ID do artigo: 891716 - �ltima revis�o: sexta-feira, 11 de maio de 2012 - Revis�o: 88.0

Implanta��o da Ferramenta de Remo��o de Software Mal-Intencionado do Microsoft Windows em um ambiente corporativo

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

A Ferramenta de Remo��o de Software Mal-Intencionado do Microsoft Windows deve ser usada com os sistemas operacionais que est�o listados na se��o "Aplica-se a". Os sistemas operacionais que n�o estiverem inclu�dos na lista n�o foram testados e, por isso, n�o t�m suporte. Os sistemas operacionais sem suporte incluem todas as vers�es e edi��es de sistemas operacionais incorporados.

Nesta p�gina

Expandir tudo | Recolher tudo

INTRODU��O

A Microsoft lan�ou a Ferramenta de Remo��o de Software Mal-Intencionado do Microsoft Windows para ajud�-lo a remover softwares mal-intencionados espec�ficos e predominantes do computador.

Voltar para o in�cio

Ignorar detalhes e baixar a ferramenta

Para obter mais informa��es sobre como instalar a ferramenta, visite a seguinte p�gina da Web da Microsoft (em ingl�s):

http://www.microsoft.com/security/scanner/pt-br/default.aspx (http://www.microsoft.com/security/scanner/pt-br/default.aspx)

As informa��es contidas neste artigo s�o espec�ficas para a implanta��o corporativa da ferramenta. � aconselh�vel revisar o seguinte artigo da Base de Dados de Conhecimento Microsoft. Esse artigo cont�m informa��es gerais sobre a ferramenta e sobre os locais de download.

Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

890830� (http://support.microsoft.com/kb/890830/pt-br/ ) A Ferramenta de Remo��o de Software Mal-Intencionado do Microsoft Windows ajuda a remover softwares mal-intencionados espec�ficos e predominantes de computadores com Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 ou Windows XP

A ferramenta � destinada, principalmente, para usu�rios n�o corporativos que n�o t�m um antiv�rus atualizado instalado nos computadores. No entanto, a ferramenta tamb�m pode ser implantada em um ambiente corporativo para aperfei�oar a prote��o existente e como parte de uma estrat�gia de defesa aprofundada. Para implant�-la em um ambiente corporativo, � poss�vel usar um ou mais dos seguintes m�todos:

Windows Server Update Services
Pacote de software SMS (Microsoft Systems Management Software)
Script de inicializa��o de computador com base na Diretiva de Grupo
Script de logon do usu�rio com base na Diretiva de Grupo

Para obter mais informa��es sobre como implantar a ferramenta por meio do Windows Update e das Atualiza��es Autom�ticas, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

890830� (http://support.microsoft.com/kb/890830/pt-br/ ) A Ferramenta de Remo��o de Software Mal-intencionado do Microsoft Windows ajuda a remover software malicioso prevalecente espec�fico de computadores com Windows Vista, Windows Server 2003, Windows Server 2008 ou Windows XP

A vers�o atual dessa ferramenta n�o tem suporte para as seguintes tecnologias e t�cnicas de implanta��o:

Cat�logo do Windows Update
Execu��o da ferramenta em um computador remoto
SUS (Software Update Services)

Al�m disso, o MBSA (Microsoft Baseline Security Analyzer) n�o detecta a execu��o da ferramenta. Este artigo inclui as informa��es sobre como � poss�vel verificar a execu��o da ferramenta como parte da implanta��o.

Voltar para o in�cio

Amostra de c�digo

O script e as etapas fornecidas aqui s�o somente exemplos e amostras. Os clientes devem testar as amostras de script e os exemplos de situa��es e modific�-los conforme for apropriado para o funcionamento em seus ambientes. Voc� precisa alterar o NomeDoServidor e o NomeDoCompartilhamento de acordo com a instala��o no seu ambiente.

A seguinte amostra de c�digo faz o seguinte:

Executa a ferramenta no modo silencioso
Copia o arquivo de log em um compartilhamento de rede pr�-configurado
Prefixa o nome do arquivo de log de acordo com o nome do computador no qual a ferramenta est� sendo executada e com o nome de usu�rio, do usu�rio atual. � necess�rio definir as permiss�es apropriadas no compartilhamento de acordo com as instru��es na se��o Instala��o e configura��o inicial.

REM Neste exemplo, o script � denominado RunMRT.cmd.
REM O utilit�rio Sleep.exe � usado para atrasar a execu��o da ferramenta quando usada como  
script de inicializa��o de REM. Consulte a se��o "Problemas conhecidos" para obter mais detalhes.
@echo off
call \\NomeDoServidor\NomeDoCompartilhamento\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V4.8.exe /q

copy %windir%\debug\mrt.log \\NomeDoServidor\NomeDoCompartilhamento\Logs\%nome_do_computador%_%nome_do_usu�rio%_mrt.log

Observa��o Nesse c�digo de exemplo, NomeDoServidor � um espa�o reservado para o nome do seu servidor e NomeDoCompartilhamento � um espa�o reservado para o nome do seu compartilhamento.

Voltar para o in�cio

Instala��o e configura��o inicial

Esta se��o destina-se aos administradores que utilizam um script de inicializa��o ou um script de logon para implantar a ferramenta. Se estiver usando o SMS, ser� poss�vel ir para a se��o "M�todos de implanta��o".

Para configurar o servidor e o compartilhamento, execute as seguintes etapas:

Configure um compartilhamento em um servidor membro. Nomeie o compartilhamento como NomeDoCompartilhamento.
Copie a ferramenta e o exemplo de script, RunMRT.cmd para o compartilhamento. Consulte a se��o Amostra de c�digo para obter detalhes.
Configure as seguintes permiss�es de compartilhamento e do sistema de arquivo NTFS:
- Permiss�es de compartilhamento:
  1. Adicione a conta de usu�rio do dom�nio para o usu�rio que est� gerenciando o compartilhamento e clique em Controle total.
  2. Remova o grupo Todos.
  3. Ao usar o m�todo do script de inicializa��o do computador, adicione o grupo Computadores do dom�nio �s permiss�es de Altera��o e leitura.
  4. Ao usar o m�todo do script de logon, adicione o grupo Usu�rios autenticados �s permiss�es de Altera��o e Leitura.
- Permiss�es NTFS:
  1. Adicione a conta de usu�rio do dom�nio para o usu�rio que est� gerenciando o compartilhamento e clique em Controle total.
  2. Remova o grupo Todos, caso esteja na lista.
    
    Observa��o Se uma mensagem de erro for exibida ao remover o grupo Todos, clique em Avan�ado na guia Seguran�a e desmarque a caixa de sele��o Permitir que as permiss�es herd�veis do pai sejam propagadas a este objeto e a todos os objetos filho.
  3. Ao usar o m�todo de script de inicializa��o do computador, conceda ao grupo Computadores do dom�nio as permiss�es Ler & Executar, Listar conte�do de pastas e Leitura.
  4. Ao usar o m�todo de script de logon, conceda ao grupo Usu�rios autenticados as permiss�es Ler & Executar, Listar conte�do de pastas e Leitura.
Na pasta NomeDoCompartilhamento, crie uma pasta chamada "Logs".

Ser� nesta pasta que todos os arquivos de log finais ser�o agrupados ap�s a execu��o da ferramenta nos computadores cliente.
Para configurar as permiss�es NTFS na pasta Logs, execute as seguintes etapas.

Observa��o N�o altere as permiss�es de compartilhamento nessa etapa.
1. Adicione a conta de usu�rio do dom�nio para o usu�rio que est� gerenciando o compartilhamento e clique em Controle total.
2. Se estiver usando o m�todo de script de inicializa��o do computador, conceda ao grupo Computadores do dom�nio as permiss�es Modificar, "Ler & Executar", Listar conte�do de pastas, Leitura e Grava��o.
3. Se estiver usando o m�todo de script de logon, conceda ao grupo Usu�rios autenticados as permiss�es Modificar, "Ler & Executar", Listar conte�do de pastas, Leitura e Grava��o.

Voltar para o in�cio

M�todos de implanta��o

Observa��o Para executar essa ferramenta, � necess�rio ter permiss�es de Administrador ou permiss�es de sistema, independentemente da op��o de implanta��o que foi escolhida.

Como usar o pacote de software SMS

O seguinte exemplo fornece instru��es detalhadas para usar o SMS 2003. As etapas para usar o SMS 2.0 s�o semelhantes �s seguintes.

Extraia o arquivo Mrt.exe do pacote nomeado Windows-KB890830-V1.34-ENU.exe /x.
Crie um arquivo .bat para iniciar o Mrt.exe e capturar o c�digo de retorno usando o ISMIF32.exe.

A seguir est� um exemplo.
@echo off Mrt.exe /q If errorlevel 13 goto error13 If errorlevel 12 goto error12 Goto end :error13 Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?texto sobre o erro 13? Goto end :error12 Ismif32.exe ?f MIFFILE ?p MIFNAME ?d ?texto sobre o erro 12? Goto end :end
Para obter mais informa��es sobre o Ismif32.exe, clique nos n�meros abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:
268791� (http://support.microsoft.com/kb/268791/pt-br/ ) Como um arquivo de status MIF (Management Information Format) produzido pelo arquivo ISMIF32.exe � processado no SMS 2.0
186415� (http://support.microsoft.com/kb/186415/pt-br/ ) Criador de status MIF, Ismif32.exe est� dispon�vel
Para criar um pacote no console SMS 2003, execute as seguintes etapas:
1. Abra o SMS Administrator Console.
2. Clique com o bot�o direito do mouse no n� Packages (Pacotes), clique em New (Novo) e em Package (Pacote).
  
  A caixa de di�logo Package Properties (Propriedades do Pacote) � exibida.
3. Na guia General (Geral), anote o nome do pacote.
4. Na guia Data Source (Fonte de Dados), marque a caixa de sele��o This package contains source files (Este pacote cont�m arquivos de origem).
5. Clique em Set (Definir) e escolha um diret�rio de origem que contenha a ferramenta.
6. Na guia Distribution Settings (Configura��es de Distribui��o), defina Sending priority (Prioridade de envio) como High (Alta).
7. Na guia Reporting (Relat�rios), clique em Use these fields for status MIF matching (Usar estes campos para correspond�ncia de status do MIF) e especifique um nome para o campo MIF file name (Nome do arquivo MIF) e para o campo Name (Nome).
  
  Version (Vers�o) e Publisher (Publicador) s�o opcionais.
8. Clique em OK para criar o pacote.
Para especificar um Ponto de distribui��o para o pacote, execute as seguintes etapas:
1. No console do SMS 2003, localize o novo pacote no n� Packages (Pacotes).
2. Expanda o pacote. Clique com o bot�o direito do mouse em Distribution Points (Pontos de Distribui��o), aponte para New (Novo) e clique em Distribution Points (Pontos de Distribui��o).
3. Inicie o New Distribution Points Wizard. Selecione um ponto de distribui��o existente.
4. Clique em Finish (Concluir) para fechar o assistente.
Para adicionar o arquivo em lote criado anteriormente ao novo pacote, execute as seguintes etapas:
1. No n� do novo pacote, clique no n� Programs (Programas).
2. Clique com o bot�o direito do mouse em Programs (Programas), aponte para New (Novo) e clique em Program (Programa).
3. Clique na guia General (Geral) e digite um nome v�lido.
4. Em Command line (Linha de comando), clique em Browse (Procurar) para selecionar o arquivo em lotes que criou para iniciar o Mrt.exe.
5. Altere Run (Executar) para Hidden (Oculto). Altere After (Depois) para No action required (Nenhuma a��o necess�ria).
6. Clique na guia Requirements (Requisitos) e em This program can run only on specified client operating systems (Este programa pode ser executado apenas em sistemas operacionais de cliente especificados).
7. Clique em Todos os Windows Server 2003 x86 e Todos os Windows XP x86 .
8. Clique na guia Environment (Ambiente) e em Whether a user is logged (Usu�rio conectado ou n�o) na lista Program can run (O programa pode ser executado). Defina o modo Run (Executar) para Run with administrative rights (Executar com direitos administrativos).
9. Clique em OK para fechar a caixa de di�logo.
Para criar um an�ncio a fim de divulgar o programa para clientes, execute as seguintes etapas:
1. Clique com o bot�o direito do mouse no n� Advertisement (An�ncio), clique em New (Novo) e em Advertisement (An�ncio).
2. Na guia General (Geral), digite um nome para o an�ncio. No campo Package (Pacote), selecione o pacote que criou anteriormente. No campo Program (Programa), selecione o programa que criou anteriormente. Clique em Procurar e na cole��o Todo o Sistema ou selecione um conjunto de computadores que inclua apenas o Microsoft Windows�XP e vers�es posteriores.
3. Na guia Schedule (Agenda), mantenha as op��es-padr�o se quiser que o programa execute apenas uma vez. Para executar o programa em uma agenda, atribua um intervalo de agenda.
4. Defina a Priority (Prioridade) para High (Alta).
5. Clique em OK para criar o an�ncio.

Como usar um script de inicializa��o de computador com base na Diretiva de Grupo

Este m�todo exige a reinicializa��o do computador cliente ap�s a configura��o do script e a aplica��o da configura��o da Diretiva de Grupo.

Configure os compartilhamentos. Para fazer isto, execute as seguintes etapas na se��o Instala��o e configura��o inicial.
Configure o script de inicializa��o. Para fazer isto, execute as seguintes etapas:
1. No snap-in Usu�rios e Computadores do Active Directory do MMC, clique com o bot�o direito do mouse no nome de dom�nio e clique em Propriedades.
2. Clique na guia Diretiva de Grupo.
3. Clique em Novo para criar um novo GPO (Objeto de diretiva de grupo) e digite Implanta��o MRT para o nome da diretiva.
4. Clique na nova diretiva e em Editar.
5. Expanda Configura��es do Windows para o computador e clique em Scripts.
6. Clique duas vezes em Inicializar e clique em Adicionar.
  
  A caixa de di�logo Adicionar um script � exibida.
7. Na caixa Nome do Script, digite \\NomeDoServidor\NomeDoCompartilhamento\RunMRT.cmd.
8. Clique em OK e em Aplicar.
Reinicie os computadores cliente membros deste dom�nio.

Como usar um script de logon de usu�rio baseado na Diretiva de Grupo

Este m�todo exige que a conta de usu�rio de logon seja uma conta de dom�nio e um membro do grupo de administradores locais no computador cliente.

Configure os compartilhamentos. Para fazer isto, execute as seguintes etapas na se��o Instala��o e configura��o inicial.
Configure o script de logon. Para fazer isto, execute as seguintes etapas:
1. No snap-in Usu�rios e Computadores do Active Directory do MMC, clique com o bot�o direito do mouse no nome de dom�nio e clique em Propriedades.
2. Clique na guia Diretiva de Grupo.
3. Clique em Novo para criar um novo GPO e digite Implanta��o MRT para o nome.
4. Clique na nova diretiva e em Editar.
5. Expanda Configura��es do Windows para usu�rio e clique em Scripts.
6. Clique duas vezes em Inicializar e clique em Adicionar. A caixa de di�logo Adicionar um script � exibida.
7. Na caixa Nome do Script, digite \\NomeDoServidor\NomeDoCompartilhamento\RunMRT.cmd.
8. Clique em OK e em Aplicar.
Fa�a logoff e logon nos computadores cliente.

Nessa situa��o, o script e a ferramenta executar�o no contexto do usu�rio que est� conectado. Se este usu�rio n�o pertencer ao grupo local de administradores ou n�o possuir permiss�es suficientes, a ferramenta n�o executar� e n�o retornar� o c�digo de retorno apropriado. Para obter mais informa��es sobre como usar scripts de inicializa��o e de logon, clique nos n�meros abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:

198642� (http://support.microsoft.com/kb/198642/pt-br/ ) Vis�o geral sobre fazer logon, fazer logoff, inicializa��o e desligamento de scripts no Windows 2000

322241� (http://support.microsoft.com/kb/322241/pt-br/ ) Como atribuir scripts no Windows 2000

Voltar para o in�cio

Informa��es adicionais pertinentes para a implanta��o corporativa

Como examinar c�digos de retorno

� poss�vel examinar o c�digo de retorno do script de logon implanta��o ou do script de inicializa��o de implanta��o para verificar os resultados da execu��o. Consulte a se��o Amostra de c�digo para obter um exemplo de como fazer isto.

A seguinte lista cont�m os c�digos de retorno v�lidos.

Recolher esta tabelaExpandir esta tabela

0	=	No infection found (Nenhuma infec��o foi encontrada)
1	=	OS Environment Error (Erro de ambiente do sistema operacional)
2	=	Not running as an Administrator (N�o est� executando como administrador)
3	=	Not a supported OS (N�o � um sistema operacional compat�vel)
4	=	Error Initializing the scanner (Erro ao inicializar o exame). (Download a new copy of the tool) (Baixe uma nova c�pia da ferramenta)
5	=	Not used (N�o usada)
6	=	At least one infection detected (Pelo menos uma infec��o foi detectada). No errors (Nenhum erro).
7	=	At least one infection was detected, but errors were encountered (Pelo menos uma infec��o foi detectada, mas foram encontrados erros).
8	=	At least one infection was detected and removed, but manual steps are required for a complete removal (Pelo menos uma infec��o foi detectada e removida, mas s�o necess�rias etapas manuais para concluir a remo��o).
9	=	At least one infection was detected and removed, but manual steps are required for a complete removal (Pelo menos uma infec��o foi detectada e removida, mas s�o necess�rias etapas manuais para concluir a remo��o e foram encontrados erros).
10	=	At least one infection was detected and removed, but a restart is required for complete removal (Pelo menos uma infec��o foi detectada e removida, mas � necess�ria uma reinicializa��o para concluir a remo��o)
11	=	At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered (Pelo menos uma infec��o foi detectada e removida, mas � necess�ria uma reinicializa��o para concluir a remo��o e foram encontrados erros)
12	=	At least one infection was detected and removed, but both manual steps and a restart is required for complete removal (Pelo menos uma infec��o foi detectada e removida, mas s�o necess�rias etapas manuais e uma reinicializa��o para concluir a remo��o).
13	=	At least one infection was detected and removed, but a restart is required. (Pelo menos uma infec��o foi detectada e removida, mas � necess�ria uma reinicializa��o). No errors were encountered (Nenhum erro foi encontrado).

Como analisar o arquivo de log

A Ferramenta de Remo��o de Software Mal-Intencionado grava os detalhes do resultado de sua execu��o no arquivo de log %windir%\debug\mrt.log.

Observa��es

O arquivo de log est� dispon�vel apenas em ingl�s.
Se voc� iniciar com a vers�o 1.2 da ferramenta de remo��o (mar�o de 2005), este arquivo de log usar� o texto Unicode. Antes da vers�o 1.2, o arquivo de log usava texto ANSI.
O formato do arquivo de log foi alterado com a vers�o 1.2 e � aconselh�vel baixar e usar a vers�o mais recente da ferramenta.

Se este arquivo de log j� existir, a ferramenta ir� anex�-lo ao arquivo existente.
� poss�vel usar um script de comando semelhante ao exemplo anterior para capturar o c�digo de retorno e coletar os arquivos para um compartilhamento de rede.
Devido � troca de ANSI para Unicode, a vers�o 1.2 da ferramenta de remo��o copiar� todas as vers�es ANSI do Mrt.log na pasta %windir%\debug para Mrt.log.old no mesmo diret�rio e criar� uma nova vers�o Unicode de Mrt.log nesse mesmo diret�rio. A vers�o 1.2 tamb�m cria uma nova vers�o Unicode do arquivo Mrt.log no mesmo diret�rio. Como na vers�o ANSI, este arquivo de log ser� anexado no lan�amento de cada m�s.

O exemplo a seguir � um arquivo Mrt.log de um computador infectado com o worm Sasser.A:

A Ferramenta de Remo��o de Software Mal-Intencionado v1.28, de 28 de abril de 2007, iniciou-se na quarta-feira 19 de mar�o de 2007 �s 13:15:07
 
Resultados da verifica��o r�pida: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

A seguir est� um exemplo de arquivo de log no qual o software mal-intencionado � encontrado.

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary: ---------------- No infection found.
 
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

A seguir est� um exemplo de arquivo de log no qual foram encontrados erros.

Para obter mais informa��es sobre avisos e erros causados pela ferramenta, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

891717� (http://support.microsoft.com/kb/891717/pt-br/ ) Como solucionar problemas de erro ao executar a Ferramenta de Remo��o de Software Mal-Intencionado do Microsoft Windows

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary: ---------------- Para limpar Win32/HLLW.Gaobot.ZF, o sistema precisa ser reiniciado. Win32/HLLW.Gaobot.ZF encontrado, parcialmente removido.

Voltar para o in�cio

Problemas conhecidos

Problemas conhecidos 1

Ao executar a ferramenta usando um script de inicializa��o, as mensagens de erro semelhantes poder�o ser registradas no arquivo Mrt.log:

Erro: MemScanGetImagePathFromPid(pid: 552) falhou.
0x00000005: Acesso negado.

Observa��o O n�mero pid ir� variar.

Esta mensagem de erro ocorrer� quando um processo est� iniciando ou quando tiver sido interrompido recentemente. O �nico efeito � que o processo designado pelo pid n�o foi examinado.

Problema conhecido 2

Em raras ocasi�es, se um administrador optar por implantar o MSRT com o comutador quiet /q (Tamb�m conhecido como modo silencioso), ele pode n�o resolver completamente a limpeza para um pequeno subconjunto de infec��es em situa��es onde � necess�rio uma limpeza adicional ap�s a reinicializa��o. Isso foi observado somente na remo��o de determinadas variantes de rootkit.

Voltar para o in�cio

Perguntas frequentes

Q1. Quando testo meu script de inicializa��o ou script de logon para implantar a ferramenta, n�o vejo os arquivos de log sendo copiados para o compartilhamento de rede que configurei. Por que isso acontece?

R1. Isto � causado freq�entemente pelas quest�es de permiss�o. Por exemplo, a conta na qual a ferramenta de remo��o foi executada n�o tem permiss�o de Grava��o para o compartilhamento. Para solucionar isto, primeiro certifique-se de que a ferramenta foi executada verificando a chave do Registro. Como alternativa, � poss�vel procurar pela presen�a do arquivo de log no computador cliente. Se a ferramenta foi executada com �xito, ser� poss�vel testar um script simples e certificar-se de que ele pode ser gravado no compartilhamento de rede ao execut�-lo no mesmo contexto de seguran�a que a ferramenta de remo��o.

P2. Como verifico se a ferramenta de remo��o foi executada em um computador cliente?

R2. � poss�vel examinar os dados do valor na seguinte chave do Registro para verificar a execu��o da ferramenta. Tamb�m � poss�vel implementar essa verifica��o como parte de um script de inicializa��o ou de logon. Este processo ir� impedir que a ferramenta seja executada v�rias vezes.

Subchave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

Nome da entrada: Vers�o

Toda vez que a ferramenta for executada, ela gravar� um GUID no Registro para indicar que foi executada. Isto ocorre independentemente dos resultados da execu��o. A seguinte tabela lista o GUID correspondente para cada lan�amento.

Recolher esta tabelaExpandir esta tabela

Lan�amento	Dados do valor
Janeiro de 2005	E5DD9936-C147-4CD1-86D3-FED80FAADA6C
Fevereiro de 2005	805647C6-E5ED-4F07-9E21-327592D40E83
Mar�o de 2005	F8327EEF-52AA-439A-9950-CE33CF0D4FDD
Abril de 2005	D89EBFD1-262C-4990-9927-5185FED1F261
Maio de 2005	08112F4F-11BF-4129-A90A-9C8DD0104005
Junho de 2005	63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
Julho de 2005	2EEAB848-93EB-46AE-A3BF-9F1A55F54833
Agosto de 2005	3752278B-57D3-4D44-8F30-A98F957EC3C8
Agosto de 2005 A	4066DA74-2DDE-4752-8186-101A7C543C5F
Setembro de 2005	33B662A4-4514-4581-8DD7-544021441C89
Outubro de 2005	08FFB7EB-5453-4563-A016-7DBC4FED4935
Novembro de 2005	1F5BA617-240A-42FF-BE3B-14B88D004E43
Dezembro de 2005	F8FEC144-AA00-48B8-9910-C2AE9CCE014A
Janeiro de 2006	250985ee-62e6-4560-b141-997fc6377fe2
Fevereiro de 2006	99cb494b-98bf-4814-bff0-cf551ac8e205
Mar�o de 2006	b5784f56-32ca-4756-a521-ca57816391ca
Abril de 2006	d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
Maio de 2006	ce818d5b-8a25-47c0-a9cd-7169da3f9b99
Junho de 2006	7cf4b321-c0dd-42d9-afdf-edbb85e59767
Julho de 2006	5df61377-4916-440f-b23f-321933b0afd3
Agosto de 2006	37949d24-63f1-4fdc-ad24-5dc3eb3ad265
Setembro de 2006	ac3fa517-20f0-4a42-95ca-6383f04773c8
Outubro de 2006	79e385d0-5d28-4743-aeb3-ed101c828abd
Novembro de 2006	1d21fa19-c296-4020-a7c2-c5a9ba4f2356
Dezembro de 2006	621498ca-889b-48ef-872b-84b519365c76
Janeiro de 2007	2F9BC264-1980-42b6-9EE3-2BE36088BB57
Fevereiro de 2007	FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
Mar�o de 2007	5ABA0A63-8B4C-4197-A6AB-A1035539234D
Abril de 2007	57FA0F48-B94C-49ea-894B-10FDA39A7A64
Maio de 2007	15D8C246-6090-450f-8261-4BA8CA012D3C
Junho de 2007	234C3382-3B87-41ca-98D1-277C2F5161CC
Julho de 2007	4AD02E69-ACFE-475C-9106-8FB3D3695CF8
Agosto de 2007	0CEFC17E-9325-4810-A979-159E53529F47
Setembro de 2007	A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
Outubro de 2007	52168AD3-127E-416C-B7F6-068D1254C3A4
Novembro de 2007	EFC91BC1-FD0D-42EE-AA86-62F59254147F
Dezembro de 2007	73D860EC-4829-44DD-A064-2E36FCC21D40
Janeiro de 2008	330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
Fevereiro de 2008	0E918EC4-EE5F-4118-866A-93f32EC73ED6
Mar�o de 2008	24A92A45-15B3-412D-9088-A3226987A476
Abril de 2008	F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
Maio de 2008	0A1A070A-25AA-4482-85DD-DF69FF53DF37
Junho de 2008	0D9785CC-AEEC-49F7-81A8-07B225E890F1
Julho de 2008	BC308029-4E38-4D89-85C0-8A04FC9AD976
Agosto de 2008	F3889559-68D7-4AFB-835E-E7A82E4CE818
Setembro de 2008	7974CF06-BE58-43D5-B635-974BD92029E2
Outubro de 2008	131437DE-87D3-4801-96F0-A2CB7EB98572
Novembro de 2008	F036AE17-CD74-4FA5-81FC-4FA4EC826837
Dezembro de 2008	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Dezembro de 2008	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Janeiro de 2009	2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
Fevereiro de 2009	C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
Mar�o de 2009	BDEB63D0-4CEC-4D5B-A360-FB1985418E61
Abril de 2009	276F1693-D132-44EF-911B-3327198F838B
Maio de 2009	AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
Junho de 2009	8BD71447-AAE4-4B46-B652-484001424290
Julho de 2009	F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
Agosto de 2009	91590177-69E5-4651-854D-9C95935867CE
Setembro de 2009	B279661B-5861-4315-ABE9-92A3E26C1FF4
Outubro de 2009	4C64200A-6786-490B-9A0C-DEF64AA03934
Novembro de 2009	78070A38-A2A9-44CE-BAB1-304D4BA06F49
Dezembro de 2009	A9A7C96D-908E-413C-A540-C43C47941BE4
Janeiro de 2010	ED3205FC-FC48-4A39-9FBD-B0035979DDFF
Fevereiro de 2010	76D836AA-5D94-4374-BCBF-17F825177898
Mar�o de 2010	076DF31D-E151-4CC3-8E0A-7A21E35CF679
Abril de 2010	D4232D7D-0DB6-4E8B-AD19-456E8D286D67
Maio de 2010	18C7629E-5F96-4BA8-A2C8-31810A54F5B8
Junho de 2010	308738D5-18B0-4CB8-95FD-CDD9A5F49B62
Julho de 2010	A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
Agosto de 2010	E39537F7-D4B8-4042-930C-191A2EF18C73
Setembro de 2010	0916C369-02A8-4C3D-9AD0-E72AF7C46025
Outubro de 2010	32F1A453-65D6-41F0-A36F-D9837A868534
Novembro de 2010	5800D663-13EA-457C-8CFD-632149D0AEDD
Dezembro de 2010	4E28B496-DD95-4300-82A6-53809E0F9CDA
Janeiro de 2011	258FD3CF-9C82-4112-B1B0-18EC1ECFED37
Fevereiro de 2011	B3458687-D7E4-4068-8A57-3028D15A7408
Mar�o de 2011	AF70C509-22C8-4369-AEC6-81AEB02A59B7
Abril de 2011	0CB525D5-8593-436C-9EB0-68C6D549994D
Maio de 2011	852F70C7-9C9E-4093-9184-D89D5CE069F0
Junho de 2011	DDE7C7DD-E76A-4672-A166-159DA2110CE5
Julho de 2011	3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
Agosto de 2011	F14DDEA8-3541-40C6-AAC7-5A0024C928A8
Setembro de 2011	E775644E-B0FF-44FA-9F8B-F731E231B507
Outubro de 2011	C0177BCC-8925-431B-AC98-9AC87B8E9699
Novembro de 2011	BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
Dezembro de 2011	79B9D6F6-2990-4C15-8914-7801AD90B4D7
Janeiro de 2012	634F47CA-D7D7-448E-A7BE-0371D029EB32
Fevereiro de 2012	23B13CB9-1784-4DD3-9504-7E58427307A7
Mar�o de 2012	84C44DD1-20C8-4542-A1AF-C3BA2A191E25
Abril de 2012	3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
Maio de 2012	D0082A21-13E4-49F7-A31D-7F752F059DE9

P3. Como posso desabilitar o componente de relat�rio de infec��o da ferramenta para que ele n�o seja enviado para a Microsoft?

R3. Administrador pode escolher desabilitar o componente de relat�rio da infec��o da ferramenta, adicionando o seguinte valor da chave do Registro aos computadores. Se este valor da chave do Registro for definido, a ferramenta n�o reportar� as informa��es de volta para a Microsoft.

Subchave:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

Nome da entrada: \DontReportInfectionInformation
Tipo: REG_DWORD
Dados do valor: 1

P4. Com o lan�amento de Mar�o de 2005, os dados no arquivo Mrt.log parecem que foram perdidos. Por que estes dados foram removidos, e existe uma maneira para recuper�-los?

R4. Pelo lan�amento de Mar�o de 2005, o arquivo Mrt.log � gravado como um arquivo Unicode. Para verificar a compatibilidade quando a vers�o de Mar�o de 2005 da ferramenta for executada, se uma vers�o ANSI do arquivo estiver no sistema a ferramenta copiar� o conte�do desse arquivo Mrt.log.old em %WINDIR%\debug e criar� uma nova vers�o Unicode do arquivo Mrt.log. Como a vers�o ANSI, esta vers�o Unicode ser� anexada em cada execu��o sucessiva da ferramenta.

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Windows Server 2008 Standard
Windows Server 2008 Enterprise
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition

Voltar para o in�cio

kbinfo KB891716

Voltar para o in�cio

Outros Recursos

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Entre em contato com um profissional de suporte por email, online, ou telefone.

Tradu��es deste artigo

United States (English)

This site in other countries/regions:

Implanta��o da Ferramenta de Remo��o de Software Mal-Intencionado do Microsoft Windows em um ambiente corporativo

Nesta p�gina

INTRODU��O

Ignorar detalhes e baixar a ferramenta

Amostra de c�digo

Instala��o e configura��o inicial

M�todos de implanta��o

Como usar o pacote de software SMS

Como usar um script de inicializa��o de computador com base na Diretiva de Grupo

Como usar um script de logon de usu�rio baseado na Diretiva de Grupo

Informa��es adicionais pertinentes para a implanta��o corporativa

Como examinar c�digos de retorno

Como analisar o arquivo de log

Problemas conhecidos

Problemas conhecidos 1

Problema conhecido 2

Perguntas frequentes

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es deste artigo

Centros de suporte relacionados