文章編號: 891716 - 上次校閱: 2012年5月15日 - 版次: 92.1

在企業環境中部署 Microsoft Windows 惡意軟體移除工具

系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
「Microsoft Windows 惡意軟體移除工具」可供在<適用於>一節所列的作業系統上使用,未列出的作業系統未經測試,因此並不支援。未支援的作業系統包括內嵌作業系統的所有版本。

在此頁中

全部展開 | 全部摺疊

簡介

Microsoft 已經發行「Microsoft Windows 惡意軟體移除工具」,以協助您移除電腦中特定的常見惡意軟體。

回此頁最上方

略過詳細資料並下載工具

如需有關如何下載工具的詳細資訊,請造訪下列 Microsoft 網頁:
http://www.microsoft.com/security/scanner/zh-tw/default.aspx (http://www.microsoft.com/security/scanner/zh-tw/default.aspx)
本文中的資訊只適用於工具的企業部署。我們強烈建議您檢閱下列「Microsoft 知識庫」文件,其中包含有關工具及下載位置的一般資訊。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
890830? (http://support.microsoft.com/kb/890830/zh-tw/ ) Microsoft Windows 惡意軟體移除工具協助移除 Windows 7、Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 電腦中特定的常見惡意軟體。
此工具主要是為了電腦上沒有安裝現有、最新防毒產品的非企業使用者而提供的。不過,企業環境也可以部署此工具,來加強現有的防護,做為深度防禦策略的一部分。如果要在企業環境中部署此工具,您可以使用下列一或多個方法:
  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS) 軟體套件
  • 群組原則電腦的啟動指令碼
  • 群組原則電腦的使用者登入指令碼
如需有關如何透過 Windows Update 和「自動更新」部署該項工具的詳細資訊, 請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
890830? (http://support.microsoft.com/kb/890830/zh-tw/ ) 預設 Microsoft Windows 惡意軟體移除工具協助移除 Windows 7、Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 電腦中 特定的常見惡意軟體
這個工具的目前版本不支援下列部署技術:
  • Windows Update 類別目錄
  • 為遠端電腦執行此工具
  • Software Update Services (SUS)
此外,Microsoft Baseline Security Analyzer (MBSA) 偵測不到工具是否在執行。本文包含有關如何檢查工具的執行作業,以做為部署一部分的資訊。
回此頁最上方

程式碼範例

這裡所提供的指令碼及步驟僅做為範例之用。客戶必須測試這些範例指令碼及案例,並適當地加以修改,才能運用在自己的環境中。您必須根據環境的設定,變更 ServerNameShareName

下列程式碼範例可以執行下列操作:
  • 以無訊息模式執行工具
  • 將記錄檔複製至事先設定的網路共用
  • 以執行工具的電腦名稱及目前使用者的使用者名稱做為記錄檔名稱的前置詞。您必須依照<初始安裝和設定>一節中的指示執行,在共用上設定適當的使用權限。
REM 在此範例中,指令碼名為 RunMRT.cmd。
REM Sleep.exe 公用程式在工具用作 REM 啟動指令碼時,延遲 
工具執行。請參閱<已知問題>一節以取得詳細資訊。
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V4.8.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
注意 在此程式碼範例中,ServerName 是預留的伺服器名稱,而 ShareName 是指預留的共用名稱。
回此頁最上方

初始安裝和設定

本節主要提供給使用啟動指令碼或登入指令碼來部署此工具的系統管理員參考。如果您使用 SMS,可以跳至<部署方法>一節。

如果要設定伺服器及共用,請依照下列步驟執行:
  1. 在成員伺服器上設定共用。然後,將共用命名為 ShareName
  2. 將工具及範例指令碼 RunMRT.cmd 複製至共用。如需詳細資訊,請參閱<程式碼範例>一節。
  3. 設定下列共用使用權限和 NTFS 檔案系統使用權限:
    • 共用使用權限:
      1. 為管理此共用的使用者新增網域使用者帳戶,然後按一下 [完全控制]
      2. 移除 Everyone 群組。
      3. 如果您使用電腦啟動指令碼方法,請授與 Domain Computers 群組「變更」和「讀取」的使用權限。
      4. 如果您使用登入指令碼方法,請授與 Authenticated Users 群組「變更」和「讀取」的使用權限。
    • NTFS 使用權限:
      1. 為管理此共用的使用者新增網域使用者帳戶,然後按一下 [完全控制]
      2. 移除 Everyone 群組 (如果出現在清單中)。

        注意 當您移除 Everyone 群組時,如果收到錯誤訊息,請按一下 [安全性] 索引標籤上的 [進階],然後按一下以清除 [允許從父項繼承權限套用到這個物件] 核取方塊。
      3. 如果您使用電腦啟動指令碼方法,請授與 Domain Computers 群組「讀取 & 執行」、「列出資料夾內容」和「讀取」的使用權限。
      4. 如果您使用登入指令碼方法,請授與 Authenticated Users 群組「讀取 & 執行」、「列出資料夾內容」和「讀取」的使用權限。
  4. 在 ShareName 資料夾下建立一個名為 "Logs" 的資料夾。

    在用戶端電腦上執行工具之後,這個資料夾會是收集最後記錄檔的資料夾。
  5. 如果要在 Logs 資料夾上設定 NTFS 使用權限,請依照下列步驟執行。

    注意 請勿在這個步驟中變更「共用」使用權限。
    1. 為管理此共用的使用者新增網域使用者帳戶,然後按一下 [完全控制]
    2. 如果您使用電腦啟動指令碼方法,請授與 Domain Computers 群組「修改」、「讀取 & 執行」、「列出資料夾內容」、「讀取」和「寫入」的使用權限。
    3. 如果您使用登入指令碼方法,請授與 Authenticated Users 群組「修改」、「讀取 & 執行」、「列出資料夾內容」、「讀取」和「寫入」的使用權限。
回此頁最上方

部署方法

注意 如果要執行這個工具,無論您選擇何種部署選項,都必須擁有 Administrator 或 System 的使用權限。

如何使用 SMS 軟體套件

下列範例提供使用 SMS 2003 的逐步指示,而使用 SMS 2.0 的步驟,則類似這些逐步指示。
  1. 從名稱為 Windows-KB890830-V1.34-ENU.exe /x 的套件解壓縮 Mrt.exe 檔。
  2. 使用 ISMIF32.exe,來建立可以啟動 Mrt.exe 並擷取傳回碼的 .bat 檔。

    下列是範例。
    @echo off
Mrt.exe /q
If errorlevel 13 goto error13
If errorlevel 12 goto error12
Goto end

:error13
Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”
Goto end

:error12
Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”
Goto end

:end
    如需有關 Ismif32.exe 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    268791? (http://support.microsoft.com/kb/268791/zh-tw/ ) 如何由 ISMIF32.exe 檔案產生狀態管理資訊格式 (MIF) 檔會以 SMS 2.0 進行處理
    186415? (http://support.microsoft.com/kb/186415/zh-tw/ ) SMS: Ismif32.exe 狀態 MIF 建立者, 可用的是
  3. 如果要在 SMS 2003 主控台中建立套件,請依照下列步驟執行:
    1. 開啟 [SMS Administrator Console]。
    2. 用滑鼠右鍵按一下 [Packages] 節點,按一下 [New],然後按一下 [Package]

      隨即會顯示 [Package Properties] 對話方塊。
    3. [General] 索引標籤上,為套件命名。
    4. [Data Source] 索引標籤上,按一下以選取 [This package contains source files] 核取方塊。
    5. 按一下 [Set],然後選擇含有工具的來源目錄。
    6. [Distribution Settings] 索引標籤上,將 [Sending priority] 設定為 [High]
    7. [Reporting] 索引標籤上,按一下 [Use these fields for status MIF matching],然後為 [MIF file name] 欄位和 [Name] 欄位指定名稱。

      [Version][Publisher] 為選用欄位。
    8. 按一下 [OK] 以建立套件。
  4. 如果要為套件指定發佈點 (DP),請依照下列步驟執行:
    1. 在 SMS 2003 主控台的 [Packages] 節點底下,找出新的套件。
    2. 展開套件。用滑鼠右鍵按一下 [Distribution Points],指向 [New],然後按一下 [Distribution Points]
    3. 啟動 New Distribution Points 精靈。選取現有的發佈點。
    4. 按一下 [Finish] 結束精靈。
  5. 如果要將先前建立的批次檔加入至新的套件,請依照下列步驟執行:
    1. 在新套件節點底下,按一下 [Programs] 節點。
    2. 用滑鼠右鍵按一下 [Programs],指向 [New],然後按一下 [Program]
    3. 按一下 [General] 索引標籤,然後輸入有效的名稱。
    4. [Command line] 中,按一下 [Browse] 選取您建立用來啟動 Mrt.exe 的批次檔。
    5. [Run] 變更為 [Hidden]。將 [After] 變更為 [No action required]
    6. 按一下 [Requirements] 索引標籤,再按一下 [This program can run only on specified client operating systems]
    7. 按一下?[所有 x86 Windows Server 2003][所有 x86 Windows XP]
    8. 按一下 [Environment] 索引標籤,再按一下 [Program can run] 清單中的 [Whether a user is logged]。將 [Run] 模式設定為 [Run with administrative rights]
    9. 按一下 [OK] 關閉對話方塊。
  6. 如果要建立通知向用戶端告知有關程式的訊息,請依照下列步驟執行:
    1. 用滑鼠右鍵按一下 [Advertisement] 節點,按一下 [New],然後按一下 [Advertisement]
    2. [General] 索引標籤上,輸入通知的名稱。在 [Package] 欄位中,選取您先前建立的套件。在 [Program] 欄位中,選取您先前建立的程式。按一下 [瀏覽] 然後再按一下 [所有系統]?集合,或選取只包含 Microsoft Windows XP 及更新版本的電腦集合。
    3. [Schedule] 索引標籤上,如果您希望程式只執行一次,就保留預設的選項。如果要依照排程執行程式,請指定排程時間間隔。
    4. [Priority] 設定為 [High]
    5. 按一下 [OK] 建立通知。

如何使用群組原則電腦的啟動指令碼

這個方法會要求您在設定指令碼並套用群組原則設定之後,重新啟動用戶端電腦。
  1. 設定共用。如果要執行這項操作,請依照<初始安裝和設定>一節中的步驟執行。
  2. 設定啟動指令碼。如果要執行這項操作,請依照下列步驟執行:
    1. 用滑鼠右鍵按一下 [Active Directory 使用者和電腦] MMC 嵌入式管理單元中的網域名稱,然後按一下 [內容]
    2. 按一下 [群組原則] 索引標籤。
    3. 按一下 [新增] 建立新的群組原則物件 (GPO),並輸入 MRT Deployment 做為原則名稱。
    4. 按一下新的原則,然後按一下 [編輯]
    5. 展開 [電腦設定] 中的 [Windows 設定],然後按一下 [指令碼]
    6. 按兩下 [登入],然後按一下 [新增]

      [新增指令碼] 對話方塊會隨即出現。
    7. [指令碼名稱] 方塊中,輸入 \\ServerName\ShareName\RunMRT.cmd
    8. 按一下 [確定],再按一下 [套用]
  3. 重新啟動屬於此網域的用戶端電腦。

如何使用群組原則電腦的使用者登入指令檔

使用這個方法,必須將登入使用者帳戶設為網域帳戶,且登入使用者帳戶也必須是用戶端電腦上本機系統管理員群組的成員。
  1. 設定共用。如果要執行這項操作,請依照<初始安裝和設定>一節中的步驟執行。
  2. 設定登入指令碼。如果要執行這項操作,請依照下列步驟執行:
    1. 用滑鼠右鍵按一下 [Active Directory 使用者和電腦] MMC 嵌入式管理單元中的網域名稱,然後按一下 [內容]
    2. 按一下 [群組原則] 索引標籤。
    3. 按一下 [新增] 建立新的 GPO,並輸入 MRT Deployment 做為名稱。
    4. 按一下新的原則,然後按一下 [編輯]
    5. 展開 [使用者設定] 中的 [Windows 設定],然後按一下 [指令碼]
    6. 按兩下 [登入],然後按一下 [新增][新增指令碼] 對話方塊會隨即出現。
    7. [指令碼名稱] 方塊中,輸入 \\ServerName\ShareName\RunMRT.cmd
    8. 按一下 [確定],再按一下 [套用]
  3. 先登出,再登入用戶端電腦。
在這個案例中,指令碼及工具將會在登入的使用者內容之下執行。如果該使用者不屬於本機系統管理員群組,或者沒有足夠的使用權限,工具將不會執行也不會傳回適當的傳回碼。 如需有關如何使用啟動指令碼和登入指令碼的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
198642? (http://support.microsoft.com/kb/198642/zh-tw/ ) 在 Windows 2000 登入、 登出、 啟動和關機指令碼概觀
322241? (http://support.microsoft.com/kb/322241/zh-tw/ ) 如何指派 Windows 2000 中的指令碼
回此頁最上方

關於企業部署的其他資訊

如何檢查傳回碼

您可以在部署登入指令碼或部署啟動指令碼中檢查工具的傳回碼,以確認執行的結果。如需有關如何執行這項操作的範例,請參閱<程式碼範例>一節。

下列清單列出有效的傳回碼。
摺疊此表格展開此表格
0=找不到感染
1=作業系統環境錯誤
2=未以系統管理員的身分執行
3=不是受支援的作業系統
4=初始化掃描器時發生錯誤(請下載新的工具)。
5=未使用
6=偵測到至少一個感染。沒有錯誤。
7=偵測到至少一個感染,並且發生錯誤。
8=偵測到並移除至少一個感染,但是必須手動移除,才能完整移除。
9=偵測到並移除至少一個感染,但是必須手動移除,才能完整移除,並且發生錯誤。
10=偵測到並移除至少一個感染,但是必須重新啟動,才能完整移除。
11=偵測到並移除至少一個感染,但是必須重新啟動,才能完整移除,並且發生錯誤。
12=偵測到並移除至少一個感染,但是必須手動移除,再重新啟動,才能完整移除。
13=偵測到並移除至少一個感染,但是必須重新啟動。沒有發生錯誤。

如何剖析記錄檔

惡意軟體移除工具會將執行結果詳細地寫入 %windir%\debug\mrt.log 記錄檔。

注意事項
  • 這個記錄檔僅提供英文版本。
  • 從移除工具 1.2 版 (2005 年 3 月) 開始,本記錄檔使用 Unicode 文字。1.2 版之前,記錄檔使用 ANSI 文字。
  • 記錄檔格式已於 1.2 版變更,我們建議您下載並使用最新版的工具。

    如果此記錄檔已經存在,工具就會附加至現有的檔案中。
  • 您可以使用類似上述範例的命令指令碼,來擷取傳回碼並將檔案收集至網路共用。
  • 由於移除工具 1.2 版已經從 ANSI 轉換為 Unicode,因此這個版本會將 %windir%\debug 資料夾中任何 ANSI 版本的 Mrt.log 檔複製到相同目錄中的 Mrt.log.old。此外,1.2 版還會在同一個目錄中新建 Unicode 版本的 Mrt.log 檔。如同 ANSI 版,此記錄檔將附加至每個月份的發行版本中。
下列範例為已感染 Sasser.A 蠕蟲的電腦中的 Mrt.log 檔: 
Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007
 
Quick Scan Results:---------------- Found virus:Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus:Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus:Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus:Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe
 
Quick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !
 
Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !
 
Results Summary:---------------- Found Win32/Sasser.A.worm and Removed!
 
Return code:6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

下列範例為找不到惡意軟體的記錄檔。
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002
 
Results Summary:---------------- No infection found.
 
Return code:0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

下列是找到錯誤的範例記錄檔。

如需有關工具所引起的警告和錯誤的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
891717? (http://support.microsoft.com/kb/891717/zh-tw/ ) 執行「Microsoft Windows 惡意軟體移除工具」時收到錯誤 
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002
 
Scanning Results:---------------- Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe
 
Removal Results:---------------- Terminating process with pid 1880 ->Sysclean ERROR:Failed to kill process with PID:1880 (Win32 Error Code:0x00000102 (258):The wait operation timed out.)[697] Operation failed !
 
Terminating process with pid 1880 Operation had previously completed.
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry:WinSec Operation succeeded !
 
Terminating process with pid 1880 Operation had previously completed.
 
Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry:WinSec Operation succeeded !
 
Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 
Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.
 

Results Summary:---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted.Found Win32/HLLW.Gaobot.ZF, partially removed.
回此頁最上方

已知問題

已知問題 1

當您使用啟動指令碼執行此工具時,Mrt.log 檔案中可能會記錄類似下列的錯誤訊息:
Error:MemScanGetImagePathFromPid(pid:552) failed (錯誤:MemScanGetImagePathFromPid(PID:552) 失敗)
0x00000005:Access is denied. (拒絕存取)
注意 PID 數字將有所不同。

當處理程序剛啟動或最近曾經停止回應時,會出現這個錯誤訊息。唯一的影響就是 PID 所指定的處理程序未經過掃描。

已知問題 2

在極少數的情況下,如果管理員選擇使用無訊息參數 /q (也叫做無訊息模式) 部署 MSRT,在重新啟動後需要額外清除的情況下,可能無法徹底解決清除受小型感染子集的問題。只在移除某些 Rootkit 變種時發現此問題。
回此頁最上方

FAQ

問 1:當我測試用來部署工具的啟動指令碼或登入指令碼時,並未在先前設定的網路共用中看到所要複製的記錄檔。為什麼?

答 1:這個問題通常是因為使用權限而造成的。例如,執行移除工具的帳戶並未擁有共用的「寫入」使用權限。如果要疑難排解這個問題,請先檢查登錄機碼,確定工具已經執行過,或者,您可以尋找用戶端電腦上是否存有記錄檔。如果工具已順利執行,您可以測試簡單的指令碼,確認在與執行移除工具相同的安全性內容下執行此指令碼時,指令碼可以寫入網路共用。

問 2:如何確認移除工具是否已經在用戶端電腦上執行?

答 2:您可以檢查下列登錄項目的數值資料,確認工具是否已執行。您可以執行這類檢查,做為啟動或登入指令碼的一部分。這個程序可以避免多次執行工具。
子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

項目名稱:版本
每次執行工具時,工具都會將 GUID 記錄至登錄中,表示已經執行過工具。無論執行結果為何,工具都會執行這項操作。下列表格列出每個發行版本相對應的 GUID。
摺疊此表格展開此表格
發行數值資料
2005 年 1 月E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005 年 2 月 805647C6-E5ED-4F07-9E21-327592D40E83
2005 年 3 月F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005 年 4 月D89EBFD1-262C-4990-9927-5185FED1F261
2005 年 5 月08112F4F-11BF-4129-A90A-9C8DD0104005
2005 年 6 月63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005 年 7 月2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005 年 8 月3752278B-57D3-4D44-8F30-A98F957EC3C8
2005 年 8 月 A4066DA74-2DDE-4752-8186-101A7C543C5F
2005 年 9 月33B662A4-4514-4581-8DD7-544021441C89
2005 年 10 月08FFB7EB-5453-4563-A016-7DBC4FED4935
2005 年 11 月1F5BA617-240A-42FF-BE3B-14B88D004E43
2005 年 12 月F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006 年 1 月250985ee-62e6-4560-b141-997fc6377fe2
2006 年 2 月99cb494b-98bf-4814-bff0-cf551ac8e205
2006 年 3 月b5784f56-32ca-4756-a521-ca57816391ca
2006 年 4 月d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006 年 5 月ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006 年 6 月7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006 年 7 月5df61377-4916-440f-b23f-321933b0afd3
2006 年 8 月37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006 年 9 月ac3fa517-20f0-4a42-95ca-6383f04773c8
2006 年 10 月79e385d0-5d28-4743-aeb3-ed101c828abd
2006 年 11 月1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006 年 12 月621498ca-889b-48ef-872b-84b519365c76
2007 年 1 月2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007 年 2 月FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007 年 3 月5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007 年 4 月57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007 年 5 月15D8C246-6090-450f-8261-4BA8CA012D3C
2007 年 6 月234C3382-3B87-41ca-98D1-277C2F5161CC
2007 年 7 月4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007 年 8 月0CEFC17E-9325-4810-A979-159E53529F47
2007 年 9 月A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007 年 10 月52168AD3-127E-416C-B7F6-068D1254C3A4
2007 年 11 月EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007 年 12 月73D860EC-4829-44DD-A064-2E36FCC21D40
2008 年 1 月330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008 年 2 月0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008 年 3 月24A92A45-15B3-412D-9088-A3226987A476
2008 年 4 月F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008 年 5 月0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008 年 6 月0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008 年 7 月BC308029-4E38-4D89-85C0-8A04FC9AD976
2008 年 8 月F3889559-68D7-4AFB-835E-E7A82E4CE818
2008 年 9 月7974CF06-BE58-43D5-B635-974BD92029E2
2008 年 10 月131437DE-87D3-4801-96F0-A2CB7EB98572
2008 年 11 月F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008 年 12 月9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008 年 12 月9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009 年 1 月2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009 年 2 月C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009 年 3 月BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009 年 4 月276F1693-D132-44EF-911B-3327198F838B
2009 年 5 月AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009 年 6 月8BD71447-AAE4-4B46-B652-484001424290
2009 年 7 月F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009 年 8 月91590177-69E5-4651-854D-9C95935867CE
2009 年 9 月B279661B-5861-4315-ABE9-92A3E26C1FF4
2009 年 10 月4C64200A-6786-490B-9A0C-DEF64AA03934
2009 年 11 月78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009 年 12 月A9A7C96D-908E-413C-A540-C43C47941BE4
2010 年 1 月ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010 年 2 月76D836AA-5D94-4374-BCBF-17F825177898
2010 年 3 月076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010 年 4 月D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010 年 5 月18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010 年 6 月308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010 年 7 月A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010 年 8 月E39537F7-D4B8-4042-930C-191A2EF18C73
2010 年 9 月0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010 年 10 月32F1A453-65D6-41F0-A36F-D9837A868534
2010 年 11 月5800D663-13EA-457C-8CFD-632149D0AEDD
2010 年 12 月4E28B496-DD95-4300-82A6-53809E0F9CDA
2011 年 1 月258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011 年 2 月B3458687-D7E4-4068-8A57-3028D15A7408
2011 年 3 月AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011 年 4 月0CB525D5-8593-436C-9EB0-68C6D549994D
2011 年 5 月852F70C7-9C9E-4093-9184-D89D5CE069F0
2011 年 6 月DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011 年 7 月3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011 年 8 月F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011 年 9 月E775644E-B0FF-44FA-9F8B-F731E231B507
2011 年 10 月C0177BCC-8925-431B-AC98-9AC87B8E9699
2011 年 11 月BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
2011 年 12 月79B9D6F6-2990-4C15-8914-7801AD90B4D7
2012 年 1 月634F47CA-D7D7-448E-A7BE-0371D029EB32
2012 年 2 月23B13CB9-1784-4DD3-9504-7E58427307A7
2012 年 3 月84C44DD1-20C8-4542-A1AF-C3BA2A191E25
2012 年 4 月3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
2012 年 5 月D0082A21-13E4-49F7-A31D-7F752F059DE9
問 3:如何停用工具的感染報告元件,使報告不會傳回 Microsoft?

答 3:系統管理員可以藉由新增下列登錄機碼值至電腦,來選擇是否停用工具的感染報告元件。如果已經設定這個登錄機碼值,工具就不會向 Microsoft 回報感染資訊。
子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

項目名稱:\DontReportInfectionInformation
類型:REG_DWORD
數值資料:1


問 4:在 2005 年 3 月份的版本中,Mrt.log 檔案中的資料似乎已經不存在,為什麼要移除這項資料,是否有擷取的方式?

答 4:從 2005 年 3 月份的版本開始,Mrt.log 檔案即編寫為 Unicode 檔案。為確保相容性,執行 2005 年 3 月份版本的工具時,如果系統中仍有 ANSI 版的檔案,工具會將該記錄檔的內容複製到 %WINDIR%\debug 中的 Mrt.log.old,並建立 Unicode 版的新 Mrt.log。就像 ANSI 版一樣,日後執行工具時,都會附加 Unicode 版。
回此頁最上方
關鍵字:?
kbinfo KB891716
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。