Implementar la Herramienta de eliminación de software malintencionado de Microsoft en un entorno empresarial

Se aplica a: Windows 10Windows 7 Home BasicWindows 7 Home Premium

La Herramienta de eliminación de software malintencionado está pensada para su uso con los sistemas operativos enumerados en la sección "La información de este artículo se refiere a". Los sistemas operativos no incluidos en la lista no se han probado y, por tanto, no reciben soporte técnico. Estos sistemas operativos no admitidos incluyen todas las versiones y ediciones de sistemas operativos incrustados.

Introducción


Por lo general, Microsoft publica la Herramienta de eliminación de software malintencionado (MSRT) cada mes como parte de Windows Update o como herramienta independiente. Usa esta herramienta para buscar y quitar amenazas prevalentes concretas y revertir los daños provocados (consulte las amenazas cubiertas). Para una detección y eliminación completas de malware, considere el uso de Microsoft Safety Scanner.

Esta herramienta se complementa con soluciones antimalware existentes y se puede usar en la mayoría de las versiones más recientes de Windows (consulte la sección Propiedades).

La información que se incluye en este artículo es específica de la implementación empresarial de la herramienta. Para obtener más información sobre la herramienta, recomendamos que consulte el siguiente artículo de Knowledge Base:

Descargar la herramienta


La herramienta de eliminación de software malintencionado se puede descargar manualmente del Centro de descarga de Microsoft. Los archivos siguientes pueden descargarse desde el Centro de descarga de Microsoft:

Para sistemas basados en x86 de 32 bits:


Para sistemas basados en x64 de 64 bits:

Información general de implementación


También se puede implementar en un entorno empresarial para mejorar la protección existente y como parte de una estrategia de defensa en profundidad. Para implementar la herramienta en un entorno empresarial, puede utilizar uno o varios de los métodos siguientes:

  • Servicios de actualización de Windows Server
  • Paquete de software Microsoft Systems Management Software (SMS)
  • Script de inicio del equipo basado en directivas de grupo
  • Script de inicio de sesión de usuario basada en directivas de grupo

La versión actual de esta herramienta no admite las siguientes técnicas y tecnologías de implementación:

  • Catálogo de Windows Update
  • Ejecución de la herramienta en un equipo remoto
  • Software Update Services (SUS)

Además, Microsoft Baseline Security Analyzer (MBSA) no detecta la ejecución de la herramienta. Este artículo incluye información acerca de cómo comprobar la ejecución de la herramienta como parte de la implementación.

Código de ejemplo


El script y los pasos que se proporcionan aquí sólo pretenden ser ejemplos. Los clientes deben probar estos scripts y situaciones de ejemplo, y modificarlos como corresponda para que funcionen en su entorno. Debe cambiar nombreDeServidor y nombreDeRecursoCompartido de acuerdo con la configuración de su entorno.

Este código de ejemplo hace lo siguiente:

  • Ejecuta la herramienta en modo silencioso
  • Copia el archivo de registro a un recurso compartido de red preconfigurado
  • Agrega como prefijo al nombre del archivo de registro el nombre del equipo desde el que se ejecutó la herramienta y el nombre del usuario actual.

    Nota: Debe configurar los permisos adecuados para el recurso compartido según las instrucciones de la sección Instalación y configuración iniciales.
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.83.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Nota: En este código de ejemplo, nombreDeServidor es un marcador de posición para el nombre del servidor y nombreDeRecursoCompartido es un marcador de posición para el nombre del recurso compartido.

Instalación y configuración iniciales


Esta sección está destinada a los administradores que utilizan un script de inicio del equipo o de inicio de sesión para implementar esta herramienta. Si utiliza SMS, puede continuar con la sección "Métodos de implementación".

Para configurar el servidor y el recurso compartido, siga estos pasos:

  1. Configure un recurso compartido en un servidor miembro. A continuación, asigne al recurso compartido el nombre
    nombreDeRecursoCompartido.
  2. Copie la herramienta y el script de ejemplo, RunMRT.cmd, al recurso compartido. Consulte la sección Código de ejemplo para ver los detalles.
  3. Configure los siguientes permisos de recurso compartido y de sistema de archivos NTFS:
    • Permisos de recurso compartido:
      1. Agregue la cuenta de usuario de dominio del usuario que administra este recurso compartido y haga clic en Control total.

      2. Quite el grupo Todos.

      3. Si usa el método de script de inicio del equipo, agregue el grupo Equipos del dominio con los permisos Cambiar y Leer.

      4. Si utiliza el método de script de inicio de sesión, agregue el grupo Usuarios autenticados con los permisos Cambiar y Leer.

    • Permisos NTFS:
      1. Agregue la cuenta de usuario de dominio del usuario que administra este recurso compartido y haga clic en Control total.
      2. Quite el grupo Todos si figura en la lista.

        Nota: Si recibe un mensaje de error cuando quita el grupo Todos, haga clic en Opciones avanzadas en la ficha Seguridad y, a continuación, haga clic para desactivar la casilla Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto.
      3. Si utiliza el método de script de inicio del equipo, otorgue los permisos Leer y ejecutar, Mostrar el contenido de la carpeta y Leer al grupo Equipos del dominio.
      4. Si utiliza el método de script de inicio de sesión, otorgue los permisos Leer y ejecutar, Mostrar el contenido de la carpeta y Leer al grupo Usuarios autenticados.
  4. En la carpeta nombreDeRecursoCompartido, cree una carpeta denominada "Registros".

    Es la carpeta donde se recopilarán los archivos de registro finales una vez que se ejecute la herramienta en los equipos cliente.
  5. Para configurar los permisos NTFS en la carpeta Registros, siga estos pasos.

    Nota: No cambie los permisos de recurso compartido en este paso.
    1. Agregue la cuenta de usuario de dominio del usuario que administra este recurso compartido y haga clic en Control total.
    2. Si utiliza el método de script de inicio del equipo, otorgue los permisos Modificar, "Leer y ejecutar", Mostrar el contenido de la carpeta, Leer y Escribir al grupo Equipos del dominio.
    3. Si utiliza el método de script de inicio del equipo, otorgue los permisos Modificar, "Leer y ejecutar", Mostrar el contenido de la carpeta, Leer y Escribir al grupo Usuarios autenticados.

Métodos de implementación


Nota: Para ejecutar esta herramienta, debe tener permisos de Administrador o Sistema, independientemente de la opción de implementación que elija.

Cómo usar el paquete de software SMS

En el siguiente ejemplo se proporcionan instrucciones paso a paso para el uso de SMS 2003. Los pasos para usar SMS 2.0 son parecidos a estos.

  1. Extraiga el archivo Mrt.exe del paquete denominado Windows-KB890830-V1.34-ENU.exe /x.
  2. Cree un archivo .bat para iniciar Mrt.exe y capturar el código de retorno mediante ISMIF32.exe.

    A continuación puede ver un ejemplo.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”Goto end:end
    Para obtener más información acerca de Ismif32.exe, consulte el artículo siguiente en Microsoft Knowledge Base:
    186415 Ya está disponible la herramienta Status MIF Creator (Ismif32.exe)
  3. Para crear un paquete en la consola de SMS 2003, siga estos pasos:
    1. Abra la Consola de administrador de SMS.
    2. Haga clic con el botón derecho en el nodo Paquetes, seleccione
      Nuevo y, a continuación, haga clic en Paquete.

      Se
      mostrará el cuadro de diálogo Propiedades del paquete.
    3. En la pestaña General, asigne un nombre al paquete.
    4. En la pestaña Origen de datos, active la casilla Este paquete contiene archivos de código fuente.
    5. Haga clic en Establecer y, a continuación, elija el directorio de origen que contiene la herramienta.
    6. En la pestaña Configuración de distribución, establezca Prioridad de envío en Alta.
    7. En la pestaña Informes, haga clic en Usar estos campos para la coincidencia con MIF de estado y especifique un nombre para los campos Nombre de archivo MIF y
      Nombre.

      Los campos Versión y Editor son opcionales.
    8. Haga clic en Aceptar para crear el paquete.
  4. Para especificar un Punto de distribución para el paquete, siga estos pasos:
    1. En la consola de SMS 2003, busque el paquete nuevo bajo el nodo Paquetes.
    2. Expanda el paquete. Haga clic con el botón derecho en Puntos de distribución, seleccione Nuevo y, a continuación, haga clic en Puntos de distribución.
    3. Inicie el Asistente para nuevos puntos de distribución. Seleccione un punto de distribución existente.
    4. Haga clic en Finalizar para salir del asistente.
  5. Para agregar al nuevo paquete el archivo por lotes creado anteriormente, siga estos pasos:
    1. En el nodo del nuevo paquete, haga clic para seleccionar el nodo Programas.
    2. Haga clic con el botón derecho en Programas, seleccione
      Nuevo y, a continuación, haga clic en Programa.
    3. Haga clic en la pestaña General y escriba un nombre válido.
    4. En la Línea de comandos, haga clic en
      Examinar para seleccionar el archivo por lotes que creó para iniciar Mrt.exe.
    5. Cambie la opción Ejecutar a
      Oculto. Cambie la opción Después de a No se requiere ninguna acción.
    6. Haga clic en la pestaña Requisitos y active la opción Este programa solo se puede ejecutar en sistemas operativos cliente especificados.
    7. Haga clic en Todo Windows XP x86.
    8. Haga clic en la pestaña Entorno y en
      Haya iniciado sesión el usuario o no en la lista El programa se puede ejecutar. Establezca el modo Ejecutar en Ejecutar con derechos administrativos.
    9. Haga clic en Aceptar para cerrar el cuadro de diálogo.
  6. Para crear un anuncio del programa a los clientes, siga estos pasos:
    1. Haga clic con el botón derecho en el nodo Anuncio, seleccione Nuevo y haga clic en
      Anuncio.
    2. En la pestaña General, escriba el nombre del anuncio. En el campo Paquete, seleccione el paquete que creó anteriormente. En el campo Programa, seleccione el programa que creó anteriormente. Haga clic en Examinar y luego en la colección Todo el sistema, o seleccione una colección de equipos que solo incluya Windows Vista y versiones posteriores.
    3. En la pestaña Programación, deje las opciones predeterminadas si desea que el programa se ejecute solo una vez. Para ejecutar el programa según una programación, asigne un intervalo de programación.
    4. Establezca Prioridad en Alta.
    5. Haga clic en Aceptar para crear el anuncio.

Cómo usar un script de inicio del equipo basado en directivas de grupo

Este método requiere reiniciar el equipo cliente después de configurar el script y aplicar la configuración de Directiva de grupo.

  1. Configure los recursos compartidos. Para ello, siga los pasos de la sección
    Instalación y configuración iniciales.
  2. Configure el script de inicio. Para ello, siga estos pasos:
     
    1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botón derecho en el nombre de dominio y, a continuación, haga clic en
      Propiedades.
    2. Haga clic en la pestaña Directiva de grupo.
    3. Haga clic en Nuevo para crear un nuevo objeto de directiva de grupo (GPO) y escriba Implementación de MRT como nombre de la directiva.
    4. Haga clic en la nueva directiva y luego en Editar.
    5. Expanda Configuración de Windows en Configuración del equipo y haga clic en Scripts.
    6. Haga doble clic en Inicio de sesión y luego en Agregar.

      Se mostrará el cuadro de diálogo Agregar un script.
    7. En el cuadro Nombre del script, escriba
      \\nombreDeServidor\nombreDeRecursoCompartido\RunMRT.cmd.
    8. Haga clic en Aceptar y luego en Aplicar.
  3. Reinicie los equipos cliente que sean miembros de este dominio.

Cómo usar un script de inicio de sesión del usuario basado en directivas de grupo

Este método requiere que la cuenta de inicio de sesión de usuario sea una cuenta de dominio y miembro del grupo local Administradores en el equipo cliente.

  1. Configure los recursos compartidos. Para ello, siga los pasos de la sección
    Instalación y configuración iniciales.
  2. Configure el script de inicio de sesión. Para ello, siga estos pasos:
    1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botón derecho en el nombre de dominio y, a continuación, haga clic en
      Propiedades.
    2. Haga clic en la pestaña Directiva de grupo.
    3. Haga clic en Nuevo para crear un nuevo GPO y escriba Implementación de MRT como nombre.
    4. Haga clic en la nueva directiva y luego en
      Editar.
    5. Expanda Configuración de Windows en Configuración de usuario y haga clic en Scripts.
    6. Haga doble clic en Inicio de sesión y luego en Agregar. Se mostrará el cuadro de diálogo Agregar un script.
    7. En el cuadro Nombre del script, escriba
      \\nombreDeServidor\nombreDeRecursoCompartido\RunMRT.cmd.
    8. Haga clic en Aceptar y luego en Aplicar.
  3. Cierre la sesión y vuelva a iniciarla en los equipos cliente.

En esta situación, el script y la herramienta se ejecutarán bajo el contexto del usuario que inició sesión. Si este usuario no pertenece al grupo local Administradores o no tiene permisos suficientes, la herramienta no se ejecutará ni devolverá el código de retorno apropiado. Para obtener más información acerca de cómo usar los scripts de inicio del equipo e inicio de sesión, vaya al artículo siguiente en Microsoft Knowledge Base:

Información adicional que es importante para la implementación empresarial


Cómo examinar los códigos de retorno

Puede examinar el código de retorno de la herramienta en el script de inicio de sesión o de inicio del equipo de la implementación para comprobar los resultados de la ejecución. Consulte la sección Código de ejemplo para ver un ejemplo de cómo hacerlo.

La lista siguiente contiene los códigos de retorno válidos.

0 = No se encontró ninguna infección.
1 = Error de entorno del sistema operativo.
2 = No se ejecuta como Administrador.
3 = El sistema operativo no es compatible.
4 = Error de inicialización del análisis. (Descargue una nueva copia de la herramienta)
5 = No utilizado.
6 = Detectada al menos una infección. No han ocurrido errores.
7 = Se ha detectado al menos una infección pero se encontraron errores.
8 = Se ha detectado y quitado al menos una infección, pero se requieren pasos manuales para completar la eliminación.
9 = Se ha detectado y quitado al menos una infección, pero se requieren pasos manuales para completar la eliminación y se han encontrado errores.
10 = Se ha detectado y quitado al menos una infección, pero se requiere un reinicio para completar la eliminación.
11 = Se ha detectado y quitado al menos una infección, pero se requiere un reinicio para completar la eliminación y se han encontrado errores.
12 = Se ha detectado y quitado al menos una infección, pero se requieren pasos manuales y un reinicio para completar la eliminación.
13 = Se ha detectado y quitado al menos una infección, pero se requiere reiniciar el equipo. No se encontraron errores.

Cómo analizar el archivo de registro

La Herramienta de eliminación de software malintencionado escribe información acerca del resultado de su ejecución en el archivo de registro %windir%\debug\mrt.log.

Notas

  • Este archivo de registro solo está disponible en inglés.
  • A partir de la versión 1.2 de la herramienta de eliminación (marzo de 2005), este archivo de registro utiliza texto Unicode. Antes de la versión 1.2, el archivo de registro utilizaba texto ANSI.
  • El formato del archivo de registro ha cambiado con la versión 1.2. Se recomienda descargar y utilizar la versión más reciente de la herramienta.

    Si el archivo de registro ya existe, la herramienta anexará la información al archivo existente.
  • Puede utilizar un script similar al ejemplo anterior para capturar el código de retorno y recopilar los archivos en un recurso compartido de red.
  • Debido al cambio de ANSI a Unicode, la versión 1.2 de la herramienta de eliminación copiará las versiones ANSI del archivo Mrt.log de la carpeta %windir%\debug a Mrt.log.old en el mismo directorio. La versión 1.2 también creará una nueva versión Unicode del archivo Mrt.log en ese mismo directorio. Al igual que en la versión ANSI, este archivo de registro se anexará al lanzamiento de cada mes.

El ejemplo siguiente es un archivo Mrt.log proveniente de un equipo infectado con el gusano MPnTestFile:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  


El siguiente es un archivo de registro de ejemplo de un análisis en el que no se encontró software malintencionado.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 


Lo siguiente es un archivo de registro de ejemplo de un análisis en el que se encontraron errores.


Para obtener más información acerca de las advertencias y los errores que muestra la herramienta, vaya al artículo siguiente en Microsoft Knowledge Base:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Problemas conocidos


Problema conocido 1

Al ejecutar la herramienta mediante un script de inicio del equipo, es posible que mensajes de error similares a los siguientes se anoten en el archivo Mrt.log:
 

Error: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Acceso denegado.


Nota
: el número de PID variará.

Este mensaje de error se produce cuando un proceso se está iniciando o se ha detenido recientemente. El único efecto es que el proceso designado por el PID no se ha analizado.

Problema conocido 2

En algunas ocasiones excepcionales, si el administrador elige implementar la herramienta MSRT con el modificador /q quiet (conocido también como modo silencioso), puede que no se resuelva completamente la limpieza para un pequeño subconjunto de infecciones en situaciones en las que se requiere un procedimiento de limpieza adicional tras reiniciar. Este problema solamente se ha observado en la eliminación de determinadas variantes de rootkit.

Preguntas más frecuentes


P1. Cuando pruebo el script de inicio del equipo o de inicio de sesión para implementar la herramienta, parece que los archivos de registro no se copian al recurso compartido de red que configuré. ¿Por qué?

R1. Esto suele deberse a problemas con los permisos. Por ejemplo, la cuenta con la que se ejecuta la herramienta de eliminación no tiene permiso de escritura en el recurso compartido. Para solucionar este problema, compruebe la clave del Registro para asegurarse de que la herramienta se ha ejecutado. Opcionalmente, puede observar si el archivo de registro está presente en el equipo cliente. Si la herramienta se ejecutó correctamente, puede probar un script sencillo y asegurarse de que puede escribir en el recurso compartido de red cuando se ejecuta en el mismo contexto de seguridad en el que se ejecutó la herramienta.

P2. ¿Cómo puedo comprobar que la herramienta de eliminación se ha ejecutado en un equipo cliente?

R2. Examine la información del valor correspondiente a la siguiente entrada del Registro para comprobar la ejecución de la herramienta. Puede implementar es examen como parte de un script de inicio del equipo o de inicio de sesión. Este proceso evitará que la herramienta se ejecute varias veces.

Subkey:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Nombre de la entrada:
Versión

Cada vez que se ejecuta la herramienta, la herramienta registra un GUID en el Registro para indicar que se ha ejecutado. Este comportamiento se produce independientemente del resultado de la ejecución. En la tabla siguiente se muestra el GUID correspondiente a cada versión.

P3. ¿Cómo puedo deshabilitar el componente de informe de infecciones de la herramienta para que el informe no se envíe a Microsoft?

R3. Un administrador puede optar por deshabilitar el componente de informe de infecciones de la herramienta si agrega el siguiente valor de clave del Registro a los equipos. Si este valor de clave del Registro está establecido, la herramienta no enviará la información de infecciones a Microsoft.

Subclave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Nombre de la entrada: \DontReportInfectionInformation
Tipo: REG_DWORD
Información del valor: 1

P4. En la versión de marzo de 2005, los datos del archivo Mrt.log parecen haberse perdido. ¿Por qué se quitan estos datos? ¿Existe alguna manera de recuperarlos?

R4. Desde la versión de marzo de 2005, Mrt.log se escribe como un archivo Unicode. Para garantizar la compatibilidad, cuando se ejecuta la versión de marzo de 2005 de la herramienta, si hay una versión ANSI del archivo en el sistema, la herramienta copiará el contenido de ese registro a Mrt.log.old en %WINDIR%\debug y creará una nueva versión Unicode de Mrt.log. Al igual que en la versión ANSI, esta versión Unicode anexará datos con cada ejecución sucesiva de la herramienta.