文章编号: 891716
Microsoft Windows 恶意软件删除工具适合在“这篇文章的信息适用于:”部分中列出的操作系统上使用。该列表中未包含的操作系统尚未经过测试,因此不受支持。这些不受支持的操作系统包括嵌入式操作系统的所有版本。
展开全部 | 关闭全部

本文内容

简介

Microsoft 已发布 Microsoft Windows 恶意软件删除工具来帮助您从计算机中删除特定的流行恶意软件。

跳过详细信息并下载工具

有关如何下载工具的更多信息,请访问以下 Microsoft 网页:
http://www.microsoft.com/zh-cn/security/pc-security/malware-removal.aspx
本文包含有关该工具的企业部署的特定信息。我们极力建议您阅读下面的 Microsoft 知识库文章。它包含有关该工具及下载位置的一般信息。


该工具主要面向当前未在其计算机上安装最新防病毒产品的非企业用户。不过,也可以在企业环境中部署该工具,以增强现有防护并将其作为深层防御策略的一部分。要在企业环境中部署该工具,可以使用以下一种或多种方法:
  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS) 软件程序包
  • 基于组策略的计算机启动脚本
  • 基于组策略的用户登录脚本
关于如何通过 Windows 有关更新和自动更新的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890830 Microsoft Windows 恶意软件删除工具可帮助从运行受支持的 Windows 版本的计算机中删除特定的流行恶意软件
该工具的当前版本不支持以下部署技术和方法:
  • Windows Update 目录
  • 对远程计算机执行该工具
  • 软件更新服务 (SUS)
此外,Microsoft Baseline Security Analyzer (MBSA) 检测不到该工具的执行情况。本文包括如何验证此工具是否已作为部署的一部分执行的相关信息。

代码示例

这里提供的脚本和步骤仅针对样本和示例。客户必须对这些示例脚本和示例方案进行测试并恰当地进行修改,才能使其适用于他们的环境。必须根据您环境的设置相应地更改 ServerNameShareName

以下代码示例的功能如下:
  • 以静默模式运行该工具
  • 将日志文件复制到预先配置的网络共享中
  • 将使用该工具的计算机名称和当前用户的用户名用作日志文件名的前缀。必须按照初始安装和配置部分中的操作说明在共享上设置合适的权限。
REM 在此示例中,脚本名为 RunMRT.cmd。
REM 当用作启动脚本时,Sleep.exe 实用工具用于延迟工具的执行。 
REM 启动脚本。有关详细信息,请参阅“已知问题”部分。
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.15.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
注意 在此代码示例中,ServerName 是服务器名称的占位符,ShareName 是共享名称的占位符。

初始安装和配置

此部分的预期读者是正在使用启动脚本或登录脚本部署此工具的管理员。如果您正在使用 SMS,则可以继续阅读“部署方法”部分。

要配置服务器和共享,请按照下列步骤操作:
  1. 在成员服务器上设置共享。然后将该共享命名为 ShareName
  2. 将该工具和示例脚本 RunMRT.cmd 复制到该共享中。有关详细信息,请参阅代码示例部分。
  3. 配置以下共享权限和 NTFS 文件系统权限:
    • 共享权限:
      1. 为管理该共享的用户添加域用户帐户,然后单击“完全控制”。
      2. 删除 Everyone 组。
      3. 如果使用计算机启动脚本方法,则应添加具有“更改”和“读取”权限的 Domain Computers 组。
      4. 如果使用登录脚本方法,则应添加具有“更改”和“读取”权限的 Authenticated Users 组。
    • NTFS 权限:
      1. 为管理该共享的用户添加域用户帐户,然后单击“完全控制”。
      2. 如果 Everyone 组位于该列表中,则将其删除。

        注意:如果删除 Everyone 组时收到一条错误消息,则单击“安全”选项卡上的“高级”,然后单击以清除“允许从父系来的继承权限传播到这个对象”复选框。
      3. 如果使用计算机启动脚本方法,则为 Domain Computers 组授予“读取和执行”权限、“列出文件夹内容”权限以及“读取”权限。
      4. 如果使用登录脚本方法,则为 Authenticated Users 组授予“读取和执行”权限、“列出文件夹内容”权限以及“读取”权限。
  4. ShareName 文件夹下,创建名为“Logs”的文件夹。

    当该工具在客户端计算机上运行后,最终的日志文件将收集到此文件夹中。
  5. 要对 Logs 文件夹配置 NTFS 权限,请按照下列步骤操作。

    注意:不得在此步骤中更改共享权限。
    1. 为管理该共享的用户添加域用户帐户,然后单击“完全控制”。
    2. 如果使用计算机启动脚本方法,则为 Domain Computers 组授予“修改”权限、“读取和执行”权限、“列出文件夹内容”权限、“读取”权限以及“写入”权限。
    3. 如果使用登录脚本方法,则为 Authenticated Users 组授予“修改”权限、“读取和执行”权限、“列出文件夹内容”权限、“读取”权限以及“写入”权限。

部署方法

注意若要运行此工具,不管选择的部署选项是什么,都必须有管理员权限或系统权限。

如何使用 SMS 软件包

以下示例提供使用 SMS 2003 的逐步骤操作说明。使用 SMS 2.0 的步骤与这些步骤相似。
  1. 从名为 Windows-KB890830-V1.34-CHS.exe /x 的程序包中提取 Mrt.exe 文件。
  2. 创建 .bat 文件以启动 Mrt.exe,并通过使用 ISMIF32.exe 获取返回代码。

    下面是一个示例。
    @echo off
    Start /wait Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end
    
    :error13
    Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”
    Goto end
    
    :error12
    Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12"
    Goto end
    
    :end
    
    有关 Ismif32.exe 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    268791 如何在 SMS 2.0 中处理 ISMIF32.exe 文件生成的状态管理信息格式 (MIF) 文件
    186415 SMS:状态 MIF 创建程序 Ismif32.exe 已推出
  3. 要在 SMS 2003 控制台中创建程序包,请按照下列步骤操作:
    1. 打开 SMS 管理员控制台。
    2. 右键单击“程序包”节点,单击“新建”,然后单击“程序包”。

      将显示“程序包属性”对话框。
    3. 在“常规”选项卡上,指定程序包的名称。
    4. 在“数据源”选项卡上,单击以选中“此包包含源文件”复选框。
    5. 单击“设置”,然后选择包含该工具的源目录。
    6. 在“分发设置”选项卡上,将“发送优先级”设置为“高”。
    7. 在“报告”选项卡上,单击“将这些字段用于状态 MIF 匹配”,然后为“MIF 文件名”和“名称”字段指定名称。

      “版本”和“发布者”是可选的。
    8. 单击“确定”创建程序包。
  4. 要为程序包指定分发点 (DP),请按照下列步骤操作:
    1. 在 SMS 2003 控制台中,在“程序包”节点下,找到新的程序包。
    2. 展开该程序包。右键单击“分发点”,指向“新建”,然后单击“分发点”。
    3. 启动“新建分发点向导”。选择一个现有分发点。
    4. 单击“完成”以退出向导。
  5. 要将先前创建的批处理文件添加到新的程序包中,请按照下列步骤操作:
    1. 在新的程序包节点下,单击“程序”节点。
    2. 右键单击“程序”,指向“新建”,然后单击“程序”。
    3. 单击“常规”选项卡,然后输入一个有效名称。
    4. 在“命令行”中,单击“浏览”以选择为启动 Mrt.exe 而创建的批处理文件。
    5. 将“运行”更改为“隐藏”。将“之后”更改为“无需任何操作”。
    6. 单击“要求”选项卡,然后单击“该程序只能在指定的客户端操作系统上运行”。
    7. 单击“全部 x86 Windows Server 2003”和“全部 x86 Windows XP”。
    8. 单击“环境”选项卡,在“程序可以运行”列表中,单击“无论用户是否登录”。将“运行”模式设置为“使用管理权限运行”。
    9. 单击“确定”关闭该对话框。
  6. 要创建一个公告以向客户端公布该程序,请按照下列步骤操作:
    1. 右键单击“播发”节点,单击“新建”,然后单击“播发”。
    2. 在“常规”选项卡上,输入播发的名称。在“程序包”字段中,选择以前创建的程序包。然后在“程序”字段中,选择以前创建的程序。单击“浏览”,然后单击“所有系统”集合或选择只包括 Microsoft Windows XP 和更高版本的一组计算机。
    3. 如果只希望程序运行一次,则保留“计划”选项卡上的默认选项。要按计划运行程序,请指定计划间隔。
    4. 将“优先级”设置为“高”。
    5. 单击“确定”以创建播发。

如何使用基于组策略的计算机启动脚本

此方法要求在设置脚本和应用组策略设置之后重新启动客户端计算机。
  1. 设置共享。为此,请按照初始安装和配置一节中的步骤操作。
  2. 安装启动脚本。为此,请按照下列步骤操作:
    1. 在“Active Directory 用户和计算机”MMC 管理单元中,右键单击域名称,然后单击“属性”。
    2. 单击“组策略”选项卡。
    3. 单击“新建”以创建一个新的组策略对象 (GPO),键入 MRT Deployment 作为策略名称。
    4. 单击此新策略,然后单击“编辑”。
    5. 展开“计算机配置”下的“Windows 设置”,然后单击“脚本”。
    6. 双击“登录”,然后单击“添加”。

      将显示“添加脚本”对话框。
    7. 在“脚本名称”框中,键入 \\ServerName\ShareName\RunMRT.cmd
    8. 单击“确定”,然后单击“应用”。
  3. 重新启动是该域成员的客户端计算机。

如何使用基于组策略的用户登录脚本

此方法要求登录用户帐户为域帐户,并且是客户端计算机上的本地管理员组的成员。
  1. 设置共享。为此,请按照初始安装和配置一节中的步骤操作。
  2. 安装登录脚本。为此,请按照下列步骤操作:
    1. 在“Active Directory 用户和计算机”MMC 管理单元中,右键单击域名称,然后单击“属性”。
    2. 单击“组策略”选项卡。
    3. 单击“新建”以创建一个新的 GPO,然后键入 MRT 部署作为名称。
    4. 单击此新策略,然后单击“编辑”。
    5. 展开“用户配置”下的“Windows 设置”,然后单击“脚本”。
    6. 双击“登录”,然后单击“添加”。将显示“添加脚本”对话框。
    7. 在“脚本名称”框中,键入 \\ServerName\ShareName\RunMRT.cmd
    8. 单击“确定”,然后单击“应用”。
  3. 先注销,然后再次登录到客户端计算机。
在本方案中,该脚本和该工具将在登录用户的上下文中运行。如果该用户不属于本地管理员组或者不具有足够的权限,该工具将不会运行或者不会返回相应的返回代码。 有关如何使用启动脚本和登录脚本的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
198642 关于 Windows 2000 中的登录、注销、启动和关机脚本的概述
322241 如何在 Windows 2000 中分配脚本

与企业部署相关的其他信息

如何检查返回代码

可以在部署登录脚本或部署启动脚本中检查此工具的返回代码,以验证执行结果。有关如何执行此操作的示例,请参阅代码示例部分。

下面的列表包含有效的返回代码。
收起该表格展开该表格
0=未发现病毒感染
1=操作系统环境错误
2=没有以管理员身份运行
3=操作系统不受支持
4=初始化扫描程序时出错。(下载该工具的新副本)
5=未使用
6=至少检测到一处病毒感染,但没有错误。
7=至少检测到一处病毒感染,但是出现错误。
8=至少检测到一处病毒感染并已将其删除,但需要手动操作才能完成删除。
9=至少检测到一处病毒感染并已将其删除,但需要手动操作才能完成删除并且出现错误。
10=至少检测到一处病毒感染并已将其删除,但需要重新启动才能完成删除。
11=至少检测到一处病毒感染并已将其删除,但需要重新启动才能完成删除并且出现错误。
12=至少检测到一处病毒感染并已将其删除,但需要手动操作和重新启动才能完成删除。
13=至少检测到一处病毒感染并已将其删除,但需要重新启动。未出现错误。

如何分析日志文件

恶意软件删除工具在 %windir%\debug\mrt.log 日志文件中写入了有关其执行结果的详细信息。

注意
  • 该日志文件当前只有英文版本。
  • 从 2005 年 3 月发布的 1.2 版删除工具开始,该日志文件使用 Unicode 文本格式。在 1.2 版之前,该日志文件使用的是 ANSI 文本格式。
  • 在 1.2 版中,日志文件格式已经更改,我们建议您下载并使用该工具的最新版本。

    如果该日志文件已经存在,该工具会将内容追加到现有文件中。
  • 可以使用与前面的示例类似的命令脚本来获取返回代码并将文件收集到网络共享中。
  • 由于从 ANSI 到 Unicode 格式的转换,1.2 版的删除工具会将 %windir%\debug 文件夹中所有 ANSI 版本的 Mrt.log 文件复制到同一目录下的 Mrt.log.old 中。1.2 版的删除工具还会在同一目录下创建一个 Unicode 版本的新 Mrt.log 文件。与 ANSI 版本一样,每个月该日志文件中都会追加内容。
以下示例是被 MPnTestFile 蠕虫感染的计算机中的 Mrt.log 文件:
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Tue Jul 30 23:34:49 2013


Quick Scan Results:------------------- Threat Detected:Virus:Win32/MPnTestFile.2004 and Removed!Action:Remove, Result:0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq:0x00002267735A46E2

Results Summary:---------------- Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013


Return code:6 (0x6)           


The following is an example log file where no malicious software is found.
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Thu Aug 01 21:15:43 2013


Results Summary:---------------- No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013


Return code:0 (0x0)

下面是一个其中发现了错误的示例日志文件。

有关该工具所导致的警告和错误的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
891717 如何解决在运行 Microsoft Windows 恶意软件删除工具时出现的错误
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0) Started On Fri Aug 02 16:17:49 2013

Scan Results:------------- Threat Detected:Virus:Win32/MPTestFile.2004, partially removed.Operation failed.Action:Clean, Result:0x8007065E.Please use a full antivirus product !! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq:0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z

Results Summary:---------------- Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013


Return code:7 (0x7)

已知问题

已知问题 1

使用启动脚本运行此工具时,可能在 Mrt.log 文件中记录类似以下错误消息的错误消息:
错误:MemScanGetImagePathFromPid(pid:552) failed.
0x00000005:Access is denied.
注意:Pid 号将有所不同。

此错误消息会在进程刚刚启动或进程刚刚停止时出现。唯一的影响是不扫描 Pid 指定的进程。

已知问题 2

在某些极少数情况下,如果管理员选用静默开关 /q(又称为静默模式)来部署 MSRT,则在重新启动后需要进一步清理的情况下,可能无法完全清理感染的少部分病毒。仅在删除某些 rootkit 变种时,才会遇到此问题。

常见问题

问题 1:当我测试用来部署该工具的启动或登录脚本时,没有看到日志文件被复制到我所设置的网络共享中。为什么?

解答 1:这通常是由权限问题引起的。例如,运行删除工具的帐户对共享没有“写入”权限。要解决此问题,请首先检查注册表项,以确保该工具已经运行。也可检查客户端计算机上是否存在日志文件。如果该工具已成功运行,则可以对一个简单脚本进行测试,并确保当该脚本与删除工具在同一安全上下文中运行时,该脚本可以写入网络共享。

问题 2:如何验证删除工具是否已在客户端计算机上运行?

解答 2:可以检查以下注册表项的数值数据以验证该工具的执行情况。可以将此类检查作为启动脚本或登录脚本的一部分来执行。此过程阻止该工具多次运行。
子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

条目名称:Version
每次此工具运行时,工具将在注册表中记录 GUID 以指示它已被执行。不管执行的结果如何,都会进行此操作。下表列出了各个版本所对应的 GUID。
收起该表格展开该表格
版本数值数据
2005 年 1 月E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005 年 2 月 805647C6-E5ED-4F07-9E21-327592D40E83
2005 年 3 月F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005 年 4 月D89EBFD1-262C-4990-9927-5185FED1F261
2005 年 5 月08112F4F-11BF-4129-A90A-9C8DD0104005
2005 年 6 月63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005 年 7 月2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005 年 8 月3752278B-57D3-4D44-8F30-A98F957EC3C8
2005 年 8 月 A4066DA74-2DDE-4752-8186-101A7C543C5F
2005 年 9 月33B662A4-4514-4581-8DD7-544021441C89
2005 年 10 月08FFB7EB-5453-4563-A016-7DBC4FED4935
2005 年 11 月1F5BA617-240A-42FF-BE3B-14B88D004E43
2005 年 12 月F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006 年 1 月250985ee-62e6-4560-b141-997fc6377fe2
2006 年 2 月99cb494b-98bf-4814-bff0-cf551ac8e205
2006 年 3 月b5784f56-32ca-4756-a521-ca57816391ca
2006 年 4 月d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006 年 5 月ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006 年 6 月7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006 年 7 月5df61377-4916-440f-b23f-321933b0afd3
2006 年 8 月37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006 年 9 月ac3fa517-20f0-4a42-95ca-6383f04773c8
2006 年 10 月79e385d0-5d28-4743-aeb3-ed101c828abd
2006 年 11 月1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006 年 12 月621498ca-889b-48ef-872b-84b519365c76
2007 年 1 月2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007 年 2 月FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007 年 3 月5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007 年 4 月57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007 年 5 月15D8C246-6090-450f-8261-4BA8CA012D3C
2007 年 6 月234C3382-3B87-41ca-98D1-277C2F5161CC
2007 年 7 月4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007 年 8 月0CEFC17E-9325-4810-A979-159E53529F47
2007 年 9 月A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007 年 10 月52168AD3-127E-416C-B7F6-068D1254C3A4
2007 年 11 月EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007 年 12 月73D860EC-4829-44DD-A064-2E36FCC21D40
2008 年 1 月330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008 年 2 月0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008 年 3 月24A92A45-15B3-412D-9088-A3226987A476
2008 年 4 月F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008 年 5 月0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008 年 6 月0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008 年 7 月BC308029-4E38-4D89-85C0-8A04FC9AD976
2008 年 8 月F3889559-68D7-4AFB-835E-E7A82E4CE818
2008 年 9 月7974CF06-BE58-43D5-B635-974BD92029E2
2008 年 10 月131437DE-87D3-4801-96F0-A2CB7EB98572
2008 年 11 月F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008 年 12 月9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008 年 12 月9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009 年 1 月2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009 年 2 月C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009 年 3 月BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009 年 4 月276F1693-D132-44EF-911B-3327198F838B
2009 年 5 月AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009 年 6 月8BD71447-AAE4-4B46-B652-484001424290
2009 年 7 月F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009 年 8 月91590177-69E5-4651-854D-9C95935867CE
2009 年 9 月B279661B-5861-4315-ABE9-92A3E26C1FF4
2009 年 10 月4C64200A-6786-490B-9A0C-DEF64AA03934
2009 年 11 月78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009 年 12 月A9A7C96D-908E-413C-A540-C43C47941BE4
2010 年 1 月ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010 年 2 月76D836AA-5D94-4374-BCBF-17F825177898
2010 年 3 月076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010 年 4 月D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010 年 5 月18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010 年 6 月308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010 年 7 月A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010 年 8 月E39537F7-D4B8-4042-930C-191A2EF18C73
2010 年 9 月0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010 年 10 月32F1A453-65D6-41F0-A36F-D9837A868534
2010 年 11 月5800D663-13EA-457C-8CFD-632149D0AEDD
2010 年 12 月4E28B496-DD95-4300-82A6-53809E0F9CDA
2011 年 1 月258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011 年 2 月B3458687-D7E4-4068-8A57-3028D15A7408
2011 年 3 月AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011 年 4 月0CB525D5-8593-436C-9EB0-68C6D549994D
2011 年 5 月852F70C7-9C9E-4093-9184-D89D5CE069F0
2011 年 6 月DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011 年 7 月3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011 年 8 月F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011 年 9 月E775644E-B0FF-44FA-9F8B-F731E231B507
2011 年 10 月C0177BCC-8925-431B-AC98-9AC87B8E9699
2011 年 11 月BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
2011 年 12 月79B9D6F6-2990-4C15-8914-7801AD90B4D7
2012 年 1 月634F47CA-D7D7-448E-A7BE-0371D029EB32
2012 年 2 月23B13CB9-1784-4DD3-9504-7E58427307A7
2012 年 3 月84C44DD1-20C8-4542-A1AF-C3BA2A191E25
2012 年 4 月3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
2012 年 5 月D0082A21-13E4-49F7-A31D-7F752F059DE9
2012 年 6 月4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
2012 年 7 月3E9B6E28-8A74-4432-AD2A-46133BDED728
2012 年 8 月C1156343-36C9-44FB-BED9-75151586227B
2012 年 9 月02A84536-D000-45FF-B71E-9203EFD2FE04
2012 年 10 月8C1ACB58-FEE7-4FF0-972C-A09A058667F8
2012 年 11 月7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
2012 年 12 月AD64315C-1421-4A96-89F4-464124776078
2013 年 1 月A769BB72-28FC-43C7-BA14-2E44725FED20
2013 年 2 月ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
2013 年 3 月147152D2-DFFC-4181-A837-11CB9211D091
2013 年 4 月7A6917B5-082B-48BA-9DFC-9B7034906FDC
2013 月 5 月3DAA6951-E853-47E4-B288-257DCDE1A45A
2013 年 6 月4A25C1F5-EA3D-4840-8E14-692DD6A57508
2013 年 7 月9326E352-E4F2-4BF7-AF54-3C06425F28A6
2013 年 8 月B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8
2013 年 9 月462BE659-C07A-433A-874F-2362F01E07EA
2013 年 10 月21063288-61F8-4060-9629-9DBDD77E3242
2013 年 11 月BA6D0F21-C17B-418A-8ADD-B18289A02461
2013 年 12 月AFAFB7C5-798B-453D-891C-6765E4545CCC
2014 年 1 月7BC20D37-A4C7-4B84-BA08-8EC32EBF781C
2014 年 2 月FC5CF920-B37A-457B-9AB9-36ECC218A003
2014 年 3 月?254C09FA-7763-4C39-8241-76517EF78744
2014 年 4 月54788934-6031-4F7A-ACED-5D055175AF71
2014 月 5 月91EFE48B-7F85-4A74-9F33-26952DA55C80
2014 年 6 月07C5D15E-5547-4A58-A94D-5642040F60A2
2014 年?7 月43E0374E-D98E-4266-AB02-AE415EC8E119
2014 年?8 月53B5DBC4-54C7-46E4-B056-C6F17947DBDC
问题 3:如何禁用该工具的感染报告组件,以便不将报告发送回 Microsoft?

解答 3:管理员可以选择通过向计算机中添加以下注册表项值来禁用该工具的感染报告组件。如果已设置此注册表项值,该工具不会向 Microsoft 报告感染信息。
子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

项名称:\DontReportInfectionInformation
类型:REG_DWORD
数值数据:1


问题 4:在 2005 年 3 月发行的版本中,Mrt.log 文件中的数据似乎已丢失。这些数据为何被删除?有没有办法恢复它?

解答 4:从 2005 年 3 月发行的版本开始,Mrt.log 文件以 Unicode 文件形式写入。为了确保兼容性,当该工具的 2005 年 3 月版处于运行状态时,如果系统上存在该文件的 ANSI 版本,该工具会将此日志的内容复制到 %WINDIR%\debug 下的 Mrt.log.old 中,并创建一个 Unicode 版本的新 Mrt.log。与 ANSI 版本一样,以后每次连续执行该工具时,都会向该 Unicode 版本中追加内容。

属性

文章编号: 891716 - 最后修改: 2014年8月12日 - 修订: 119.0
关键字:?
kbinfo KB891716
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com