Distribuere Windows-verktøyet for fjerning av skadelig programvare i et bedriftsmiljø

Gjelder: Windows 7 Enterprise NWindows 7 Home BasicWindows 7 Home Premium

Windows-verktøyet for fjerning av skadelig programvare er beregnet for bruk med operativsystemene som er oppført i delen "Gjelder for". Operativsystemer som ikke er inkludert i listen ble ikke testet og støttes derfor ikke. Disse operativsystemene som ikke støttes, inkluderer alle versjoner og utgaver av innebygde operativsystemer.

Introduksjon


Microsoft utgir vanligvis Windows skadelig programvare Removal Tool (MSRT) hver måned som en del av Windows Update eller det frittstående verktøyet. Bruk dette verktøyet til å finne og fjerne bestemt, utbredt og trusler og reversere endringer de har gjort (Se dekkede trusler). For omfattende malware oppdagelse og fjerning av, kan du vurdere å bruke Microsoft Safety Scanner.

Dette verktøyet fungerer på en utfyllende måte med eksisterende antimalware løsninger og kan brukes på de nyeste Windows-versjoner (se Properties-inndelingen).

Informasjonen i denne artikkelen gjelder for enterprise-distribusjon av verktøyet. Vi anbefaler at du leser gjennom følgende knowledge base-artikkelen for mer informasjon om verktøyet:

Last ned verktøyet


Oversikt over gjennomføring


Verktøyet kan distribueres i et bedriftsmiljø for å forbedre eksisterende beskyttelse, og som en del av en strategi for dybdeforsvar i. Når du skal distribuere verktøyet i et bedriftsmiljø, kan du bruke én eller flere av følgende metoder:

  • Windows Server Update Services
  • Programvarepakken Microsoft Systems Management Software (SMS)
  • Gruppere gruppepolicybasert oppstartsskript for datamaskiner
  • Gruppere gruppepolicybasert påloggingsskript for brukere

Den gjeldende versjonen av dette verktøyet støtter ikke følgende distribusjonsteknologier og -teknikker:

  • Windows Update-katalogen
  • Kjøring av verktøyet mot en ekstern datamaskin
  • Software Update Services (SUS)

I tillegg oppdager Microsoft Baseline Security Analyzer (MBSA) ikke kjøring av verktøyet. Denne artikkelen inneholder informasjon om hvordan du kan kontrollere at verktøyet ble kjørt som en del av distribusjonen.

Kodeeksemplet


Skriptet og trinnene som beskrives her, er ment som eksempler og eksempler. Kunder må teste disse eksempelskriptene og -situasjonene og endre dem etter behov for å virke i miljøet. Du må endre servernavn og navn på delt ressurs i samsvar med oppsettet i ditt miljø.

Kodeeksemplet nedenfor gjør følgende:

  • Kjører verktøyet i stille modus
  • Kopierer loggfilen til en forhåndskonfigurert, delt nettverksressurs
  • Prefixes loggen filnavnet ved hjelp av navnet på datamaskinen der verktøyet er Kjør og brukernavnet til gjeldende bruker

    Obs! Du må angi tillatelser på den delte ressursen i henhold til instruksjonene i delen Første installasjon og konfigurasjon .
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.60.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Obs! I dette kodeeksemplet er servernavn er en plassholder for navnet på serveren og navn på delt ressurs er en plassholder for navnet på den delte ressursen.

Første installasjon og konfigurasjon


Denne delen er beregnet på administratorer som bruker et oppstartsskript eller et påloggingsskript til å distribuere dette verktøyet. Hvis du bruker SMS, kan du fortsette til delen "Distribusjonsmetoder".

Hvis du vil konfigurere serveren og den delte ressursen, gjør du følgende:

  1. Konfigurer en delt ressurs på en medlemsserver. Deretter gir du den delte ressursen
    Navn på delt ressurs.
  2. Kopier verktøyet og eksempelskriptet, RunMRT.cmd, til den delte ressursen. Se delen kodeeksempel for detaljer.
  3. Konfigurer følgende delingstillatelser og NTFS-filsystem:
    • Delingstillatelser:
      1. Legg til domenebrukerkontoen for brukeren som administrerer den delte ressursen, og klikk deretter Full kontroll.

      2. Fjern gruppen alle.

      3. Hvis du bruker metoden for oppstartsskript for datamaskin, legger du til gruppen Domenedatamaskiner sammen med endrings- og lesetillatelser.

      4. Hvis du bruker metoden for påloggingsskript, legger du til gruppen Godkjente brukere sammen med endrings- og lesetillatelser.

    • NTFS-tillatelser:
      1. Legg til domenebrukerkontoen for brukeren som administrerer den delte ressursen, og klikk deretter Full kontroll.
      2. Fjern alle-gruppen hvis den er i listen.

        Obs! Hvis du får en feilmelding når du fjerner gruppen Alle gruppere, klikk Avansert i kategorien Sikkerhet , og klikk deretter for å fjerne merket for Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet .
      3. Hvis du bruker metoden for oppstartsskript for datamaskin, gir du gruppen Domenedatamaskiner lese og kjøre tillatelser, vise mappeinnhold og lese.
      4. Hvis du bruker metoden for påloggingsskript, gir du gruppen Godkjente brukere lese og kjøre tillatelser, vise mappeinnhold og lese.
  4. Under Ressursnavn -mappen oppretter du en mappe som heter "Logs."

    Denne mappen er der de endelige loggfilene skal samles etter at verktøyet er kjørt på klientdatamaskinene.
  5. Følg disse trinnene for å konfigurere NTFS-tillatelsene i logger-mappen.

    Obs! Ikke endre delingstillatelsene i dette trinnet.
    1. Legg til domenebrukerkontoen for brukeren som administrerer den delte ressursen, og klikk deretter Full kontroll.
    2. Hvis du bruker metoden for oppstartsskript for datamaskin, gir du gruppen Domenedatamaskiner tillatelsene Endre, "Lese & kjøre" tillatelser, vise mappeinnhold, lese og skrive.
    3. Hvis du bruker metoden for påloggingsskript, gir du godkjente brukere tillatelsene Endre, "Lese & kjøre" tillatelser, vise mappeinnhold, lese og skrive.

Distribusjonsmetoder


Obs! Hvis du vil kjøre dette verktøyet, må du ha administratortillatelser eller systemtillatelser, uansett hvilket distribusjonsalternativ du velger.

Hvordan du bruker SMS-programvarepakke

I eksemplet nedenfor inneholder trinnvise instruksjoner for bruk av SMS 2003. Trinnene for bruk av SMS 2.0 ligner på disse trinnene.

  1. Pakk ut filen Mrt.exe fra pakken som heter Windows-KB890830-V1.34-ENU.exe/x.
  2. Opprett en BAT-fil for å starte Mrt.exe og registrere returkoden ved hjelp av ISMIF32.exe.

    Følgende er et eksempel.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”Goto end:end
    Hvis du vil ha mer informasjon om Ismif32.exe, kan du gå til følgende artikkel i Microsoft Knowledge Base:
    186415 MIF-statusoppretter, Ismif32.exe, er tilgjengelig
  3. Hvis du vil opprette en pakke i SMS 2003-konsollen, gjør du følgende:
    1. Åpne SMS-administratorkonsollen.
    2. Høyreklikk noden pakker , klikker du
      Nyog deretter pakke.

      Den
      Dialogboksen for Pakkeegenskaper vises.
    3. I kategorien Generelt kan du gi pakken.
    4. Klikk for å merke av for denne pakken inneholder kildefiler i kategorien Datakilde .
    5. Klikk Angi, og velg deretter en kildekatalog som inneholder verktøyet.
    6. I kategorien Distribusjonsinnstillingene angitt Sending prioritet til Høy.
    7. I kategorien rapportering klikker du bruke disse feltene for status MIF matching, og angi deretter et navn for feltet MIF-filnavn og den
      Navnet på feltet.

      Versjon og Publisher er valgfrie.
    8. Klikk OK for å opprette pakken.
  4. Hvis du vil angi en fordeling punkt (DP) til pakken, gjør du følgende:
    1. Finn den nye pakken under pakker -noden i SMS 2003-konsollen.
    2. Utvid pakken. Høyreklikk Distribution Points, velg Ny, og klikk deretter Distribution Points.
    3. Start New Distribution Points veiviseren. Velg et eksisterende distribusjonssted.
    4. Klikk Fullfør for å avslutte veiviseren.
  5. Hvis du vil legge til den satsvise filen som tidligere ble opprettet i den nye pakken, gjør du følgende:
    1. Klikk noden programmer under noden for nye pakken.
    2. Høyreklikk programmer, velg
      Ny, og klikk deretter programmet.
    3. Klikk kategorien Generelt , og skriv deretter inn et gyldig navn.
    4. Klikk på kommandolinjen:
      Bla gjennom for å velge den satsvise filen du opprettet for å starte Mrt.exe.
    5. Endre kjøre til
      Skjult. Endre etter til Ingen handling er nødvendig.
    6. Klikk kategorien krav , og klikk deretter dette programmet kan bare kjøre på angitt klientoperativsystemer.
    7. Klikk alle x86 Windows XP.
    8. Klikk kategorien miljø ,
      Om en bruker er logget på listen kan kjøre programmet . Angi modusen som kjører kjører med administrative rettigheter.
    9. Klikk OK for å lukke dialogboksen.
  6. Hvis du vil opprette en annonse for å annonsere programmet til klienter, gjør du følgende:
    1. Høyreklikk noden annonse , klikk Nyog deretter
      Annonsen.
    2. I kategorien Generelt skriver du inn et navn for annonsen. Velg pakken som du har opprettet i pakke -feltet. Velg programmet du har opprettet i feltet Program . Klikk Bla gjennom, og klikk Alle System -samlingen, eller velg en samling datamaskiner som bare inkluderer Windows Vista og senere versjoner.
    3. Behold standardalternativene i kategorien plan Hvis du vil at programmet skal kjøres bare én gang. Hvis du vil kjøre programmet etter en tidsplan, tilordne planleggingsintervall.
    4. Angi prioritet til Høy.
    5. Klikk OK for å opprette annonsen.

Bruke et gruppepolicybasert oppstartsskript for datamaskiner

Denne metoden krever at du starter klientdatamaskinen på nytt når du har konfigurert skriptet og brukt gruppepolicyinnstillingen.

  1. Konfigurer de delte ressursene. Hvis du vil gjøre dette, følger du trinnene i den
    Delen Første installasjon og konfigurasjon .
  2. Definere oppstartsskriptet. Følg denne fremgangsmåten:
     
    1. I Active Directory-brukere og -datamaskiner MMC-snapin-modulen, høyreklikker du domenenavnet, og klikk deretter
      Egenskaper.
    2. Klikk kategorien Gruppepolicy .
    3. Klikk Ny for å opprette et nytt gruppepolicyobjekt (GPO), og Skriv inn MRT-distribusjon for navnet på policyen.
    4. Klikk den nye policyen, og klikk deretter Rediger.
    5. Utvid Windows-innstillinger for Datamaskinkonfigurasjon, og klikk deretter skript.
    6. Dobbeltklikk pålogging, og klikk deretter Legg til.

      Dialogboksen Legg til skript vises.
    7. Skriv inn i boksen Skriptnavn
      \\ServerName\ShareName\RunMRT.cmd.
    8. Klikk OK, og klikk deretter Bruk.
  3. Start klientdatamaskinene som er medlemmer av dette domenet.

Bruke et gruppepolicybasert påloggingsskript for brukere

Denne metoden krever at brukerkontoen for pålogging er en domenekonto og medlem av den lokale administratorgruppen på klientdatamaskinen.

  1. Konfigurer de delte ressursene. Hvis du vil gjøre dette, følger du trinnene i den
    Delen Første installasjon og konfigurasjon .
  2. Definere påloggingsskriptet. Følg denne fremgangsmåten:
    1. I Active Directory-brukere og -datamaskiner MMC-snapin-modulen, høyreklikker du domenenavnet, og klikk deretter
      Egenskaper.
    2. Klikk kategorien Gruppepolicy .
    3. Klikk Ny for å opprette et nytt Gruppepolicyobjekt, og skriver deretter inn MRT-distribusjon for navnet.
    4. Klikk den nye policyen, og klikk deretter
      Rediger.
    5. Utvid Windows-innstillinger for Brukerkonfigurasjon, og klikk deretter skript.
    6. Dobbeltklikk pålogging, og klikk deretter Legg til. Dialogboksen Legg til skript vises.
    7. Skriv inn i boksen Skriptnavn
      \\ServerName\ShareName\RunMRT.cmd.
    8. Klikk OK, og klikk deretter Bruk.
  3. Logg av og logg deretter på klientdatamaskinene.

I dette scenariet kjører skriptet og verktøyet under konteksten til den påloggede brukeren. Hvis brukeren ikke tilhører den lokale administratorgruppen eller ikke har tilstrekkelige rettigheter, vil ikke kjøre verktøyet, og vil ikke returnere den aktuelle returkoden. For mer informasjon om hvordan du bruker oppstarts- og påloggingsskript, kan du gå til følgende artikkel i Microsoft Knowledge Base:

Ytterligere informasjon relevant for distribusjon i bedrifter


Undersøke returkoder

Du kan undersøke returkoden for verktøyet i distribusjonsskriptet for pålogging eller oppstart for å kontrollere resultatene av kjøringen. Se et eksempel på hvordan du gjør dette kodeeksemplet .

Følgende liste inneholder gyldige returkoder.

0 = Ingen infeksjon ble funnet
1 = OS-miljø-feil
2 = Ikke kjører som en Administrator
3 = Ikke et støttet OS
4 = Feil under initialisering av skanneren. (Laste ned en ny kopi av verktøyet)
5 = Ikke brukt
6 = Minst én infeksjon ble funnet. Ingen feil.
7 = Minst én infeksjon ble funnet, men det ble oppdaget feil.
8 = Minst én infeksjon ble funnet og fjernet, men manuelle trinn kreves for en fullstendig fjerning.
9 = Minst én infeksjon ble funnet og fjernet, men manuelle trinn kreves for fullstendig fjerning og det ble oppdaget feil.
10 = Minst én infeksjon ble funnet og fjernet, men det kreves en omstart for fullstendig fjerning
11 = Minst én infeksjon ble funnet og fjernet, men det kreves en omstart for fullstendig fjerning, og det ble oppdaget feil
12 = Minst én infeksjon ble funnet og fjernet, men både manuelle trinn og en omstart er nødvendig for fullstendig fjerning.
13 = Minst én infeksjon ble funnet og fjernet, men det er nødvendig med en omstart. Det oppstod noen feil.

Analysere loggfilen

Verktøyet for fjerning av skadelig programvare skriver detaljer om resultatet av kjøringen i loggfilen %windir%\debug\mrt.log.

Notater

  • Denne loggfilen er bare tilgjengelig på engelsk.
  • Fra og med versjon 1.2 av verktøyet for fjerning av (mars 2005), brukes Unicode-tekst i loggfilen. Før versjon 1.2 brukt ANSI-tekst i loggfilen.
  • Loggfilformatet er endret med versjon 1.2, og vi anbefaler at du laster ned og bruker den nyeste versjonen av verktøyet.

    Hvis loggfilen allerede eksisterer, legges det til den eksisterende filen.
  • Du kan bruke et kommandoskript som ligner på det forrige eksemplet til å registrere returkoden og samle filene på en delt nettverksressurs.
  • På grunn av byttet fra ANSI til Unicode kopiere versjon 1.2 av verktøyet for fjerning alle ANSI-versjoner av Mrt.log-filen i mappen %windir%\debug til Mrt.log.old i samme katalog. Versjon 1.2 oppretter også en ny Unicode-versjon av Mrt.log-filen i den samme mappen. På samme måte som for ANSI-versjonen føyes denne loggfilen hver måned utgivelse.

Følgende eksempel er en Mrt.log-fil fra en datamaskin som er infisert med MPnTestFile-ormen:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  


Følgende er et eksempel på en loggfil der ingen skadelig programvare ble funnet.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 


Følgende er et eksempel på loggfil feil ble funnet.


Hvis du vil ha mer informasjon om advarsler og feil som skyldes verktøyet, kan du gå til følgende artikkel i Microsoft Knowledge Base:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Kjente problemer


Kjent problem 1

Når du kjører verktøyet ved å bruke et oppstartsskript, kan feilmeldinger som ligner på følgende feilmelding logges i Mrt.log-filen:
 

Feil: MemScanGetImagePathFromPid(pid: 552) mislyktes.
0x00000005: Ingen tilgang.


Legg merke til pid-nummeret vil variere.

Denne feilmeldingen vises når du nettopp har startet en prosess eller en prosess nylig er stoppet. Den eneste effekten er at prosessen som er tilordnet av PID-nummeret ikke, skannes.

Kjent problem 2

I noen sjeldne tilfeller, hvis en administrator velger å distribuere MSRT ved hjelp av stille bryteren /q (også kalt stille modus), kanskje dette ikke fullstendig løse rensing for en undergruppe av infeksjoner i situasjoner der flere rengjøring er nødvendig etter en omstart. Dette er observert i fjerning av visse rootkit-varianter.

VANLIGE SPØRSMÅL


Q1. Når jeg tester oppstarts- eller påloggingsskriptet for å distribuere verktøyet, ser jeg ikke at loggfilene kopieres til den delte nettverksressursen jeg har konfigurert. hvorfor?

A1. Dette forårsakes ofte av tillatelsesproblemer. For eksempel har verktøyet for fjerning ble kjørt fra kontoen ikke skrivetilgang til den delte ressursen. Hvis du vil feilsøke dette, må du først kontrollere at verktøyet ble kjørt, ved å kontrollere registernøkkelen. Alternativt kan du se etter at loggfilen på klientdatamaskinen. Hvis verktøyet ble kjørt, kan du teste et enkelt skript og kontrollere at den kan skrive til den delte nettverksressursen når det kjøres under den samme sikkerhetskonteksten som verktøyet for fjerning ble kjørt.

Q2. Hvordan kan jeg bekrefte at verktøyet for fjerning ble kjørt på en klientdatamaskin?

A2. Du kan undersøke verdidataene for følgende registeroppføring til å bekrefte at verktøyet. Du kan implementere en slik gjennomgang som en del av et oppstartsskript eller et påloggingsskript. Denne prosessen forhindrer verktøyet kjøres flere ganger.

Undernøkkel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
Navn på oppføring:
Versjon

Hver gang verktøyet kjøres, registrerer verktøyet en GUID i registret for å angi at det ble kjørt. Dette skjer uavhengig av resultatene av kjøringen. Tabellen nedenfor viser GUIDEN som samsvarer med hver utgivelse.

Q3. Hvordan kan jeg deaktivere komponenten som rapporterer om infeksjonen, i verktøyet, slik at rapporten ikke sendes tilbake til Microsoft?

A3. En administrator kan velge å deaktivere komponenten som rapporterer om infeksjonen, i verktøyet ved å legge til følgende registernøkkelverdi for datamaskiner. Hvis denne registernøkkelverdien er angitt, vil ikke verktøyet rapportere infeksjonsinformasjon tilbake til Microsoft.

Undernøkkel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
Navn på oppføring: \DontReportInfectionInformation
Type: REG_DWORD
Verdidata: 1

Q4. I mars 2005-versjonen vises data i Mrt.log-filen er forsvunnet. Hvorfor ble disse dataene fjernet, og det er en måte for meg å hente den?

A4. Fra og med mars 2005-versjonen skrives Mrt.log-filen som en Unicode-fil. For å sikre kompatibilitet når mars 2005-versjonen av verktøyet kjøres, hvis det finnes en ANSI-versjon av filen på systemet, vil verktøyet kopiere innholdet i denne loggen til Mrt.log.old i %WINDIR%\debug og opprette en ny Unicode-versjon av Mrt.log. På samme måte som for ANSI-versjonen føyes denne Unicode-versjonen til med hver etterfølgende kjøring av verktøyet.