchomienia. W poniższej tabeli wymieniono identyfikatory GUID odpowiadające każdemu wydaniu narzędzia.
Zwiń tę tabelęRozwiń tę tabelę
WydanieDane wartości
Styczeń 2005E5DD9936-C147-4CD1-86D3-FED80FAADA6C
Luty 2005 805647C6-E5ED-4F07-9E21-327592D40E83
Marzec 2005F8327EEF-52AA-439A-9950-CE33CF0D4FDD
Kwiecień 2005D89EBFD1-262C-4990-9927-5185FED1F261
Maj 200508112F4F-11BF-4129-A90A-9C8DD0104005
Czerwiec 200563C08887-00BE-4C9B-9EFC-4B9407EF0C4C
Lipiec 20052EEAB848-93EB-46AE-A3BF-9F1A55F54833
Sierpień 20053752278B-57D3-4D44-8F30-A98F957EC3C8
Sierpień 2005 A4066DA74-2DDE-4752-8186-101A7C543C5F
Wrzesień 200533B662A4-4514-4581-8DD7-544021441C89
Październik 200508FFB7EB-5453-4563-A016-7DBC4FED4935
Listopad 20051F5BA617-240A-42FF-BE3B-14B88D004E43
Grudzień 2005F8FEC144-AA00-48B8-9910-C2AE9CCE014A
Styczeń 2006250985ee-62e6-4560-b141-997fc6377fe2
Luty 200699cb494b-98bf-4814-bff0-cf551ac8e205
Marzec 2006b5784f56-32ca-4756-a521-ca57816391ca
Kwiecień 2006d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
Maj 2006ce818d5b-8a25-47c0-a9cd-7169da3f9b99
Czerwiec 20067cf4b321-c0dd-42d9-afdf-edbb85e59767
Lipiec 20065df61377-4916-440f-b23f-321933b0afd3
Sierpień 200637949d24-63f1-4fdc-ad24-5dc3eb3ad265
Wrzesień 2006ac3fa517-20f0-4a42-95ca-6383f04773c8
Październik 200679e385d0-5d28-4743-aeb3-ed101c828abd
Listopad 20061d21fa19-c296-4020-a7c2-c5a9ba4f2356
Grudzień 2006621498ca-889b-48ef-872b-84b519365c76
Styczeń 20072F9BC264-1980-42b6-9EE3-2BE36088BB57
Luty 2007FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
Marzec 20075ABA0A63-8B4C-4197-A6AB-A1035539234D
Kwiecień 200757FA0F48-B94C-49ea-894B-10FDA39A7A64
Maj 200715D8C246-6090-450f-8261-4BA8CA012D3C
Czerwiec 2007234C3382-3B87-41ca-98D1-277C2F5161CC
Lipiec 20074AD02E69-ACFE-475C-9106-8FB3D3695CF8
Sierpień 20070CEFC17E-9325-4810-A979-159E53529F47
Wrzesień 2007A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
Październik 200752168AD3-127E-416C-B7F6-068D1254C3A4
Listopad 2007EFC91BC1-FD0D-42EE-AA86-62F59254147F
Grudzień 200773D860EC-4829-44DD-A064-2E36FCC21D40
Styczeń 2008330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
Luty 20080E918EC4-EE5F-4118-866A-93f32EC73ED6
Marzec 200824A92A45-15B3-412D-9088-A3226987A476
Kwiecień 2008F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
Maj 20080A1A070A-25AA-4482-85DD-DF69FF53DF37
Czerwiec 20080D9785CC-AEEC-49F7-81A8-07B225E890F1
Lipiec 2008BC308029-4E38-4D89-85C0-8A04FC9AD976
Sierpień 2008F3889559-68D7-4AFB-835E-E7A82E4CE818
Wrzesień 20087974CF06-BE58-43D5-B635-974BD92029E2
Październik 2008131437DE-87D3-4801-96F0-A2CB7EB98572
Listopad 2008F036AE17-CD74-4FA5-81FC-4FA4EC826837
Grudzień 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Grudzień 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Styczeń 20092B730A83-F3A6-44F5-83FF-D9F51AF84EA0
Luty 2009C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
Marzec 2009BDEB63D0-4CEC-4D5B-A360-FB1985418E61
Kwiecień 2009276F1693-D132-44EF-911B-3327198F838B
Maj 2009AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
Czerwiec 20098BD71447-AAE4-4B46-B652-484001424290
Lipiec 2009F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
Sierpień 200991590177-69E5-4651-854D-9C95935867CE
Wrzesień 2009B279661B-5861-4315-ABE9-92A3E26C1FF4
Październik 20094C64200A-6786-490B-9A0C-DEF64AA03934
Listopad 200978070A38-A2A9-44CE-BAB1-304D4BA06F49
Grudzień 2009A9A7C96D-908E-413C-A540-C43C47941BE4
Styczeń 2010ED3205FC-FC48-4A39-9FBD-B0035979DDFF
Luty 201076D836AA-5D94-4374-BCBF-17F825177898
Marzec 2010076DF31D-E151-4CC3-8E0A-7A21E35CF679
Kwiecień 2010D4232D7D-0DB6-4E8B-AD19-456E8D286D67
Maj 201018C7629E-5F96-4BA8-A2C8-31810A54F5B8
Czerwiec 2010308738D5-18B0-4CB8-95FD-CDD9A5F49B62
Lipiec 2010A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
Sierpień 2010E39537F7-D4B8-4042-930C-191A2EF18C73
Wrzesień 2010 0916C369-02A8-4C3D-9AD0-E72AF7C46025
Październik 201032F1A453-65D6-41F0-A36F-D9837A868534
Listopad 20105800D663-13EA-457C-8CFD-632149D0AEDD
Grudzień 20104E28B496-DD95-4300-82A6-53809E0F9CDA
Styczeń 2011258FD3CF-9C82-4112-B1B0-18EC1ECFED37
Luty 2011B3458687-D7E4-4068-8A57-3028D15A7408
Marzec 2011AF70C509-22C8-4369-AEC6-81AEB02A59B7
Kwiecień 20110CB525D5-8593-436C-9EB0-68C6D549994D
Maj 2011852F70C7-9C9E-4093-9184-D89D5CE069F0
Czerwiec 2011DDE7C7DD-E76A-4672-A166-159DA2110CE5
Lipiec 20113C009D0B-2C32-4635-9B34-FFA7F4CB42E7
Sierpień 2011F14DDEA8-3541-40C6-AAC7-5A0024C928A8
Wrzesień 2011E775644E-B0FF-44FA-9F8B-F731E231B507
Październik 2011C0177BCC-8925-431B-AC98-9AC87B8E9699
Listopad 2011BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
Grudzień 201179B9D6F6-2990-4C15-8914-7801AD90B4D7
Styczeń 2012634F47CA-D7D7-448E-A7BE-0371D029EB32
Luty 2012 23B13CB9-1784-4DD3-9504-7E58427307A7
Marzec 2012 84C44DD1-20C8-4542-A1AF-C3BA2A191E25
Kwiecień 2012 3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
Maj 2012 D0082A21-13E4-49F7-A31D-7F752F059DE9
Czerwiec 2012 4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
Lipiec 2012 3E9B6E28-8A74-4432-AD2A-46133BDED728
Sierpień 2012 C1156343-36C9-44FB-BED9-75151586227B
Wrzesień 2012 02A84536-D000-45FF-B71E-9203EFD2FE04
Październik 2012 8C1ACB58-FEE7-4FF0-972C-A09A058667F8
Listopad 2012 7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
Grudzień 2012AD64315C-1421-4A96-89F4-464124776078
Styczeń 2013A769BB72-28FC-43C7-BA14-2E44725FED20
Luty 2013ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
Marzec 2013147152D2-DFFC-4181-A837-11CB9211D091
Kwiecień 20137A6917B5-082B-48BA-9DFC-9B7034906FDC
Maj 20133DAA6951-E853-47E4-B288-257DCDE1A45A
Czerwiec 20134A25C1F5-EA3D-4840-8E14-692DD6A57508
Lipiec 20139326E352-E4F2-4BF7-AF54-3C06425F28A6
Sierpień 2013B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8
Wrzesień 2013462BE659-C07A-433A-874F-2362F01E07EA
Październik 201321063288-61F8-4060-9629-9DBDD77E3242
Listopad 2013BA6D0F21-C17B-418A-8ADD-B18289A02461
Grudzień 2013AFAFB7C5-798B-453D-891C-6765E4545CCC
Styczeń 20147BC20D37-A4C7-4B84-BA08-8EC32EBF781C
Luty 2014FC5CF920-B37A-457B-9AB9-36ECC218A003
Marzec 2014?254C09FA-7763-4C39-8241-76517EF78744
Kwiecień 201454788934-6031-4F7A-ACED-5D055175AF71
Maj 201491EFE48B-7F85-4A74-9F33-26952DA55C80
Czerwiec 201407C5D15E-5547-4A58-A94D-5642040F60A2
Lipiec 201443E0374E-D98E-4266-AB02-AE415EC8E119
Sierpień 201453B5DBC4-54C7-46E4-B056-C6F17947DBDC
Wrzesień 201498CB657B-9051-439D-9A5D-8D4EDF851D94
P3. Jak mogę wyłączyć składnik raportowania infekcji tego narzędzia, tak aby raporty nie były odsyłane do firmy Microsoft?

O3. Administrator może wyłączyć składnik raportowania infekcji tego narzędzia, dodając do komputerów następującą wartość klucza rejestru. Jeśli ta wartość klucza rejestru zostanie ustawiona, narzędzie nie będzie raportować do firmy Microsoft informacji dotyczących infekcji.
Podklucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

Nazwa wpisu: \DontReportInfectionInformation
Typ: REG_DWORD
Dane wartości: 1


P4. W wersji wydanej w marcu 2005 roku prawdopodobnie niektóre dane nie są zapisywane w pliku Mrt.log. Dlaczego zrezygnowano z zapisu tych danych i czy istnieje sposób ich pobrania?

O4. Począwszy od wersji wydanej w marcu 2005 roku plik Mrt.log jest zapisywany jako plik zgodny ze standardem Unicode. Aby zapewnić zgodność w przypadku używania wersji tego narzędzia opracowanej w marcu 2005 roku, jeżeli wersja ANSI pliku znajduje się w danym systemie, narzędzie kopiuje zawartość tego dziennika do pliku Mrt.log.old w katalogu %WINDIR%\debug i tworzy nową wersję Unicode pliku Mrt.log. Podobnie jak w wersji ANSI, ta wersja Unicode pliku jest uzupełniana po każdym pomyślnym uruchomieniu narzędzia.

Właściwości

Numer ID artykułu: 891716 - Ostatnia weryfikacja: 10 września 2014 - Weryfikacja: 118.0
Słowa kluczowe: 
kbinfo KB891716

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com