Windows ļaunprātīgās programmatūras noņemšanas rīka izvietošana uzņēmuma vidē (KB891716)

Windows ļaunprātīgās programmatūras noņemšanas rīks ir paredzēts lietošanai ar operētājsistēmām, kas norādītas sadaļā "attiecas uz". Šajā sarakstā neiekļautās operētājsistēmas nav pārbaudītas, tāpēc tās netiek atbalstītas. Šīs neatbalstītās operētājsistēmas ietver visas iegulto operētājsistēmu versijas un izdevumi.

Ieviešanu

Microsoft parasti izlaiž Windows ļaunprātīgās programmatūras noņemšanas rīku (MSRT) reizi mēnesī Windows atjaunināšanas daļā vai kā savrupu rīku. Izmantojiet šo rīku, lai atrastu un noņemtu konkrētus izplatītos draudus un atsauktu veiktās izmaiņas (Skatīt slēptos draudus). Lai iegūtu visaptverošu ļaunprogrammatūras atklāšanu un noņemšanu, apsveriet iespēju izmantot Microsoft Safety Scanner.

Šis rīks darbojas papildu veidā, izmantojot esošos ļaunprogrammatūras novēršanas risinājumus, un to var izmantot lielākajā daļā pašreizējo Windows versiju (skatiet sadaļu rekvizīti).

Šajā rakstā sniegtā informācija ir specifiska rīka izvietojumam Enterprise. Lai iegūtu papildinformāciju par rīku, iesakām pārskatīt šo zināšanu bāzes rakstu:

890830 noņemt konkrētu izplatīto ļaunprogrammatūru ar Windows ļaunprātīgās programmatūras noņemšanas rīku

Rīka lejupielāde

Varat manuāli lejupielādēt MSRT no Microsoft lejupielādes centra. Tālāk norādītie faili ir pieejami lejupielādei no Microsoft lejupielādes centra.

32 bitu x86 sistēmām:

Lejupielādes ikona lejupielādēt x86 MSRT pakotni tūlīt.


64 bitu x64 sistēmas sistēmām:

Lejupielādes ikona Lejupielādēt x64 MSRT pakotni tūlīt.

Izvietošanas pārskats

Rīku var izvietot uzņēmuma vidē, lai uzlabotu esošo aizsardzību un nodrošinātu visaptverošu stratēģiju. Lai izvietotu rīku uzņēmuma vidē, varat izmantot vienu vai vairākas no tālāk norādītajām metodēm.

  • Windows Server atjaunināšanas pakalpojumi

  • Microsoft Systems pārvaldības programmatūras (SMS) programmatūras pakotne

  • Grupas politikas datora startēšanas skripts

  • Grupas politika, kuras pamatā ir lietotāja pieteikšanās skripts

Šī rīka pašreizējā versija neatbalsta šādas izvietošanas tehnoloģijas un paņēmienus:

  • Windows atjauninājumu katalogs

  • Rīka izpilde pret attālo datoru

  • Programmatūras atjaunināšanas pakalpojumi (SUS)

Turklāt Microsoft Baseline Security Analyzer (MBSA) neatklāj rīka izpildi. Šajā rakstā ir iekļauta informācija par to, kā varat pārbaudīt rīka izpildi izvietošanas ietvaros.

Koda paraugs

Šajā rakstā norādītās darbības ir paredzētas tikai paraugiem un piemēriem. Klientiem ir jātestē šie skriptu paraugi un piemēri, kā arī jāmaina tās atbilstoši darbam vidē. Jums ir jāmaina servera nosaukums un koplietojumanosaukums atbilstoši iestatījumiem savā vidē.

Tālāk norādītajos koda paraugos ir šādas lietas:

  • Palaiž rīku klusajā režīmā

  • Pārkopē žurnālfailu uz iepriekš konfigurētu tīkla koplietojumu

  • Izlabo žurnālfaila faila nosaukumu, izmantojot tā datora nosaukumu, no kura tiek palaists rīks, un pašreizējā lietotāja

    lietotājvārdu Ņemiet vērā, ka kopīgošanas atļaujas ir jāiestata atbilstoši sadaļā sākotnējā iestatīšana un konfigurācija norādītajām instrukcijām.

REM In this example, the script is named RunMRT.cmd.
REM The Sleep.exe utility is used to delay the execution of the tool when used as a 
REM startup script. See the "Known issues" section for details.
@echo off
call \\ServerName\ShareName\Sleep.exe 5
Start /wait \\ServerName\ShareName\Windows-KB890830-V5.87.exe /q

copy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Piezīme Šajā koda paraugā nosaukumu serveris ir servera nosaukuma vietturis, un koplietojumanosaukums ir jūsu kopīgošanas nosaukuma vietturis.

Sākotnējā iestatīšana un konfigurēšana

Šī sadaļa ir paredzēta administratoriem, kuri izmanto startēšanas skriptu vai pieteikšanās skriptu, lai izvietotu šo rīku. Ja izmantojat īsziņu, varat turpināt sadaļu "izvietošanas metodes".

Lai konfigurētu serveri un koplietošanu, veiciet tālāk norādītās darbības.

  1. Iestatīt koplietošanu dalībnieka serverī. Pēc tam nosauciet kopīgošanas
    koplietojumanosaukums.

  2. Kopējiet rīku un skripta paraugu, RunMRT. cmd un kopīgojiet. Detalizētu informāciju skatiet sadaļā koda piemērs .

  3. Konfigurējiet tālāk norādītās koplietošanas atļaujas un NTFS failu sistēmas atļaujas:

    • Kopīgošanas atļaujas:

      1. Pievienojiet domēna lietotāja kontu lietotājam, kurš pārvalda šo koplietošanu, un pēc tam noklikšķiniet uz pilnīga kontrole.

      2. Noņemiet grupu visi.

      3. Ja izmantojat datora startēšanas skripta metodi, pievienojiet domēna datoru grupu kopā ar izmaiņām un lasīšanas atļaujām.

      4. Ja izmantojat pieteikšanās skripta metodi, pievienojiet grupas autentificētie lietotāji kopā ar izmaiņām un lasīšanas atļaujām.

    • NTFS atļaujas:

      1. Pievienojiet domēna lietotāja kontu lietotājam, kurš pārvalda šo koplietošanu, un pēc tam noklikšķiniet uz pilnīga kontrole.

      2. Noņemiet grupu visi, ja tā ir sarakstā.

        Piezīme. Ja, noņemot grupu visi, tiek parādīts kļūdas ziņojums, cilnē Drošība noklikšķiniet uz papildu un pēc tam noklikšķiniet, lai notīrītu izvēles rūtiņu Atļaut pārmantotās atļaujas no vecākobjekta .

      3. Ja izmantojat datora startēšanas skripta metodi, piešķiriet grupu Domain Computers Read & izpildīt atļaujas, saraksta mapes satura atļaujas un lasīšanas atļaujas.

      4. Ja izmantojat pieteikšanās skripta metodi, piešķiriet grupai autentificēti lietotāji lasīt & izpildīt atļaujas, saraksta mapes satura atļaujas un lasīšanas atļaujas.

  4. Mapē koplietojumanosaukums izveidojiet mapi ar nosaukumu "žurnāli"

    . Šajā mapē tiek apkopoti pēdējie žurnālfaili pēc tam, kad rīks darbojas klienta datoros.

  5. Lai konfigurētu mapes žurnāli, veiciet tālāk norādītās darbības.

    Piezīme. Šajā darbībā nemainiet koplietošanas atļaujas.

    1. Pievienojiet domēna lietotāja kontu lietotājam, kurš pārvalda šo koplietošanu, un pēc tam noklikšķiniet uz pilnīga kontrole.

    2. Ja izmantojat datora startēšanas skripta metodi, piešķiriet domēnu datoru grupai modificēt atļaujas, "lasīt & izpildīt" atļaujas, saraksta mapes satura atļaujas, lasīšanas atļaujas un rakstīšanas atļaujas.

    3. Ja izmantojat pieteikšanās skripta metodi, piešķiriet autentificētiem lietotājiem grupu modificēt atļaujas, "lasīt & izpildīt" atļaujas, saraksta mapes satura atļaujas, lasīšanas atļaujas un rakstīšanas atļaujas.

Izvietošanas metodes

Piezīme. Lai palaistu šo rīku, jums jābūt administratora atļaujām vai sistēmas atļaujām neatkarīgi no izvēlētās izvietošanas opcijas.

Kā izmantot SMS programmatūras pakotni

Šajā piemērā sniegti detalizēti norādījumi par īsziņu 2003 izmantošanu. Darbības, kas jāveic, lai izmantotu SMS 2,0, līdzinās tālāk norādītajām darbībām.

  1. Izvērsiet Mrt.exe failu no pakotnes ar nosaukumu Windows-KB890830-V1.34-ENU.exe izgūšana no pakotnes

  2. Izveidojiet. bat failu, lai sāktu Mrt.exe un tvertu atgriezto kodu, izmantojot ISMIF32.exe.

    Tālāk ir sniegts piemērs.

    @echo off
    Start /wait Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end
    
    :error13
    Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”
    Goto end
    
    :error12
    Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”
    Goto end
    
    :end
    

    Lai iegūtu papildinformāciju par Ismif32.exe, dodieties uz šo rakstu Microsoft zināšanu bāzē:

    268791, kā tiek apstrādāti statusa pārvaldības informācijas formāta (DSK) fails, ko veido ISMIF32.exe fails, tiek apstrādāts ĪSZIŅā 2,0

    186415 Statusa DSK veidotājs Ismif32.exe ir pieejams

  3. Lai izveidotu pakotni īsziņu 2003 konsolē, veiciet tālāk norādītās darbības.

    1. Atveriet īsziņu administratora konsoli.

    2. Ar peles labo pogu noklikšķiniet uz mezgla pakotnes , noklikšķiniet uz
      Jaunsun pēc tam noklikšķiniet uz pakotne.


      Tiek parādīts dialoglodziņšpakotnes rekvizīti .

    3. Cilnē Vispārīgi piešķiriet pakotnes nosaukumu.

    4. Cilnē datu avots noklikšķiniet uz, lai atzīmētu izvēles rūtiņu šajā pakotnē ir avota faili .

    5. Noklikšķiniet uz Iestatītun pēc tam izvēlieties avota direktoriju, kurā ir rīks.

    6. Cilnē Sadalījuma iestatījumi iestatiet iestatījumu Sūtīt prioritāti uz augsts.

    7. Cilnē uzrādīšana noklikšķiniet uz izmantot šos laukus, lai piešķirtu statusu DSK, un pēc tam laukā nosaukums norādiet DSK faila nosaukuma lauka nosaukumu
      .

      Versija un izdevējs nav obligāts.

    8. Noklikšķiniet uz Labi , lai izveidotu pakotni.

  4. Lai pakotnē norādītu sadales punktu (DP), veiciet tālāk norādītās darbības.

    1. SMS 2003 konsolē atrodiet jauno pakotni, kas ir iekļauta mezglā pakete.

    2. Izvērsiet pakotni. Ar peles labo pogu noklikšķiniet uz sadales punkti, norādiet uz Jaunsun pēc tam noklikšķiniet uz izplatīšanas punkti.

    3. Startējiet jauno sadales punktu vedni. Atlasiet esošu adresātu punktu.

    4. Noklikšķiniet uz pabeigt , lai izietu no vedņa.

  5. Lai pievienotu paketes failu, kas iepriekš tika izveidots jaunajā pakotnē, veiciet tālāk norādītās darbības.

    1. Zem jaunās pakotnes mezgla noklikšķiniet uz programmas mezgla.

    2. Ar peles labo pogu noklikšķiniet uz programmas, norādiet uz
      Jaunsun pēc tam noklikšķiniet uz programma.

    3. Noklikšķiniet uz cilnes Vispārīgi un pēc tam ievadiet derīgu nosaukumu.

    4. Komandrindānoklikšķiniet uz
      Pārlūkot , lai atlasītu paketes failu, ko izveidojāt, lai startētu Mrt.exe.

    5. Mainīt izpildi uz
      Slēpts. Mainīt pēc tam, kadnav jāveic nekāda darbība.

    6. Noklikšķiniet uz cilnes prasības un pēc tam uz Šī programma var izpildīt tikai norādītās klienta operētājsistēmas.

    7. Noklikšķiniet uz visi x86 Windows XP.

    8. Noklikšķiniet uz cilnes vide un pēc
      tam uzvai lietotājs ir pieteiciesprogrammā var palaist sarakstu. Iestatiet palaišanas režīmu darbībai ar administratora tiesībām.

    9. Noklikšķiniet uz Labi , lai aizvērtu dialoglodziņu.

  6. Lai izveidotu reklāmu un reklamētu programmu klientiem, veiciet tālāk norādītās darbības.

    1. Ar peles labo pogu noklikšķiniet uz reklāmas mezgla, noklikšķiniet uz Jaunsun pēc tam noklikšķiniet uz
      reklāma.

    2. Cilnē Vispārīgi ievadiet reklāmas nosaukumu. Laukā pakotne atlasiet iepriekš izveidoto pakotni. Laukā programma atlasiet iepriekš izveidoto programmu. Noklikšķiniet uz Pārlūkotun pēc tam noklikšķiniet uz visas sistēmas kolekcijas vai atlasiet datoru kolekciju, kurā ir tikai Windows Vista un jaunākas versijas.

    3. Cilnē plānošana atstājiet noklusējuma opcijas, ja vēlaties, lai programma tiktu izpildīta tikai vienu reizi. Lai palaistu programmu pēc plāna, piešķiriet plānošanas intervālu.

    4. Iestatiet prioritāti uz augsts.

    5. Noklikšķiniet uz Labi , lai izveidotu reklāmu.

Kā izmantot grupas politikas datora startēšanas skriptu

Lai izmantotu šo metodi, ir jārestartē klienta dators pēc skripta iestatīšanas un pēc tam, kad esat iestatījis grupas politikas iestatījumu.

  1. Iestatiet akcijas. Lai to izdarītu, veiciet
    sadaļāsākotnējā iestatīšana un konfigurācija norādītās darbības.

  2. Iestatiet startēšanas skriptu. Lai to izdarītu, veiciet tālāk norādītās darbības.

    1. Sadaļā Active Directory lietotāji un datori MMC papildprogramma ar peles labo pogu noklikšķiniet uz domēna nosaukuma un pēc tam noklikšķiniet uz
      Rekvizīti.

    2. Noklikšķiniet uz cilnes grupas politika .

    3. Noklikšķiniet uz Jauns , lai izveidotu jaunu grupas politikas objektu (GPO), un ierakstiet MRT izvietojumu politikas nosaukumam.

    4. Noklikšķiniet uz jaunās politikas un pēc tam noklikšķiniet uz Rediģēt.

    5. Izvērsiet Windows iestatījumi datora konfigurēšanaiun pēc tam noklikšķiniet uz skripti.

    6. Veiciet dubultklikšķi uz pieteikšanāsun pēc tam noklikšķiniet uz Pievienot.

      Tiek atvērts dialoglodziņš skripta pievienošana .

    7. Lodziņā skripta nosaukums ierakstiet
      \ \Servera nosaukums\koplietojumanosaukums\RunMRT.cmd.

    8. Noklikšķiniet uz Labiun pēc tam noklikšķiniet uz lietot.

  3. Restartējiet klienta datorus, kas ir šī domēna dalībnieki.

Kā izmantot grupas politiku, kuras pamatā ir lietotāja pieteikšanās skripts

Lai izmantotu šo metodi, pieteikšanās lietotāja kontam ir jābūt domēna kontam un tā ir lokālā administratora grupas dalībnieks klienta datorā.

  1. Iestatiet akcijas. Lai to izdarītu, veiciet
    sadaļāsākotnējā iestatīšana un konfigurācija norādītās darbības.

  2. Iestatiet pieteikšanās skriptu. Lai to izdarītu, veiciet tālāk norādītās darbības.

    1. Sadaļā Active Directory lietotāji un datori MMC papildprogramma ar peles labo pogu noklikšķiniet uz domēna nosaukuma un pēc tam noklikšķiniet uz
      Rekvizīti.

    2. Noklikšķiniet uz cilnes grupas politika .

    3. Noklikšķiniet uz Jauns , lai izveidotu jaunu GPO, un pēc tam ierakstiet MRT izvietojumu nosaukumam.

    4. Noklikšķiniet uz jaunās politikas un pēc tam noklikšķiniet uz
      Rediģēt.

    5. Izvērsiet Windows iestatījumi lietotāja konfigurācijaiun pēc tam noklikšķiniet uz skripti.

    6. Veiciet dubultklikšķi uz pieteikšanāsun pēc tam noklikšķiniet uz Pievienot. Tiek atvērts dialoglodziņš skripta pievienošana .

    7. Lodziņā skripta nosaukums ierakstiet
      \ \Servera nosaukums\koplietojumanosaukums\RunMRT.cmd.

    8. Noklikšķiniet uz Labiun pēc tam noklikšķiniet uz lietot.

  3. Atsakieties un pēc tam piesakieties klientu datoros.

Šajā scenārijā skripts un rīks darbojas pieteiktā lietotāja kontekstā. Ja šis lietotājs nepieder lokālo administratoru grupai vai jums nav pietiekamu atļauju, rīks nedarbosies un neatgriezīs attiecīgo atgriezto kodu. Lai iegūtu papildinformāciju par to, kā izmantot startēšanas skriptus un pieteikšanās skriptus, dodieties uz šo rakstu Microsoft zināšanu bāzē:

198642 pārskats par pieteikšanos, atteikšanos, sākšanu un izslēgšanu skriptos operētājsistēmā Windows 2000

322241 kā piešķirt skriptus operētājsistēmā Windows 2000

Papildu informācija, kas attiecas uz uzņēmuma izvietošanu

Kā pārbaudīt atgrieztos kodus

Varat pārbaudīt rīka atgriezes kodu izvietošanas pieteikšanās skriptā vai izvietošanas sākuma skriptā, lai pārbaudītu izpildes rezultātus. Skatiet sadaļu koda piemērs , lai uzzinātu, kā to paveikt.

Šajā sarakstā ir iekļauti derīgie atdošanas kodi.

0

=

Nav atrasta infekcija

1

=

OS vides kļūda

2

=

Nedarbojas kā administrators

3

=

Nav atbalstīta OS

4

=

Inicializējot skeneri, radās kļūda. (Lejupielādēt jaunu rīka kopiju)

5

=

Netiek izmantots

6

=

Ir atrasta vismaz viena infekcija. Nav kļūdu.

7

=

Ir atrasta vismaz viena infekcija, taču tika konstatētas kļūdas.

8

=

Ir atrasta un noņemta vismaz viena infekcija, taču ir jāveic manuālas darbības pilnīgai noņemšanai.

9

=

Ir atrasta un noņemta vismaz viena infekcija, bet ir jāveic manuālas darbības, lai veiktu pilnīgu noņemšanu, un ir radušās kļūdas.

10

=

Ir atrasta un noņemta vismaz viena infekcija, taču ir nepieciešama restartēšana, lai veiktu pilnīgu noņemšanu

11

=

Ir atrasta un noņemta vismaz viena infekcija, taču ir nepieciešama restartēšana, lai veiktu pilnīgu noņemšanu, un ir radušās kļūdas

12

=

Ir atrasta un noņemta vismaz viena infekcija, taču ir nepieciešama gan manuālas darbības, gan restartēšana.

13

=

Ir atrasta un noņemta vismaz viena infekcija, taču ir nepieciešama restartēšana. Kļūdas netika konstatētas.

Žurnālfaila parsēšana

Ļaunprātīgās programmatūras noņemšanas rīks raksta detalizētu informāciju par tās izpildes rezultātu%windir%\debug\mrt.log žurnālfailā.

Piezīmes

  • Šis žurnālfails ir pieejams tikai angļu valodā.

  • Sākot ar noņemšanas rīka versiju 1,2 (March 2005), šajā žurnālfailā tiek izmantots Unikoda teksts. Pirms versijas 1,2 žurnālfails izmantoja ANSI tekstu.

  • Ir mainīts žurnālfaila formāts ar versiju 1,2, un iesakām lejupielādēt un izmantot jaunāko rīka versiju.

    Ja šis reģistrācijas fails jau pastāv, rīks pievieno esošo failu.

  • Varat izmantot komandu skriptu, kas atgādina iepriekšējo piemēru, lai tvertu atgriezto kodu un apkopotu failus tīkla koplietojumā.

  • Tā kā pārslēgties no ANSI uz unikodu, noņemšanas rīka versija 1,2 nokopēs visas%windir%\Debug. mapē MRT. žurnālfaila ANSI versijas, kas atrodas tajā pašā direktorijā. Versija 1,2 izveido arī jaunu šī paša direktorija MRT versijas faila Unicode versiju. Tāpat kā ANSI versija, šis reģistrācijas fails tiks pievienots katra mēneša laidienam.

Tālāk sniegtajā piemērā ir MRT. žurnālfaila fails no datora, kas bija inficēts ar MPnTestFile tārpu:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Tue Jul 30 23:34:49 2013


Quick Scan Results:
-------------------
Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed!
 Action: Remove, Result: 0x00000000
 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
 runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn
 file://c:\temp\mpncleantest.exe
 SigSeq: 0x00002267735A46E2

Results Summary:
----------------
Found Virus:Win32/MPnTestFile.2004 and Removed!
Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013


Return code: 6 (0x6) 

 


Tālāk ir sniegts žurnālfaila piemērs, kur netiek atrasta ļaunprātīga programmatūra.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)
Started On Thu Aug 01 21:15:43 2013


Results Summary:
----------------
No infection found.
Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013


Return code: 0 (0x0)
 


Tālāk ir parādīts žurnālfaila paraugs, kurā tiek atrastas kļūdas.


Lai iegūtu papildinformāciju par brīdinājumiem un kļūdām, ko izraisa rīks, skatiet šo rakstu Microsoft zināšanu bāzē:

891717, kā novērst kļūdu, palaižot Microsoft Windows ļaunprātīgās programmatūras noņemšanas rīku Microsoft Windows ļaunprātīgās programmatūras noņemšanas rīks v 5.3, August 2013 (būvējums 5.3.9300.0) sākās piektdiena, 02 16:17:49 2013 skenēšanas rezultāti:-------------draudi ir konstatēti: vīruss: Win32/MPTestFile. 2004, daļēji noņemts. Darbība neizdevās. Darbība: tīrīšana, rezultāts: 0x8007065E. Lūdzu, izmantojiet pilnu pretvīrusu produktu! ! fails://d: \temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d: \temp\mpcleantest.7z rezultātu kopsavilkums:----------------atrasts vīruss: Win32/MPTestFile. 2004, daļēji noņemts. Microsoft Windows ļaunprātīgas programmatūras noņemšanas rīks ir paveikts, kad piektdiena aug 02 16:18:09 2013 Return Code: 7 (0x7)

Zināmās problēmas

Zināmā problēma 1

Palaižot rīku, izmantojot startēšanas skriptu, MRT. žurnālfailā var tikt pieteikti kļūdas ziņojumi, kas atgādina šādu kļūdas ziņojumu:
 

Kļūda: MemScanGetImagePathFromPid (PID: 552) neizdevās.
0x00000005: piekļuve ir liegta.


Ņemiet vērā, ka PID numurs var atšķirties.

Šis kļūdas ziņojums tiek parādīts, kad process ir tikko sākts vai kad process ir nesen apturēts. Vienīgais efekts ir tāds, ka PID izraudzītais process netiek skenēts.

Zināmā problēma 2

Dažos retos gadījumos, ja administrators izlemj izvietot MSRT, izmantojot/q kluso slēdzi (zināms arī kā klusais režīms), šī darbība var pilnībā neatrisināt nelielus infekciju apakškopas gadījumus situācijās, kad pēc restartēšanas ir nepieciešama papildu tīrīšana. Tas ir novērots tikai konkrētu rootkit variantu izņemšanai.

FAQ

Q1. Testējot startēšanas vai pieteikšanās skriptu, lai izvietotu šo rīku, nav redzami žurnālfaili, kas tiek kopēti tīkla koplietojumā, ko iestatīju. Kāpēc?

A1. To bieži izraisa atļauju problēmas. Piemēram, kontam, no kura tika palaists noņemšanas rīks, nav rakstīšanas atļauju. Lai novērstu šo problēmu, vispirms pārliecinieties, vai rīks darbojās, pārbaudot reģistra atslēgu. Vai arī varat meklēt žurnālfaila esamību klienta datorā. Ja rīks sekmīgi darbojās, varat pārbaudīt vienkāršu skriptu un pārliecināties, vai tas var rakstīt tīkla koplietojumā, ja tas darbojas ar to pašu drošības kontekstu, kurā tika palaists noņemšanas rīks.

2C. Kā pārbaudīt, vai noņemšanas rīks ir palaists klienta datorā?

A2. Varat pārbaudīt vērtības datus šādam reģistra ierakstam, lai pārliecinātos par rīka izpildi. Šo pārbaudi varat ieviest startēšanas skripta vai pieteikšanās skripta ietvaros. Šis process neļauj palaist rīku vairākas reizes.

Apakšatslēga:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Ieraksta nosaukums:
Versija

Katru reizi, kad tiek palaists rīks, rīks ieraksta reģistrā GUID, lai norādītu, ka tas ir izpildīts. Tas notiek neatkarīgi no izpildes rezultāta. Tālāk esošajā tabulā ir uzskaitīti GUID, kas atbilst katram Laidienam.

ID

Nosaukums

2021 marts

3DC01EF0-0E9D-4D88-8BC7-A3F3801FAB49

2021 februāris

45EEFC65-BFCF-458A-8760-ECC7ACEC73A2

2021. gada janvāris

0AAB5944-A7BC-4D17-9A3A-2FAB07286EE9

2020 novembris

F7A1FB98-0884-4986-884D-FFBEA881A2A1

2020. septembris

E0118D9B-6F80-4A16-92ED-A8EB4851C84C

May 2020

EFB903C3-1459-4C91-B79D-B7438E15C972

2020 marts

71562B8C-C50D-4375-91F3-8EE0DD0EF7E3

2020 februāris

9CCD5E4F-11C8-4064-8C37-6D1BA8C1ED37

2020. gada janvāris

38281425-A1C7-400F-AE79-EFE8C1E9E38F

2019. decembris

6F46913B-8294-43FD-8AA8-46984911C881

2019 novembris

1ED49A70-3903-4C40-B575-93F3DD50B283

2019 oktobris

E63797FA-851A-4E25-8DA1-D453DD437525

2019. augusts

96F83121-A86A-497A-8B18-7F1BBAE6448D

2019. gada jūlijs

FCF0D56B-99A4-4A39-BAC8-2ED52EF10FEC

2019 jūnijs

10188A60-F140-42EF-984F-E4B3CA369BD1

May 2019

A8F12582-E642-4070-91E6-D6CF31796C0B

2019 aprīlis

7C55425A-FBE7-44D0-A226-6FF46F085EAF

2019 marts

5DCD306C-136C-4C03-B0E4-3C1E78DE5A19

2019 februāris

3A57513A-D489-4B41-A40D-5ACD998F294A

2019. gada janvāris

8F732BDE-182D-4A10-B8CE-0C538C878F87

2018. decembris

FD672828-AC76-41B9-95E0-6F5859BDDB74

2018 novembris

F1E75593-4ACF-4C29-BD2D-0F495D7B8396

2018 oktobris

D84C2D59-B81F-4163-BC39-3CDDD8BB68BC

2018. septembris

18674908-417F-4139-A22C-F418420D2B7B

2018. augusts

6600605A-7534-41BF-B117-579EA0F5997D

2018. gada jūlijs

3A88B54D-626C-4DBE-BBB3-4EE0E666A730

2018 jūnijs

968E16D7-8605-4BA4-9BE5-86127A0FAC87

May 2018

02683B53-543A-4200-8D43-B69C3B3CE0E9

2018 aprīlis

62F357BA-9FC0-4CED-A90C-457D02B33DEE

2018 marts

C43B8734-0004-446C-8F37-FD8AD3F3BCF0

2018 februāris

CED42968-8B11-4886-8477-8F22956192B0

2018. gada janvāris

C6BD56EC-B2C1-4D20-B94D-234F8A9C5733

2017. decembris

3D287184-25B3-4DDC-ADD3-A93C626CD7EB

2017 novembris

AAF1DA7A-77D4-4997-9C0C-38E0CFA6AB92

2017 oktobris

9209C00F-BD62-4CB8-9702-C4B9A4F8D560

2017. septembris

FE854017-795E-4685-95CE-3CCB1FFD743D

2017. augusts

1D3AE7A6-F7BA-4787-A240-284C46162AFA

2017. gada jūlijs

2A9D9E6C-14F4-4E84-B9B5-B307DDACA125

2017 jūnijs

28BE7B9C-E473-4A73-8770-83AB99A596F8

May 2017

E43CFF1D-46DB-4239-A583-3828BB9EB66C

2017 aprīlis

507CBE5F-7915-416A-9E0E-B18FEA08237D

2017 marts

F83889D4-A24B-44AA-8E34-BCDD8912FAD7

2017 februāris

88E3BAB3-52CF-4B15-976E-0BE4CFA98AA8

2017. gada janvāris

A5E600F5-A3CE-4C8E-8A14-D4133623CDC5

2016. decembris

F6945BD2-D48B-4B07-A7FB-A55C4F98A324

2016 novembris

E36D6367-DF23-4D09-B5B1-1FC38109F29C

2016 oktobris

6AC744F7-F828-4CF8-A405-AA89845B2D98

2016. septembris

2168C094-1DFC-43A9-B58E-EB323313845B

2016. augusts

0F13F87E-603E-4964-A9B4-BF923FB27B5D

2016. gada jūlijs

34E69BB2-EFA0-4905-B7A9-EFBDBA61647B

2016 jūnijs

E6F49BC4-1AEA-4648-B235-1F2A069449BF

May 2016

156D44C7-D356-4303-B9D2-9B782FE4A304

2016 aprīlis

6F31010B-5919-41C2-94FB-E71E8EEE9C9A

2016 marts

3AC662F4-BBD5-4771-B2A0-164912094D5D

2016 februāris

DD51B914-25C9-427C-BEC8-DA8BB2597585

2016. gada janvāris

ED6134CC-62B9-4514-AC73-07401411E1BE

2015. decembris

EE51DBB1-AE48-4F16-B239-F4EB7B2B5EED

2015 novembris

FFF3C6DF-56FD-4A28-AA12-E45C3937AB41

2015 oktobris

4C5E10AF-1307-4E66-A279-5877C605EEFB

2015. septembris

BC074C26-D04C-4625-A88C-862601491864

2015. augusts

74E954EF-6B77-4758-8483-4E0F4D0A73C7

2015. gada jūlijs

82835140-FC6B-4E05-A17F-A6B9C5D7F9C7

2015 jūnijs

20DEE2FA-9862-4C40-A1D4-1E13F1B9E8A7

May 2015

F8F85141-8E6C-4FED-8D4A-8CF72D6FBA21

2015 aprīlis

7AABE55A-B025-4688-99E9-8C66A2713025

2015 marts

CEF02A7E-71DD-4391-9BF6-BF5DEE8E9173

2015 februāris

92D72885-37F5-42A2-B199-9DBBEF797448

2015. gada janvāris

677022D4-7EC2-4F65-A906-10FD5BBCB34C

2014. decembris

386A84B2-5559-41C1-AC7F-33E0D5DE0DF6

2014 novembris

7F08663E-6A54-4F86-A6B5-805ADDE50113

2014 oktobris

5612279E-542C-454D-87FE-92E7CBFDCF0F

2014. septembris

98CB657B-9051-439D-9A5D-8D4EDF851D94

2014. augusts

53B5DBC4-54C7-46E4-B056-C6F17947DBDC

2014. gada jūlijs

43E0374E-D98E-4266-AB02-AE415EC8E119

2014 jūnijs

07C5D15E-5547-4A58-A94D-5642040F60A2

May 2014

91EFE48B-7F85-4A74-9F33-26952DA55C80

2014 aprīlis

54788934-6031-4F7A-ACED-5D055175AF71

2014 marts

​254C09FA-7763-4C39-8241-76517EF78744

2014 februāris

FC5CF920-B37A-457B-9AB9-36ECC218A003

2014. gada janvāris

7BC20D37-A4C7-4B84-BA08-8EC32EBF781C

2013. decembris

AFAFB7C5-798B-453D-891C-6765E4545CCC

2013 novembris

BA6D0F21-C17B-418A-8ADD-B18289A02461

2013 oktobris

21063288-61F8-4060-9629-9DBDD77E3242

2013. septembris

462BE659-C07A-433A-874F-2362F01E07EA

2013. augusts

B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8

2013. gada jūlijs

9326E352-E4F2-4BF7-AF54-3C06425F28A6

2013 jūnijs

4A25C1F5-EA3D-4840-8E14-692DD6A57508

May 2013

3DAA6951-E853-47E4-B288-257DCDE1A45A

2013 aprīlis

7A6917B5-082B-48BA-9DFC-9B7034906FDC

2013 marts

147152D2-DFFC-4181-A837-11CB9211D091

2013 februāris

ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB

2013. gada janvāris

A769BB72-28FC-43C7-BA14-2E44725FED20

2012. decembris

AD64315C-1421-4A96-89F4-464124776078

2012 novembris

7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6

2012 oktobris

8C1ACB58-FEE7-4FF0-972C-A09A058667F8

2012. septembris

02A84536-D000-45FF-B71E-9203EFD2FE04

2012. augusts

C1156343-36C9-44FB-BED9-75151586227B

2012. gada jūlijs

3E9B6E28-8A74-4432-AD2A-46133BDED728

2012 jūnijs

4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384

May 2012

D0082A21-13E4-49F7-A31D-7F752F059DE9

2012 aprīlis

3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A

2012 marts

84C44DD1-20C8-4542-A1AF-C3BA2A191E25

2012 februāris

23B13CB9-1784-4DD3-9504-7E58427307A7

2012. gada janvāris

634F47CA-D7D7-448E-A7BE-0371D029EB32

2011. decembris

79B9D6F6-2990-4C15-8914-7801AD90B4D7

2011 novembris

BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9

2011 oktobris

C0177BCC-8925-431B-AC98-9AC87B8E9699

2011. septembris

E775644E-B0FF-44FA-9F8B-F731E231B507

2011. augusts

F14DDEA8-3541-40C6-AAC7-5A0024C928A8

2011. gada jūlijs

3C009D0B-2C32-4635-9B34-FFA7F4CB42E7

2011 jūnijs

DDE7C7DD-E76A-4672-A166-159DA2110CE5

May 2011

852F70C7-9C9E-4093-9184-D89D5CE069F0

2011 aprīlis

0CB525D5-8593-436C-9EB0-68C6D549994D

2011 Marts

AF70C509-22C8-4369-AEC6-81AEB02A59B7

2011 februāris

B3458687-D7E4-4068-8A57-3028D15A7408

2011. gada janvāris

258FD3CF-9C82-4112-B1B0-18EC1ECFED37

2010. decembris

4E28B496-DD95-4300-82A6-53809E0F9CDA

2010 novembris

5800D663-13EA-457C-8CFD-632149D0AEDD

2010 oktobris

32F1A453-65D6-41F0-A36F-D9837A868534

2010. septembris

0916C369-02A8-4C3D-9AD0-E72AF7C46025

2010. augusts

E39537F7-D4B8-4042-930C-191A2EF18C73

2010. gada jūlijs

A1A3C5AF-108A-45FD-ABEC-5B75DF31736D

2010 jūnijs

308738D5-18B0-4CB8-95FD-CDD9A5F49B62

May 2010

18C7629E-5F96-4BA8-A2C8-31810A54F5B8

2010 Aprīlis

D4232D7D-0DB6-4E8B-AD19-456E8D286D67

2010 Marts

076DF31D-E151-4CC3-8E0A-7A21E35CF679

2010 februāris

76D836AA-5D94-4374-BCBF-17F825177898

2010. gada janvāris

ED3205FC-FC48-4A39-9FBD-B0035979DDFF

2009. decembris

A9A7C96D-908E-413C-A540-C43C47941BE4

2009 novembris

78070A38-A2A9-44CE-BAB1-304D4BA06F49

2009 oktobris

4C64200A-6786-490B-9A0C-DEF64AA03934

2009. septembris

B279661B-5861-4315-ABE9-92A3E26C1FF4

2009. augusts

91590177-69E5-4651-854D-9C95935867CE

2009. gada jūlijs

F530D09B-F688-43D1-A3D5-49DC1A8C9AF0

2009 jūnijs

8BD71447-AAE4-4B46-B652-484001424290

May 2009

AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96

2009 aprīlis

276F1693-D132-44EF-911B-3327198F838B

2009 marts

BDEB63D0-4CEC-4D5B-A360-FB1985418E61

2009 februāris

C5E3D402-61D9-4DDF-A8F5-0685FA165CE8

2009. gada janvāris

2B730A83-F3A6-44F5-83FF-D9F51AF84EA0

2008. decembris

9BF57AAA-6CE6-4FC4-AEC7-1B288F067467

2008. decembris

9BF57AAA-6CE6-4FC4-AEC7-1B288F067467

2008 novembris

F036AE17-CD74-4FA5-81FC-4FA4EC826837

2008 oktobris

131437DE-87D3-4801-96F0-A2CB7EB98572

2008. septembris

7974CF06-BE58-43D5-B635-974BD92029E2

2008. augusts

F3889559-68D7-4AFB-835E-E7A82E4CE818

2008. gada jūlijs

BC308029-4E38-4D89-85C0-8A04FC9AD976

2008 jūnijs

0D9785CC-AEEC-49F7-81A8-07B225E890F1

May 2008

0A1A070A-25AA-4482-85DD-DF69FF53DF37

2008 aprīlis

F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA

2008 marts

24A92A45-15B3-412D-9088-A3226987A476

2008 februāris

0E918EC4-EE5F-4118-866A-93f32EC73ED6

2008. gada janvāris

330FCFD4-F1AA-41D3-B2DC-127E699EEF7D

2007. decembris

73D860EC-4829-44DD-A064-2E36FCC21D40

2007 novembris

EFC91BC1-FD0D-42EE-AA86-62F59254147F

2007 oktobris

52168AD3-127E-416C-B7F6-068D1254C3A4

2007. septembris

A72DDD48-8356-4D06-A8E0-8D9C24A20A9A

2007. augusts

0CEFC17E-9325-4810-A979-159E53529F47

2007. gada jūlijs

4AD02E69-ACFE-475C-9106-8FB3D3695CF8

2007 jūnijs

234C3382-3B87-41ca-98D1-277C2F5161CC

May 2007

15D8C246-6090-450f-8261-4BA8CA012D3C

2007 aprīlis

57FA0F48-B94C-49ea-894B-10FDA39A7A64

2007 marts

5ABA0A63-8B4C-4197-A6AB-A1035539234D

2007 februāris

FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE

2007. gada janvāris

2F9BC264-1980-42b6-9EE3-2BE36088BB57

2006. decembris

621498ca-889b-48ef-872b-84b519365c76

2006 novembris

1d21fa19-c296-4020-a7c2-c5a9ba4f2356

2006 oktobris

79e385d0-5d28-4743-aeb3-ed101c828abd

2006. septembris

ac3fa517-20f0-4a42-95ca-6383f04773c8

2006. augusts

37949d24-63f1-4fdc-ad24-5dc3eb3ad265

2006. gada jūlijs

5df61377-4916-440f-b23f-321933b0afd3

2006 jūnijs

7cf4b321-c0dd-42d9-afdf-edbb85e59767

May 2006

ce818d5b-8a25-47c0-a9cd-7169da3f9b99

2006 aprīlis

d0f3ea76-76c8-4287-8cdf-bdfee5e446ec

2006 marts

b5784f56-32CA-4756-a521-ca57816391ca

2006 februāris

99cb494b-98bf-4814-bff0-cf551ac8e205

2006. gada janvāris

250985ee-62e6-4560-b141-997fc6377fe2

2005. decembris

F8FEC144-AA00-48B8-9910-C2AE9CCE014A

2005 novembris

1F5BA617-240A-42FF-BE3B-14B88D004E43

2005 oktobris

08FFB7EB-5453-4563-A016-7DBC4FED4935

2005. septembris

33B662A4-4514-4581-8DD7-544021441C89

2005. gada augusts

4066DA74-2DDE-4752-8186-101A7C543C5F

2005. augusts

3752278B-57D3-4D44-8F30-A98F957EC3C8

2005. gada jūlijs

2EEAB848-93EB-46AE-A3BF-9F1A55F54833

2005 jūnijs

63C08887-00BE-4C9B-9EFC-4B9407EF0C4C

May 2005

08112F4F-11BF-4129-A90A-9C8DD0104005

2005 aprīlis

D89EBFD1-262C-4990-9927-5185FED1F261

2005 marts

F8327EEF-52AA-439A-9950-CE33CF0D4FDD

2005 februāris

805647C6-E5ED-4F07-9E21-327592D40E83

2005. gada janvāris

E5DD9936-C147-4CD1-86D3-FED80FAADA6C

3C. Kā varu atspējot rīka infekciju ziņošanas komponentu tā, lai atskaite netiktu nosūtīta atpakaļ uz Microsoft?

A3. Administrators var izvēlēties atspējot rīka infekciju ziņošanas komponentu, pievienojot datoram šādu reģistra atslēgas vērtību. Ja šī reģistra atslēgas vērtība ir iestatīta, rīks neziņos par infekcijas informāciju atpakaļ uz Microsoft.

Apakšatslēga: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Ieraksta nosaukums: \DontReportInfectionInformation
Ierakstiet: REG_DWORD
Vērtību dati: 1

Q4. 2005. gada marta laidiena datos MRT. žurnālfailā tiek parādīts nozaudēts. Kāpēc šie dati tika noņemti, un vai tas ir veids, kā to iegūt?

A4. Sākot ar marta 2005 laidienu, MRT. žurnālfaila fails tiek rakstīts kā unikoda fails. Lai nodrošinātu saderību, kad rīka 2005. gada marta versija tiek izpildīta, ja faila ANSI versija ir sistēmā, rīks šī žurnālfaila saturu nokopēs uz MRT .%windir%\Debug. un izveidojiet jaunu unikoda versiju. Tāpat kā ANSI versija, šī Unicode versija tiks pievienota ar katru secīgu rīka izpildi.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×