Déployer l’outil de suppression de logiciels malveillants Windows dans un environnement d’entreprise

S’applique à : Windows 10Windows 7 Home BasicWindows 7 Home Premium

L’outil de suppression de logiciels malveillants Windows est conçu pour être utilisé avec les systèmes d’exploitation répertoriés dans la liste des produits concernés par cet article. Les systèmes d'exploitation qui ne figurent pas dans cette liste n'ont pas été testés et ne sont par conséquent pas pris en charge. Les systèmes d'exploitation qui ne sont pas pris en charge comprennent toutes les versions et toutes les éditions de systèmes d'exploitation incorporés.

Introduction


Microsoft publie généralement l’outil de suppression de logiciels malveillants (MSRT) une fois par mois dans le cadre de Windows Update ou en tant qu’outil autonome. Utilisez cet outil pour rechercher et supprimer des menaces spécifiques et répandues et annuler les modifications qu’elles ont apportées (voir les menaces couvertes). Pour assurer une détection et une suppression complètes des programmes malveillants, pensez à utiliser le Scanner de sécurité Microsoft.

Cet outil fonctionne de manière complémentaire aux solutions de protection contre les programmes malveillants et peut être utilisé sur la plupart des versions actuelles de Windows (voir la section Propriétés).

Les informations contenues dans cet article sont spécifiques au déploiement de l’outil en entreprise. Pour plus d’informations sur cet outil, nous vous recommandons de consulter l’article suivant de la Base de connaissances :

Téléchargement de l’outil


Vous pouvez télécharger l’outil MSRT manuellement à partir du Centre de téléchargement Microsoft. Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :

Pour les systèmes x86 32 bits :


Pour les systèmes x64 64 bits :

Vue d’ensemble du déploiement


Il peut être déployé dans un environnement d'entreprise afin d'améliorer la protection existante et dans le cadre d'une stratégie de défense en profondeur. Vous pouvez déployer l'outil dans un environnement d'entreprise en appliquant une ou plusieurs des méthodes suivantes :

  • Windows Server Update Services
  • Package logiciel Microsoft Systems Management Software (SMS)
  • Script de démarrage d’ordinateur basé sur la stratégie de groupe
  • Script d’ouverture de session utilisateur basé sur la stratégie de groupe

La version actuelle de l'outil ne prend pas en charge les technologies et les techniques de déploiement suivantes :

  • Catalogue Windows Update ;
  • exécution de l'outil sur un ordinateur distant ;
  • Software Update Services (SUS).

En outre, Microsoft Baseline Security Analyzer (MBSA) ne détecte pas l'exécution de l'outil. Cet article contient des informations sur la façon dont vous pouvez vérifier l'exécution de l'outil dans le cadre du déploiement.

Exemple de code


Le script et les étapes fournis ici constituent des exemples. Les utilisateurs doivent tester ces exemples de script et de scénario et les modifier en fonction de leur environnement. Vous devrez modifier les éléments ServerName et ShareName en fonction de la configuration de votre environnement.

L'exemple de code suivant effectue les opérations suivantes :

  • exécution de l'outil en mode silencieux ;
  • copie du fichier journal sur un partage réseau préconfiguré ;
  • ajout du nom de l'utilisateur actuel et du nom de l'ordinateur sur lequel l'outil est exécuté au nom du fichier journal, en guise de préfixe.

    Remarque Vous devez définir des autorisations appropriées sur le partage conformément aux instructions de la section Installation et configuration initiales.
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.83.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Remarque Dans cet exemple de code, ServerName est un emplacement réservé correspondant au nom de votre serveur et ShareName, au nom de votre partage.

Installation et configuration initiales


Cette section est destinée aux administrateurs qui utilisent un script de démarrage ou d'ouverture de session pour déployer l'outil. Si vous utilisez SMS, vous pouvez passer à la section « Méthodes de déploiement ».

Pour configurer le serveur et le partage, procédez comme suit :

  1. Configurez un partage sur un serveur membre. Nommez ce partage
    ShareName.
  2. Copiez l'outil et l'exemple de code, RunMRT.cmd, sur le partage. Consultez la section Exemple de code pour obtenir des informations supplémentaires.
  3. Configurez les autorisations de partage et les autorisations de système de fichiers NTFS suivantes :
    • Autorisations de partage :
      1. Ajoutez le compte d'utilisateur du domaine associé à l'utilisateur qui gère ce partage, puis cliquez sur Contrôle total.

      2. Supprimez le groupe Tout le monde.

      3. Si vous utilisez la méthode basée sur un script de démarrage de l'ordinateur, ajoutez le groupe Ordinateurs du domaine en lui attribuant les autorisations de modification et de lecture.

      4. Si vous utilisez la méthode basée sur un script d'ouverture de session, ajoutez le groupe Utilisateurs authentifiés en lui octroyant les autorisations de modification et de lecture.

    • Autorisations NTFS :
      1. Ajoutez le compte d'utilisateur du domaine associé à l'utilisateur qui gère ce partage, puis cliquez sur Contrôle total.
      2. Supprimez le groupe Tout le monde s'il figure dans la liste.

        Remarque Si une erreur s'affiche lors de la suppression du groupe Tout le monde, cliquez sur le bouton Avancé sous l'onglet Sécurité, puis désactivez la case à cocher Permettre aux autorisations héritées du parent de se propager à cet objet.
      3. Si vous utilisez la méthode basée sur un script de démarrage de l'ordinateur, accordez au groupe Ordinateurs du domaine les autorisations Lecture et exécution, Affichage du contenu du dossier et Lecture.
      4. Si vous utilisez la méthode basée sur un script d'ouverture de session, accordez au groupe Utilisateurs authentifiés les autorisations Lecture et exécution, Affichage du contenu du dossier et Lecture.
  4. Sous le dossier ShareName, créez un dossier nommé « Logs ».

    Il s'agit du dossier dans lequel seront enregistrés les fichiers journaux finaux après l'exécution de l'outil sur les ordinateurs clients.
  5. Pour configurer les autorisations NTFS sur le dossier Logs, procédez comme suit.

    Remarque Ne modifiez pas les autorisations de partage à cette étape.
    1. Ajoutez le compte d'utilisateur du domaine associé à l'utilisateur qui gère ce partage, puis cliquez sur Contrôle total.
    2. Si vous utilisez la méthode basée sur un script de démarrage de l'ordinateur, accordez au groupe Ordinateurs du domaine les autorisations Modification, « Lecture et exécution », Affichage du contenu du dossier, Lecture et Écriture.
    3. Si vous utilisez la méthode basée sur un script d'ouverture de session, accordez au groupe Utilisateurs authentifiés les autorisations Modification, « Lecture et exécution », Affichage du contenu du dossier, Lecture et Écriture.

Méthodes de déploiement


Remarque Pour exécuter cet outil, vous devez posséder des autorisations d'administrateur ou système, quelle que soit l'option de déploiement choisie.

Procédure d'utilisation du package logiciel SMS

L'exemple suivant fournit les instructions détaillées pour l'utilisation de SMS 2003. Les étapes à suivre pour SMS 2.0 sont similaires.

  1. Extrayez le fichier Mrt.exe à partir du package Windows-KB890830-V1.34-ENU.exe /x.
  2. Créez un fichier .bat pour démarrer Mrt.exe et capturer le code de retour à l'aide de ISMIF32.exe.

    Voici un exemple.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”Goto end:end
    Pour plus d'informations sur Ismif32.exe, consultez l'article suivant de la Base de connaissances Microsoft :
    186415 Disponibilité du créateur MIF d'état, Ismif32.exe
  3. Pour créer un package dans la console SMS 2003, procédez comme suit :
    1. Ouvrez la console Administrateur SMS.
    2. Cliquez avec le bouton droit sur le nœud Package, cliquez sur
      Nouveau, puis sur Package.

      La
      boîte de dialogue Propriétés du package s'affiche.
    3. Sous l'onglet Général, nommez le package.
    4. Sous l'onglet Source de données, activez la case à cocher Ce package contient des fichiers sources.
    5. Cliquez sur Définir, puis sélectionnez un répertoire source contenant l'outil.
    6. Sous l'onglet Paramètres de distribution, donnez à la Priorité d'expédition la valeur Haute.
    7. Sous l'onglet Rapports, cliquez sur Utiliser ces champs pour la correspondance des fichiers MIF d'état, puis spécifiez un nom dans les champs Nom du fichier MIF et
      Nom.

      Les éléments Version et Éditeur sont facultatifs.
    8. Cliquez sur OK pour créer le package.
  4. Pour spécifier un point de distribution du package, procédez comme suit :
    1. Dans la console SMS 2003, recherchez le nouveau package sous le nœud Packages.
    2. Développez le package. Cliquez avec le bouton droit sur Points de distribution, pointez sur Nouveau, puis cliquez sur Point de distribution.
    3. Démarrez l'Assistant Nouveaux points de distribution. Sélectionnez un point de distribution existant.
    4. Cliquez sur Terminer pour fermer l'Assistant.
  5. Pour ajouter au nouveau package le fichier de commandes créé précédemment, procédez comme suit :
    1. Sous le nœud du nouveau package, cliquez sur le nœud Programmes.
    2. Cliquez sur Programmes, pointez sur
      Nouveau, puis cliquez sur Programme.
    3. Cliquez sur l'onglet Général, puis entrez un nom valide.
    4. Sur la Ligne de commande, cliquez sur
      Parcourir pour sélectionner le fichier de commandes créé pour démarrer Mrt.exe.
    5. Modifiez l'option Exécuter en
      Masqué. Modifiez l'option Après en Aucune action requise.
    6. Cliquez sur l'onglet Spécifications, puis sélectionnez l'option Ce programme ne peut s'exécuter que sur les plateformes indiquées.
    7. Cliquez sur Tous les clients x86 Windows XP.
    8. Cliquez sur l'onglet Environnement, puis sur
      Qu'un utilisateur ait ouvert une session ou non dans la liste Le programme peut s'exécuter. Donnez au mode d'exécution la valeur Exécuter avec les droits d'administration.
    9. Cliquez sur OK pour fermer la boîte de dialogue.
  6. Pour créer une publication afin de publier le programme sur les clients, procédez comme suit :
    1. Cliquez avec le bouton droit sur le nœud Publication, cliquez sur Nouveau, puis sur
      Publication.
    2. Sous l'onglet Général, entrez le nom à attribuer à la publication. Dans le champ Package, sélectionnez le package créé précédemment. Dans le champ Programme, sélectionnez le programme créé précédemment. Cliquez sur Parcourir, puis sur le regroupement Tous les systèmes ou sélectionnez un regroupement d'ordinateurs qui n'inclut que Windows Vista et ses versions ultérieures.
    3. Sous l'onglet Calendrier, laissez les options par défaut si vous souhaitez que le programme ne s'exécute qu'une fois. Pour planifier l'exécution du programme, affectez un intervalle de planification.
    4. Donnez à la Priorité la valeur Haute.
    5. Cliquez sur OK pour créer la publication.

Utilisation d'un script de démarrage d'ordinateur basé sur la stratégie de groupe

Cette méthode exige que vous redémarriez l'ordinateur client après avoir configuré le script et appliqué le paramètre Stratégie de groupe.

  1. Configurez les partages. Pour cela, suivez les étapes indiquées à la section
    Installation et configuration initiales.
  2. Créez le script de démarrage. Pour cela, procédez comme suit :
     
    1. Dans le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le nom du domaine, puis cliquez sur
      Propriétés.
    2. Cliquez sur l'onglet Stratégie de groupe.
    3. Cliquez sur Nouveau pour créer un objet de stratégie de groupe (GPO), puis entrez le nom de stratégie Déploiement MRT.
    4. Cliquez sur la nouvelle stratégie, puis sur Modifier.
    5. Développez Configuration ordinateur > Paramètres Windows, puis cliquez sur Scripts.
    6. Double-cliquez sur Connexion, puis cliquez sur Ajouter.

      La boîte de dialogue Ajout d'un Script s'affiche.
    7. Dans la zone Nom du script, tapez
      \\ServerName\ShareName\RunMRT.cmd.
    8. Cliquez sur OK, puis sur Appliquer.
  3. Redémarrez les ordinateurs clients membres de ce domaine.

Utilisation d'un script d'ouverture de session utilisateur basé sur la stratégie de groupe

Cette méthode exige que le compte d'utilisateur d'ouverture de session soit un compte de domaine et un membre du groupe Administrateurs local sur l'ordinateur client.

  1. Configurez les partages. Pour cela, suivez les étapes indiquées à la section
    Installation et configuration initiales.
  2. Créez le script d'ouverture de session. Pour cela, procédez comme suit :
    1. Dans le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le nom du domaine, puis cliquez sur
      Propriétés.
    2. Cliquez sur l'onglet Stratégie de groupe.
    3. Cliquez sur Nouveau pour créer un objet de stratégie de groupe, puis entrez le nom Déploiement MRT.
    4. Cliquez sur la nouvelle stratégie, puis sur
      Modifier.
    5. Développez Configuration utilisateur > Paramètres Windows, puis cliquez sur Scripts.
    6. Double-cliquez sur Ouverture de session, puis cliquez sur Ajouter. La boîte de dialogue Ajout d'un Script s'affiche.
    7. Dans la zone Nom du script, tapez
      \\ServerName\ShareName\RunMRT.cmd.
    8. Cliquez sur OK, puis sur Appliquer.
  3. Fermez la session, puis ouvrez une session sur les ordinateurs clients.

Dans ce scénario, le script et l'outil s'exécuteront dans le contexte de l'utilisateur ayant ouvert une session. Si cet utilisateur n'appartient pas au groupe local Administrateurs ou s'il ne possède pas les autorisations suffisantes, l'outil ne s'exécutera pas et ne renverra pas le code de retour approprié. Pour plus d'informations sur la façon d'utiliser les scripts de démarrage et d'ouverture de session, consultez l'article suivant de la Base de connaissances Microsoft :

Informations supplémentaires concernant le déploiement en entreprise


Procédure pour examiner les codes de retour

Vous pouvez examiner les codes de retour de l'outil dans votre script d'ouverture de session ou de déploiement afin de vérifier les résultats de l'exécution. Pour plus de détails, consultez la section Exemple de code.

La liste suivante contient les codes de retour valides :

0 = Aucune infection détectée
1 = Erreur d'environnement de système d'exploitation
2 = Non exécuté en tant qu'administrateur
3 = Système d'exploitation non pris en charge
4 = Erreur d'initialisation de l'analyseur. (Téléchargez une nouvelle copie de l'outil.)
5 = Non utilisé
6 = Au moins une infection a été détectée. Aucune erreur.
7 = Au moins une infection a été détectée, mais des erreurs ont été rencontrées.
8 = Au moins une infection a été détectée et supprimée, mais des étapes manuelles sont requises pour terminer la suppression.
9 = Au moins une infection a été détectée et supprimée, mais des étapes manuelles sont requises pour terminer la suppression et des erreurs ont été rencontrées.
10 = Au moins une infection a été détectée et supprimée, mais un redémarrage est nécessaire pour terminer la suppression.
11 = Au moins une infection a été détectée et supprimée, mais un redémarrage est nécessaire pour terminer la suppression et des erreurs ont été rencontrées.
12 = Au moins une infection a été détectée et supprimée, mais des étapes manuelles et un redémarrage sont nécessaires pour terminer la suppression.
13 = Au moins une infection a été détectée et supprimée, mais un redémarrage est nécessaire. Aucune erreur n'a été rencontrée.

Procédure pour analyser le fichier journal

L'outil de suppression de logiciels malveillants Microsoft Windows enregistre les détails relatifs aux résultats de son exécution dans le fichier journal %windir%\debug\mrt.log.

Remarques

  • Ce fichier journal est disponible uniquement en anglais.
  • À partir de la version 1.2 de l'outil de suppression (mars 2005), ce fichier journal utilise le texte Unicode. Avant la version 1.2, il utilisait le texte ANSI.
  • Le format du fichier journal a changé avec la version 1.2. Il est recommandé de télécharger et d'utiliser la dernière version de l'outil.

    Si ce fichier journal existe déjà, l'outil ajoute les données au fichier existant.
  • Vous pouvez utiliser un script de commandes semblable à l'exemple précédent pour capturer le code de retour et rassembler les fichiers sur un partage réseau.
  • En raison du passage du format ANSI au format Unicode, la version 1.2 de l'outil de suppression copiera les versions ANSI du fichier Mrt.log du dossier %windir%\debug dans le fichier Mrt.log.old dans le même répertoire. La version 1.2 crée également une nouvelle version Unicode du fichier Mrt.log dans le même répertoire. Comme la version ANSI, ce fichier journal sera ajouté à chaque publication mensuelle.

L'exemple suivant est un fichier Mrt.log provenant d'un ordinateur infecté par le ver informatique MPnTestFile

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  


L'exemple suivant concerne un logiciel sur lequel aucun logiciel malveillant n'a été détecté.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 


L'exemple suivant concerne un fichier journal dans lequel des erreurs ont été détectées.


Pour plus d'informations sur les avertissements et les erreurs provoqués par l'outil, consultez l'article suivant de la Base de connaissances Microsoft :

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Problèmes connus


Problème connu 1

Lors de l'exécution de l'outil à l'aide d'un script de démarrage, des messages d'erreur semblables au suivant peuvent être consignés dans le fichier Mrt.log :
 

Error: MemScanGetImagePathFromPid(pid: 552) failed.
0x00000005: Access is denied.


Remarque
Le numéro d'ID de processus (pid) peut varier.

Ce message d'erreur s'affiche lorsqu'un processus est en cours de démarrage ou a été arrêté récemment. Le seul effet est que le processus désigné par le pid n'est pas analysé.

Problème connu 2

Dans certains cas rares, si un administrateur choisit de déployer l'outil de suppression de logiciels malveillants (MSRT) avec le commutateur quiet /q (également appelé « mode silencieux »), cet outil risque de ne pas résoudre complètement le nettoyage d'un petit sous-ensemble d'infections dans des cas où un nettoyage supplémentaire est nécessaire après un redémarrage. Ce comportement n'a été observé que dans la suppression de certaines variantes de rootkit.

Forum aux questions


Q1 : Lorsque je teste mon script de démarrage ou d'ouverture de session pour déployer l'outil, je constate que les fichiers journaux ne sont pas copiés sur le partage réseau que j'ai configuré. Pourquoi ?

R1 : Il s'agit souvent d'un problème d'autorisation. Par exemple, le compte sous lequel l'outil de suppression a été exécuté ne possède pas d'autorisation d'écriture sur le partage. Pour résoudre ce problème, assurez-vous d'abord que l'outil s'est exécuté en vérifiant la clé de Registre. Vous pouvez également vérifier si le fichier journal est présent sur l'ordinateur client. Si l'outil s'est exécuté correctement, vous pouvez tester un script simple et vous assurer qu'il peut écrire sur le partage réseau lorsqu'il s'exécute dans le même contexte de sécurité que celui de l'outil.

Q2 : Comment faire pour vérifier si l'outil de suppression a été exécuté sur un ordinateur client ?

R2 : Vous pouvez examiner les données de la valeur de la clé de Registre suivante pour vérifier si l'outil a été exécuté. Vous pouvez implémenter cet examen dans le cadre d'un script de démarrage ou d'ouverture de session. Ce processus empêche l'exécution de l'outil à plusieurs reprises.

Sous-clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Nom de l'entrée :
Version

À chaque exécution, l'outil enregistre un GUID dans le Registre pour indiquer qu'il a été exécuté. Ce comportement se produit quels que soient les résultats de l'exécution. Le tableau suivant répertorie les GUID qui correspondent à chaque version.

Q3 : Comment puis-je désactiver le composant de rapport d'infection de l'outil de sorte que le rapport ne soit pas envoyé à Microsoft ?

R3 : Un administrateur peut choisir de désactiver le composant de rapport d'infection de l'outil en ajoutant la valeur de clé de Registre suivante sur les ordinateurs. Si cette valeur de clé de Registre est définie, l'outil n'envoie aucune information d'infection à Microsoft.

Sous-clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Nom de l'entrée : \DontReportInfectionInformation
Type : REG_DWORD
Données de la valeur : 1

Q4 : Dans la version de mars 2005, les données contenues dans le fichier Mrt.log semblent avoir été perdues. Pourquoi ces données ont-elles été supprimées et comment puis-je les récupérer ?

R4 : Depuis la version de mars 2005, le fichier journal Mrt.log est rédigé au format Unicode. Pour vérifier la compatibilité, lors de l'exécution de l'outil de la version de mars 2005, si une version ANSI du fichier est présente sur le système, l'outil copie le contenu de ce journal dans le fichier Mrt.log.old dans %WINDIR%\debug et crée une nouvelle version Unicode du fichier Mrt.log. Comme pour la version ANSI, cette version Unicode est ajoutée à chaque exécution successive de l'outil.