Makale numarası: 891716 - Son Gözden Geçirme: 11 Mayıs 2012 Cuma - Gözden geçirme: 91.0

Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'nın kuruluş ortamında dağıtılması

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.
Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı, "Aşağıdakilere Uygulanır" bölümünde listelenen işletim sistemleriyle kullanılmak üzere hazırlanmıştır. Listede bulunmayan işletim sistemleri sınanmamıştır ve bu yüzden desteklenmez. Katıştırılmış işletim sistemlerinin tüm sürüm ve uyarlamaları desteklenmeyen bu işletim sistemlerine dahildir.

Bu Sayfada

Hepsini aç | Hepsini kapa

GİRİŞ

Microsoft, yaygın olarak karşılaşılan bazı kötü amaçlı yazılımları bir bilgisayardan kaldırmanıza yardımcı olan Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'nı yayımlamıştır.

Üste

Ayrıntıları atla ve aracı karşıdan yükle

Aracın nasıl karşıdan yükleneceği hakkında daha fazla bilgi için aşağıdaki Microsoft Web sayfasını ziyaret edin:
http://www.microsoft.com/security/scanner/tr-tr/default.aspx (http://www.microsoft.com/security/scanner/tr-tr/default.aspx)
Bu makalenin içerdiği bilgiler, aracın kuruluş ortamında dağıtımına yöneliktir. Aşağıdaki Microsoft Bilgi Bankası makalesini incelemeniz önemle önerilir. Makale, bu araç ve karşıdan yükleme konumları hakkında genel bilgiler içerir.

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
890830  (http://support.microsoft.com/kb/890830/tr/ ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı yaygın olarak bulunan bazı kötü amaçlı yazılımları Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 veya Windows XP çalışan bilgisayarlardan temizlemenizi sağlar
Araç, öncelikle bilgisayarlarında güncel bir virüsten koruma ürünü bulunmayan ve kuruluş ortamında çalışmayan kullanıcılar için hazırlanmıştır. Ancak araç, varolan koruma düzeyini artırmak için kapsamlı savunma stratejisinin bir parçası olarak kuruluş ortamında da dağıtılabilir. Aracı bir kuruluş ortamında dağıtmak için, aşağıdaki yöntemlerden birini veya birkaçını kullanabilirsiniz:
  • Windows Server Update Services
  • Microsoft Systems Management Server (SMS) yazılım paketi
  • Grup İlkesi tabanlı bilgisayar başlangıç komut dosyası
  • Grup İlkesi tabanlı kullanıcı oturum açma komut dosyası
Aracı Windows Update ve Otomatik Güncelleştirmeler aracılığıyla dağıtma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
890830  (http://support.microsoft.com/kb/890830/tr/ ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı, belirli ve yaygın kötü amaçlı yazılımları Windows Vista Windows Server 2003, Windows Server 2008 veya Windows XP çalıştırılan bilgisayarlardan kaldırmaya yardımcı olur
Bu aracın geçerli sürümü, aşağıdaki dağıtım teknolojilerini ve tekniklerini desteklemez:
  • Windows Update Kataloğu
  • Aracın uzaktaki bir bilgisayara karşı yürütülmesi
  • Software Update Services (SUS)
Ayrıca, Microsoft Baseline Security Analyzer (MBSA) bu aracın yürütülmesini algılamaz. Bu makale, dağıtımın bir parçası olarak aracın yürütüldüğünü nasıl doğrulayabileceğiniz konusunda bilgiler içermektedir.
Üste

Kod örneği

Burada sunulan komut dosyası ve adımlar, yalnızca örnek olması amacıyla sağlanmıştır. Müşteriler bu örnek komut dosyalarını ve örnek senaryoları inceleyip kendi ortamlarına uygun şekilde değiştirmelidir. SunucuAdı ve PaylaşımAdı değerlerini, ortamınızdaki kuruluma göre değiştirmeniz gerekir.

Aşağıdaki kod örneği şunları yapar:
  • Aracı sessiz modda çalıştırır
  • Günlük dosyasını önceden yapılandırılmış bir ağ paylaşımına kopyalar
  • Günlük dosyası adının önüne, aracın yürütüldüğü bilgisayarın adını ve geçerli kullanıcı adını ekler. Paylaşım izinlerini, İlk kurulum ve yapılandırma bölümündeki yönergelere uygun olarak ayarlamalısınız.
REM Bu örnekte, komut dosyası RunMRT.cmd adındadır.
REM Sleep.exe yardımcı programı, bir başlangıç komut dosyası olarak kullanıldığında aracın yürütülmesini 
REM geciktirmek için kullanılır. Ayrıntılar için "Bilinen sorunlar" bölümüne bakın.
@echo off
call \\SunucuAdı\PaylaşımAdı\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V4.8.exe /q

copy %windir%\debug\mrt.log \\SunucuAdı\PaylaşımAdı\Logs\%computername%_%username%_mrt.log
Not Bu kod örneğinde, SunucuAdı sunucunuzun adı için ve PaylaşımAdı da paylaşım adı için birer yer tutucudur.
Üste

İlk kurulum ve yapılandırma

Bu bölüm, bu aracı dağıtmak amacıyla bir başlangıç komut dosyası veya oturum açma komut dosyası kullanan yöneticiler için hazırlanmıştır. SMS kullanıyorsanız, "Dağıtım yöntemleri" bölümüne geçebilirsiniz.

Sunucuyu ve paylaşımı yapılandırmak için aşağıdaki adımları izleyin:
  1. Üye sunucuda bir paylaşım ayarlayın. Sonra da paylaşıma PaylaşımAdı adını verin.
  2. Aracı ve örnek komut dosyası olan RunMRT.cmd dosyasını paylaşıma kopyalayın. Ayrıntılar için Kod örneği bölümüne bakın.
  3. Aşağıdaki paylaşım ve NTFS dosya sistemi izinlerini yapılandırın:
    • Paylaşım izinleri:
      1. Bu paylaşımı yöneten kullanıcının etki alanı kullanıcı hesabını ekleyin ve Tam Denetim'i tıklatın.
      2. Everyone grubunu kaldırın.
      3. Bilgisayar başlangıç komut dosyası yöntemini kullanacaksanız, Domain Computers grubunu Değiştir ve Oku izinleriyle birlikte ekleyin.
      4. Oturum açma komut dosyası yöntemini kullanacaksanız, Authenticated Users grubunu Değiştir ve Oku izinleriyle birlikte ekleyin.
    • NTFS izinleri:
      1. Bu paylaşımı yöneten kullanıcının etki alanı kullanıcı hesabını ekleyin ve Tam Denetim'i tıklatın.
      2. Everyone grubu listedeyse, kaldırın.

        Not Everyone grubunu kaldırdığınızda bir hata iletisi alırsanız, Güvenlik sekmesinde Gelişmiş'i tıklatın ve Üst öğeden devralınabilen izinlerin bu nesneye yayılmasına izin ver onay kutusunu tıklatıp temizleyin.
      3. Bilgisayar başlangıç komut dosyası yöntemini kullanacaksanız, Domain Computers grubuna Oku ve Çalıştır izinlerini, Klasör İçeriğini Listele izinlerini ve Oku izinlerini verin.
      4. Oturum açma komut dosyası yöntemini kullanacaksanız, Authenticated Users grubuna Oku ve Çalıştır izinlerini, Klasör İçeriğini Listele izinlerini ve Oku izinlerini verin.
  4. PaylaşımAdı klasörü altında, "Logs" adlı bir klasör oluşturun.

    Bu klasör, aracın istemci bilgisayarlarda çalıştırılmasının ardından son günlük dosyalarının toplanacağı konumdur.
  5. Logs klasöründe NTFS izinlerini yapılandırmak için aşağıdaki adımları izleyin.

    Not Bu adımda, Paylaşım izinlerini değiştirmeyin.
    1. Bu paylaşımı yöneten kullanıcının etki alanı kullanıcı hesabını ekleyin ve Tam Denetim'i tıklatın.
    2. Bilgisayar başlangıç komut dosyası yöntemini kullanacaksanız, Domain Computers grubuna Değiştir izinlerini, "Oku ve Çalıştır" izinlerini, Klasör İçeriğini Listele izinlerini, Oku izinlerini ve Yaz izinlerini verin.
    3. Oturum açma başlangıç komut dosyası yöntemini kullanacaksanız, Authenticated Users grubuna Değiştir izinlerini, "Oku ve Çalıştır" izinlerini, Klasör İçeriğini Listele izinlerini, Oku izinlerini ve Yaz izinlerini verin.
Üste

Dağıtım yöntemleri

Not Bu aracı çalıştırabilmeniz için, seçtiğiniz dağıtım seçeneğinden bağımsız olarak Yönetici izinleriniz veya Sistem izinleriniz olmalıdır.

SMS yazılım paketini kullanma

Aşağıdaki örnekte, SMS 2003 kullanmak için adım adım yönergeler sunulmaktadır. SMS 2.0 kullanmaya yönelik adımlar, bu adımlara benzer.
  1. Mrt.exe dosyasını Windows-KB890830-V1.34-TRK.exe /x adlı paketten ayıklayın.
  2. Mrt.exe dosyasını başlatmak ve döndürülen kodu ISMIF32.exe kullanarak yakalamak için bir .bat dosyası oluşturun.

    Aşağıda bir örnek verilmiştir.
    @echo off
Mrt.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12
Goto end

:error13
Ismif32.exe –f MIFFILE –p MIFNAME –d ”hata 13 ile ilgili metin”
Goto end

:error12
Ismif32.exe –f MIFFILE –p MIFNAME –d "hata 12 ile ilgili metin"
Goto end

:end
    Ismif32.exe hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
    268791  (http://support.microsoft.com/kb/268791/tr/ ) ISMIF32.exe dosyası tarafından oluşturulan bir durum Yönetim Bilgileri Biçimi (MIF) dosyası SMS 2.0'da nasıl işlenir
    186415  (http://support.microsoft.com/kb/186415/tr/ ) Ismif32.exe Durum MIF oluşturucusu kullanıma hazır
  3. SMS 2003 konsolunda bir paket oluşturmak için aşağıdaki adımları izleyin:
    1. SMS Administrator Console'u (SMS Yönetici Konsolu) açın.
    2. Packages (Paketler) düğümünü sağ tıklatın, New (Yeni) öğesini tıklatın ve Package'i (Paket) tıklatın.

      Paket Özellikleri iletişim kutusu görüntülenir.
    3. General (Genel) sekmesinde paketi adlandırın.
    4. Data Source (Veri Kaynağı) sekmesinde, This package contains source files (Bu paket kaynak dosyaları içerir) onay kutusunu tıklatarak seçin.
    5. Set (Ayarla) öğesini tıklatın ve aracı içeren kaynak dizini seçin.
    6. Distribution Settings (Dağıtım Ayarları) sekmesinde Sending priority (Gönderme önceliği) ayarını High (Yüksek) olarak belirleyin.
    7. Reporting (Raporlama) sekmesinde, Use these fields for status MIF matching'i (Durum MIF eşleştirmesi için bu alanları kullan) tıklatın ve MIF file name (MIF dosyası adı) alanı ve Name (Ad) alanı için bir ad belirtin.

      Version (Sürüm) ve Publisher (Yayımcı) alanları isteğe bağlıdır.
    8. Paketi oluşturmak için Tamam'ı tıklatın.
  4. Paket için bir Dağıtım Noktası (DP) belirtmek için şu adımları izleyin:
    1. SMS 2003 konsolunda, Packages (Paketler) düğümünün altında, yeni paketi bulun.
    2. Paketi genişletin. Distribution Points (Dağıtım Noktaları) öğesini sağ tıklatın, New (Yeni) öğesinin üzerine gelin ve Distribution Points öğesini tıklatın.
    3. New Distribution Points Wizard'ı (Yeni Dağıtım Noktaları Sihirbazı) başlatın. Varolan bir Dağıtım Noktası'nı seçin.
    4. Finish'i (Son) tıklatıp sihirbazı kapatın.
  5. Daha önce oluşturulan bir toplu iş dosyasını yeni pakete eklemek için şu adımları izleyin:
    1. Yeni paket düğümünde, Programs (Programlar) düğümünü tıklatın.
    2. Programs'ı sağ tıklatın, New (Yeni) öğesinin üzerine gelin ve Program'ı tıklatın.
    3. General (Genel) sekmesini tıklatın ve geçerli bir ad yazın.
    4. Command line (Komut satırı) alanında, Mrt.exe dosyasını başlatmak amacıyla oluşturduğunuz toplu iş dosyasını seçmek için Browse (Göz at) öğesini tıklatın.
    5. Run (Çalıştır) seçeneğini Hidden (Gizli) olarak değiştirin. After (Sonra) seçeneğini No action required (Eylem yok) ayarına değiştirin.
    6. Requirements (Gereksinimler) sekmesini tıklatın ve This program can run only on specified client operating systems'i (Bu program yalnızca belirtilen istemci platformlarında çalışabilir) tıklatın.
    7. All x86 Windows Server 2003 ve All x86 Windows XP seçeneklerini tıklatın.
    8. Environment (Ortam) sekmesini tıklatın ve Program can run (Programın çalışma koşulu:) listesinde Whether a user is logged (Kullanıcının oturum açmasına bağlı) seçeneğini tıklatın. Run modunu Run with administrative rights (Yönetici haklarıyla çalıştır) olarak ayarlayın.
    9. Tamam’ı tıklatıp iletişim kutusunu kapatın.
  6. Programı istemcilere tanıtmak üzere bildiri oluşturmak için şu adımları izleyin:
    1. Advertisement (Bildiri) düğümünü sağ tıklatın, New (Yeni) öğesini ve sonra Advertisement öğesini tıklatın.
    2. General (Genel) sekmesinde, bildiri için bir ad girin. Package (Paket) alanında, önceden oluşturduğunuz paketi seçin. Program alanında, önceden oluşturduğunuz programı seçin. Browse (Göz at) öğesini tıklatın ve All System (Tüm Sistem) topluluğunu veya yalnızca Microsoft Windows XP ve sonraki sürümleri içeren bir bilgisayar topluluğunu tıklatın.
    3. Schedule (Zamanlama) sekmesinde, programın bir kez çalışmasını istiyorsanız varsayılan seçenekleri kullanın. Programın belirlenen zamanda çalışması için, bir zamanlama aralığı atayın.
    4. Priority (Öncelik) düzeyini High (Yüksek) olarak ayarlayın.
    5. Bildiriyi oluşturmak için Tamam'ı tıklatın.

Grup İlkesi tabanlı bilgisayar başlangıç komut dosyası kullanma

Bu yöntem, komut dosyasını kurup Grup İlkesi ayarını uyguladıktan sonra istemci bilgisayarı yeniden başlatmanızı gerektirir.
  1. Paylaşımları ayarlayın. Bunu yapmak için İlk kurulum ve yapılandırma bölümündeki adımları izleyin.
  2. Başlangıç komut dosyasını ayarlayın. Bunu yapmak için şu adımları izleyin:
    1. Active Directory Kullanıcıları ve Bilgisayarları MMC eklentisinde, etki alanı adını sağ tıklatın ve sonra Özellikler'i tıklatın.
    2. Grup İlkesi sekmesini tıklatın.
    3. Yeni'yi tıklatıp yeni bir Grup İlkesi nesnesi (GPO) oluşturun ve ilke adı olarak MRT Dağıtımı yazın.
    4. Yeni ilkeyi tıklatın ve Düzenle'yi tıklatın.
    5. Bilgisayar Yapılandırması için Windows Ayarları'nı genişletin ve sonra Komut Dosyaları'nı tıklatın.
    6. Oturum Açma'yı çift tıklatın ve sonra Ekle'yi tıklatın.

      Komut Dosyası Ekle iletişim kutusu görüntülenir.
    7. Komut Dosyası Adı kutusuna \\SunucuAdı\PaylaşımAdı\RunMRT.cmd yazın.
    8. Tamam'ı ve sonra Uygula'yı tıklatın.
  3. Bu etki alanının üyeleri olan istemci bilgisayarları yeniden başlatın.

Grup İlkesi tabanlı kullanıcı oturum açma komut dosyası kullanma

Bu yöntem, oturum açma kullanıcı hesabının bir etki alanı hesabı olmasını ve istemci bilgisayardaki yerel yönetici grubunun üyesi olmasını gerektirir.
  1. Paylaşımları ayarlayın. Bunu yapmak için İlk kurulum ve yapılandırma bölümündeki adımları izleyin.
  2. Oturum açma komut dosyasını oluşturun. Bunu yapmak için şu adımları izleyin:
    1. Active Directory Kullanıcıları ve Bilgisayarları MMC eklentisinde, etki alanı adını sağ tıklatın ve sonra Özellikler'i tıklatın.
    2. Grup İlkesi sekmesini tıklatın.
    3. Yeni'yi tıklatıp yeni bir Grup İlkesi nesnesi (GPO) oluşturun ve ilke adı olarak MRT Dağıtımı yazın.
    4. Yeni ilkeyi tıklatın ve Düzenle'yi tıklatın.
    5. Kullanıcı Yapılandırması için Windows Ayarları'nı genişletin ve sonra Komut Dosyaları'nı tıklatın.
    6. Oturum Açma'yı çift tıklatın ve sonra Ekle'yi tıklatın. Komut Dosyası Ekle iletişim kutusu görüntülenir.
    7. Komut Dosyası Adı kutusuna \\SunucuAdı\PaylaşımAdı\RunMRT.cmd yazın.
    8. Tamam'ı ve sonra Uygula'yı tıklatın.
  3. İstemci bilgisayarlarda oturumu kapatıp yeniden açın.
Bu senaryoda, komut dosyası ve araç, oturum açmış olan kullanıcı bağlamında çalışır. Bu kullanıcı yerel yöneticiler grubunun bir üyesi değilse veya kullanıcının yeterli izinleri yoksa, araç çalışmaz veya uygun kodu döndürmez. Başlangıç ve oturum açma komut dosyalarını kullanma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
198642  (http://support.microsoft.com/kb/198642/tr/ ) Windows 2000'de oturum açma, oturumu kapatma, başlangıç ve kapatma komut dosyalarına genel bakış
322241  (http://support.microsoft.com/kb/322241/tr/ ) Windows 2000'de komut dosyaları nasıl atanır
Üste

Kuruluş dağıtımıyla ilişkili ek bilgiler

Döndürülen kodları inceleme

Yürütme sonuçlarını doğrulamak için, aracın dağıtım oturum açma komut dosyanızda veya dağıtım başlangıç komut dosyanızda döndürdüğü kodu inceleyebilirsiniz. Bunun nasıl yapıldığını gösteren bir örnek için Kod örneği bölümüne bakın.

Aşağıdaki liste, döndürülen geçerli kodları içerir.
Bu tabloyu kapaBu tabloyu aç
0=No infection found (Bulaşma bulunamadı)
1=OS Environment Error (OS Ortamı Hatası)
2=Not running as an Administrator (Yönetici olarak çalışmıyor)
3=Not a supported OS (Desteklenen bir OS değil)
4=Error Initializing the scanner (Tarayıcıyı başlatırken hata). (Download a new copy of the tool) (Aracın yeni bir kopyasını karşıdan yükleyin.)
5=Kullanılmıyor
6=At least one infection detected (En az bir bulaşma algılandı). No errors (Hata yok).
7=At least one infection was detected, but errors were encountered (En az bir bulaşma algılandı, ancak hatalar oluştu).
8=At least one infection was detected and removed, but manual steps are required for a complete removal (En az bir bulaşma algılandı ve kaldırıldı, ancak tam kaldırma için el ile adımlar gerekiyor).
9=At least one infection was detected and removed, but manual steps are required for complete removal and errors were encountered (En az bir bulaşma algılandı ve kaldırıldı, ancak tam kaldırma için el ile adımlar gerekiyor ve hatalar oluştu).
10=At least one infection was detected and removed, but a restart is required for complete removal (En az bir bulaşma algılandı ve kaldırıldı, ancak tam kaldırma için yeniden başlatma gerekiyor).
11=At least one infection was detected and removed, but a restart is required for complete removal and errors were encountered (En az bir bulaşma algılandı ve kaldırıldı, ancak tam kaldırma için el ile adımlar ve yeniden başlatma gerekiyor)
12=At least one infection was detected and removed, but both manual steps and a restart is required for complete removal (En az bir bulaşma algılandı ve kaldırıldı, ancak tam kaldırma için el ile adımlar ve yeniden başlatma gerekiyor).
13=At least one infection was detected and removed, but a restart is required (En az bir bulaşma algılandı ve kaldırıldı, ancak yeniden başlatma gerekiyor). No errors were encountered (Hiçbir hatayla karşılaşılmadı).

Günlük dosyasını ayrıştırma

Kötü Amaçlı Yazılımları Temizleme Aracı, yürütme sonuçları ile ilgili ayrıntıları %windir%\debug\mrt.log günlük dosyasına yazar.

Notlar
  • Bu günlük dosyası İngilizce'dir.
  • Kaldırma aracının 1.2 sürümünden (Mart 2005) başlayarak bu günlük dosyası Unicode metin kullanır. Sürüm 1.2'den önce ise, günlük dosyası ANSI metin kullanmaktaydı.
  • Günlük dosyası biçimi sürüm 1.2 ile birlikte değişmiştir ve aracın en yeni sürümünü karşıdan yükleyerek kullanmanızı öneririz.

    Bu günlük dosyası varsa, araç varolan dosyaya ekler.
  • Döndürülen kodu yakalamak ve dosyaları bir ağ paylaşımına toplamak için önceki örneğe benzer bir komut dosyası kullanabilirsiniz.
  • ANSI'den Unicode'a geçiş nedeniyle, kaldırma aracının 1.2 sürümü Mrt.log dosyasının %windir%\debug klasöründeki ANSI sürümünü aynı dizinde Mrt.log.old olarak kopyalar. Sürüm 1.2 aynı dizinde Mrt.log dosyasının yeni bir Unicode sürümünü de oluşturur. ANSI sürümünde olduğu gibi, bu günlük dosyası da aylık sürümlere eklenir.
Aşağıdaki örnek, Sasser.A solucanı bulaşmış olan bir bilgisayardaki Mrt.log dosyasıdır:
Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results: ---------------- Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus: Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus: Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary: ---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code: 6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

Aşağıdaki örnek, kötü amaçlı yazılım bulunmayan bir günlük dosyasını göstermektedir.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary: ---------------- No infection found.
 
Return code: 0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

Aşağıdaki örnek, hatalatın bulunduğu bir günlük dosyasına aittir.

Bu aracın neden olduğu uyarı ve hatalar hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
891717  (http://support.microsoft.com/kb/891717/tr/ ) Microsoft Windows Kötü Amaçlı Yazılımları Temizleme Aracı'nı çalıştırdığınızda bir hata alıyorsunuz 
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results: ---------------- Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in process 1880 Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus: Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results: ---------------- Terminating process with pid 1880 ->Sysclean ERROR: Failed to kill process with PID: 1880 (Win32 Error Code: 0x00000102 (258):The wait operation timed out.) [697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry: WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry: WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary: ---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted. Found Win32/HLLW.Gaobot.ZF, partially removed.
Üste

Bilinen sorunlar

Bilinen sorun 1

Aracı bir başlangıç komut dosyası kullanarak çalıştırdığınızda, Mrt.log dosyasına aşağıdakilere benzer hata iletileri kaydedilebilir:
Error: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Access is denied.
Not Pid numarası farklı olabilir.

Bu hata iletisi, bir işlem yeni başlatılırken veya durdurulduktan hemen sonra oluşur. Tek etkisi, pid ile belirtilen işlemin taranmamış olmasıdır.

Bilinen sorun 2

Nadiren de olsa, bir yönetici MSRT'yi /q sessiz anahtarıyla (sessiz mod olarak da bilinir) dağıtmayı tercih ederse, yeniden başlatmanın ardından ek temizleme gerektiren durumlarda az sayıda virüs bulaşması tümüyle temizlenemeyebilir. Bu durum yalnızca kök dizine saldıran belirli türevlerde gözlemlenmiştir.
Üste

SSS

S1. Aracı dağıtmak üzere başlangıç veya oturum açma komut dosyamı sınadığımda, günlük dosyalarının ayarladığım ağ paylaşımına kopyalandığını görmüyorum. Neden?

Y1. Bunun nedeni genelde izin sorunlarıdır. Örneğin, temizleme aracının çalıştırıldığı hesabın paylaşım için Yaz izni bulunmayabilir. Bu sorunu gidermek için, öncelikle kayıt defteri anahtarını denetleyerek aracın çalıştırıldığından emin olun. Bunun yerine, istemci bilgisayarda günlük dosyasının bulunup bulunmadığına da bakabilirsiniz. Araç başarıyla çalıştırılmışsa, temizleme aracıyla aynı güvenlik bağlamında çalıştırıldığında ağ paylaşımına yazabildiğinden emin olmak için basit bir komut dosyasını çalıştırmayı sınayabilirsiniz.

S2. Temizleme aracının bir istemci bilgisayarında çalıştırılıp çalıştırılmadığını nasıl doğrularım?

Y2. Aşağıdaki kayıt defteri girdisinin değer verisini inceleyip aracın yürütüldüğünü doğrulayabilirsiniz. Bu tür bir incelemeyi başlangıç komut dosyasının veya oturum açma komut dosyasının bir parçası olarak gerçekleştirebilirsiniz. Bu işlem, aracın birden çok kez çalışmasını engeller.
Alt anahtar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

Girdi adı: Sürüm
Araç her çalıştırıldığında, aracın yürütüldüğünü belirten bir GUID değeri kayıt defterine kaydedilir. Bu işlem, yürütme sonuçları ne olursa olsun gerçekleşir. Aşağıdaki tabloda, her yayına karşılık gelen GUID değerleri listelenmektedir.
Bu tabloyu kapaBu tabloyu aç
YayınDeğer verisi
Ocak 2005E5DD9936-C147-4CD1-86D3-FED80FAADA6C
Şubat 2005 805647C6-E5ED-4F07-9E21-327592D40E83
Mart 2005F8327EEF-52AA-439A-9950-CE33CF0D4FDD
Nisan 2005D89EBFD1-262C-4990-9927-5185FED1F261
Mayıs 200508112F4F-11BF-4129-A90A-9C8DD0104005
Haziran 200563C08887-00BE-4C9B-9EFC-4B9407EF0C4C
Temmuz 20052EEAB848-93EB-46AE-A3BF-9F1A55F54833
Ağustos 20053752278B-57D3-4D44-8F30-A98F957EC3C8
Ağustos 2005 A4066DA74-2DDE-4752-8186-101A7C543C5F
Eylül 200533B662A4-4514-4581-8DD7-544021441C89
Ekim 200508FFB7EB-5453-4563-A016-7DBC4FED4935
Kasım 20051F5BA617-240A-42FF-BE3B-14B88D004E43
Aralık 2005F8FEC144-AA00-48B8-9910-C2AE9CCE014A
Ocak 2006250985ee-62e6-4560-b141-997fc6377fe2
Şubat 200699cb494b-98bf-4814-bff0-cf551ac8e205
Mart 2006b5784f56-32ca-4756-a521-ca57816391ca
Nisan 2006d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
Mayıs 2006ce818d5b-8a25-47c0-a9cd-7169da3f9b99
Haziran 20067cf4b321-c0dd-42d9-afdf-edbb85e59767
Temmuz 20065df61377-4916-440f-b23f-321933b0afd3
Ağustos 200637949d24-63f1-4fdc-ad24-5dc3eb3ad265
Eylül 2006ac3fa517-20f0-4a42-95ca-6383f04773c8
Ekim 200679e385d0-5d28-4743-aeb3-ed101c828abd
Kasım 20061d21fa19-c296-4020-a7c2-c5a9ba4f2356
Aralık 2006621498ca-889b-48ef-872b-84b519365c76
Ocak 20072F9BC264-1980-42b6-9EE3-2BE36088BB57
Şubat 2007FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
Mart 20075ABA0A63-8B4C-4197-A6AB-A1035539234D
Nisan 200757FA0F48-B94C-49ea-894B-10FDA39A7A64
Mayıs 200715D8C246-6090-450f-8261-4BA8CA012D3C
Haziran 2007234C3382-3B87-41ca-98D1-277C2F5161CC
Temmuz 20074AD02E69-ACFE-475C-9106-8FB3D3695CF8
Ağustos 20070CEFC17E-9325-4810-A979-159E53529F47
Eylül 2007A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
Ekim 200752168AD3-127E-416C-B7F6-068D1254C3A4
Kasım 2007EFC91BC1-FD0D-42EE-AA86-62F59254147F
Aralık 200773D860EC-4829-44DD-A064-2E36FCC21D40
Ocak 2008330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
Şubat 20080E918EC4-EE5F-4118-866A-93f32EC73ED6
Mart 200824A92A45-15B3-412D-9088-A3226987A476
Nisan 2008F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
Mayıs 20080A1A070A-25AA-4482-85DD-DF69FF53DF37
Haziran 20080D9785CC-AEEC-49F7-81A8-07B225E890F1
Temmuz 2008BC308029-4E38-4D89-85C0-8A04FC9AD976
Ağustos 2008F3889559-68D7-4AFB-835E-E7A82E4CE818
Eylül 20087974CF06-BE58-43D5-B635-974BD92029E2
Ekim 2008131437DE-87D3-4801-96F0-A2CB7EB98572
Kasım 2008F036AE17-CD74-4FA5-81FC-4FA4EC826837
Aralık 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Aralık 20089BF57AAA-6CE6-4FC4-AEC7-1B288F067467
Ocak 20092B730A83-F3A6-44F5-83FF-D9F51AF84EA0
Şubat 2009C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
Mart 2009BDEB63D0-4CEC-4D5B-A360-FB1985418E61
Nisan 2009276F1693-D132-44EF-911B-3327198F838B
Mayıs 2009AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
Haziran 20098BD71447-AAE4-4B46-B652-484001424290
Temmuz 2009F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
Ağustos 200991590177-69E5-4651-854D-9C95935867CE
Eylül 2009B279661B-5861-4315-ABE9-92A3E26C1FF4
Ekim 20094C64200A-6786-490B-9A0C-DEF64AA03934
Kasım 200978070A38-A2A9-44CE-BAB1-304D4BA06F49
Aralık 2009A9A7C96D-908E-413C-A540-C43C47941BE4
Ocak 2010ED3205FC-FC48-4A39-9FBD-B0035979DDFF
Şubat 201076D836AA-5D94-4374-BCBF-17F825177898
Mart 2010076DF31D-E151-4CC3-8E0A-7A21E35CF679
Nisan 2010D4232D7D-0DB6-4E8B-AD19-456E8D286D67
Mayıs 201018C7629E-5F96-4BA8-A2C8-31810A54F5B8
Haziran 2010308738D5-18B0-4CB8-95FD-CDD9A5F49B62
Temmuz 2010A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
Ağustos 2010E39537F7-D4B8-4042-930C-191A2EF18C73
Eylül 2010 0916C369-02A8-4C3D-9AD0-E72AF7C46025
Ekim 201032F1A453-65D6-41F0-A36F-D9837A868534
Kasım 20105800D663-13EA-457C-8CFD-632149D0AEDD
Aralık 20104E28B496-DD95-4300-82A6-53809E0F9CDA
Ocak 2011258FD3CF-9C82-4112-B1B0-18EC1ECFED37
Şubat 2011B3458687-D7E4-4068-8A57-3028D15A7408
Mart 2011AF70C509-22C8-4369-AEC6-81AEB02A59B7
Nisan 20110CB525D5-8593-436C-9EB0-68C6D549994D
Mayıs 2011852F70C7-9C9E-4093-9184-D89D5CE069F0
Haziran 2011DDE7C7DD-E76A-4672-A166-159DA2110CE5
Temmuz 20113C009D0B-2C32-4635-9B34-FFA7F4CB42E7
Ağustos 2011F14DDEA8-3541-40C6-AAC7-5A0024C928A8
Eylül 2011E775644E-B0FF-44FA-9F8B-F731E231B507
Ekim 2011C0177BCC-8925-431B-AC98-9AC87B8E9699
Kasım 2011BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
Aralık 201179B9D6F6-2990-4C15-8914-7801AD90B4D7
Ocak 2012634F47CA-D7D7-448E-A7BE-0371D029EB32
Şubat 2012 23B13CB9-1784-4DD3-9504-7E58427307A7
Mart 2012 84C44DD1-20C8-4542-A1AF-C3BA2A191E25
Nisan 2012 3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
Mayıs 2012 D0082A21-13E4-49F7-A31D-7F752F059DE9
S3. Aracın virüs bulaşmasını raporlama bileşeninin Microsoft'a rapor gönderme özelliğini nasıl devre dışı bırakabilirim?

Y3. Bir yönetici, bilgisayarlara aşağıdaki kayıt defteri anahtarı değerini ekleyerek aracın virüs bulaşmasını raporlama bileşenini devre dışı bırakmayı seçebilir. Bu kayıt defteri anahtarı değeri ayarlanırsa, araç virüs bulaşma bilgilerini Microsoft'a bildirmez.
Alt anahtar:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

Girdi adı: \DontReportInfectionInformation
Tür: REG_DWORD
Değer verisi: 1


S4. Mart 2005 sürümünde, Mrt.log dosyasındaki veriler kayıp görünüyor. Bu veriler neden çıkarıldı ve bunları almamın yolu var mı?

Y4. Mart 2005 sürümünden başlayarak, Mrt.log dosyası Unicode dosyası olarak yazılmaktadır. Uyumluluk sağlamak için, aracın Mart 2005 sürümü çalıştırıldığında, sistemde dosyanın ANSI sürümü bulunuyorsa, araç bu günlük dosyasının içeriğini %WINDIR%\debug dizininde Mrt.log.old dosyasına kopyalar ve Mrt.log dosyasının yeni bir Unicode sürümünü oluşturur. ANSI sürümü gibi, bu Unicode sürüm de, aracın izleyen her çalışmasının sonuna eklenir.
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
Üste
Anahtar Kelimeler: 
kbinfo KB891716
Üste