Implementar a ferramenta de remoção de Software Malicioso do Windows num ambiente empresarial

Aplica-se a: Windows 7 Enterprise NWindows 7 Home BasicWindows 7 Home Premium Mais

A ferramenta de remoção de Software Malicioso do Windows destina-se para utilização com os sistemas operativos listados na secção "Aplica-se a". Sistemas operativos que não estão incluídos na lista não foram testados e, por conseguinte, não são suportados. Estes sistemas operativos não suportados incluem todas as versões e edições de sistemas operativos incorporados.

Introdução


Normalmente, a Microsoft lança Windows malicioso Software remoção ferramenta (MSRT) mensalmente como parte do Windows Update ou a ferramenta autónoma. Utilize esta ferramenta para localizar e remover ameaças prevalecente específicas e anular as alterações efectuadas (Ver ameaças cobertas). Para detecção malware abrangente e remoção, considere utilizar o Analista de segurança da Microsoft.

Esta ferramenta funciona de forma complementar com soluções de protecção contra Malware existentes e podem ser utilizada em versões mais actuais do Windows (ver secção Propriedades).

As informações contidas neste artigo são específicas para a implementação empresarial da ferramenta. Recomendamos que reveja o seguinte artigo da base de dados de conhecimento para obter mais informações sobre a ferramenta:

Transferir a ferramenta


Descrição geral da implementação


A ferramenta pode ser implementada num ambiente empresarial para aumentar a protecção existente e como parte de uma estratégia de defesa profunda. Para implementar a ferramenta num ambiente empresarial, pode utilizar um ou mais dos seguintes métodos:

  • Windows Server Update Services
  • Pacote de software do Microsoft Systems Management Software (SMS)
  • Script de arranque do computador baseado na política de grupo
  • Script de início de sessão do utilizador baseado na política de grupo

A versão actual desta ferramenta não suporta as seguintes tecnologias de implementação e técnicas:

  • Catálogo do Windows Update
  • Execução da ferramenta num computador remoto
  • Software Update Services (SUS)

Além disso, o Microsoft Baseline Security Analyzer (MBSA) não detecta a execução da ferramenta. Este artigo inclui informações sobre como pode verificar a execução da ferramenta como parte da implementação.

Exemplo de código


O script e os passos fornecidos aqui são meros exemplos. Os clientes devem testar estes scripts e cenários de exemplo e modificá-las devidamente a trabalhar no seu ambiente. Tem de alterar o nome do servidor e nomedapartilha em conformidade com o programa de configuração no seu ambiente.O seguinte código de exemplo efectua as seguintes acções:

  • Executa a ferramenta no modo silencioso
  • Copia o ficheiro de registo para uma partilha de rede pré-configurada
  • Prefixa o nome do ficheiro de registo utilizando o nome do computador a partir da qual a ferramenta está a executar e o nome de utilizador do utilizador actual Nota Tem de definir as permissões adequadas na partilha de acordo com as instruções na secção de instalação e configuração inicial .
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.66.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Nota Neste exemplo de código, nomeservidor é um marcador de posição para o nome do servidor e nomedapartilha é um marcador de posição para o nome da partilha de.

Instalação e configuração inicial


Esta secção destina-se a administradores que utilizem um script de arranque ou um script de início de sessão para implementar esta ferramenta. Se estiver a utilizar o SMS, pode continuar para a secção "Métodos de implementação".Para configurar o servidor e a partilha, siga estes passos:

  1. Configure uma partilha num servidor membro. O nome da partilha Nome de partilha.
  2. Copie a ferramenta e o script de exemplo, RunMRT, para a partilha. Consulte a secção de código de exemplo para obter detalhes.
  3. Configure as seguintes permissões de partilha e permissões de sistema de ficheiros NTFS:
    • Permissões de partilha:
      1. Adicione a conta de utilizador de domínio para o utilizador que está a gerir esta partilha e, em seguida, clique em Controlo total.

      2. Remova o grupo todos.

      3. Se utilizar o método de script de arranque do computador, adicione o grupo de computadores de domínio com permissões de leitura e para alterar.

      4. Se utilizar o método de script de início de sessão, adicione o grupo de utilizadores autenticados com permissões de leitura e para alterar.

    • Permissões de NTFS:
      1. Adicione a conta de utilizador de domínio para o utilizador que está a gerir esta partilha e, em seguida, clique em Controlo total.
      2. Remova o grupo todos se este existir na lista. Nota Se receber uma mensagem de erro ao remover todos agrupar, clique em Avançadas no separador segurança e, em seguida, clique para desmarcar a caixa de verificação de que as permissões herdáveis se propaguem para este objecto .
      3. Se utilizar o método de script de arranque do computador, conceda ao grupo computadores do domínio permissões para ler e executar, listar conteúdo das pastas e permissões de leitura.
      4. Se utilizar o método de script de início de sessão, conceda ao grupo utilizadores autenticados permissões para ler e executar, listar conteúdo das pastas e permissões de leitura.
  4. Na pasta ShareName , crie uma pasta com o nome "Logs". Esta pasta é onde serão reunidos os ficheiros de registo finais após a execução da ferramenta nos computadores cliente.
  5. Para configurar as permissões NTFS na pasta Logs, siga estes passos. Nota Não altere as permissões de partilha neste passo.
    1. Adicione a conta de utilizador de domínio para o utilizador que está a gerir esta partilha e, em seguida, clique em Controlo total.
    2. Se utilizar o método de script de arranque do computador, conceda ao grupo de computadores de domínio modificar permissões, "Ler & executar" permissões, listar conteúdo das pastas, ler e permissões de escrita.
    3. Se utilizar o método de script de início de sessão, conceda ao grupo utilizadores autenticados permissões para modificar, "Ler & executar" permissões, listar conteúdo das pastas, ler e permissões de escrita.

Métodos de implementação


Nota Para executar esta ferramenta, tem de ter permissões de administrador ou sistema, independentemente da opção de implementação que escolher.

Como utilizar o pacote de software do SMS

O exemplo que se segue fornece instruções passo a passo sobre como utilizar o SMS 2003. Os passos para utilizar o SMS 2.0 são semelhantes a estes.

  1. Extraia o ficheiro Mrt.exe do pacote denominado Windows-KB890830-v 1.34-ENU.exe/x.
  2. Crie um ficheiro. bat para iniciar o Mrt.exe e para capturar o código devolvido utilizando ISMIF32.exe. Segue-se um exemplo.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 13"Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12"Goto end:end
    Para mais informações sobre Ismif32.exe, vá para o seguinte artigo na Microsoft Knowledge Base:
    186415 criador MIF de estado, Ismif32.exe está disponível
  3. Para criar um pacote na consola do SMS 2003, siga estes passos:
    1. Abra a consola de administrador do SMS.
    2. Clique com o botão direito do rato em pacotes , clique em Novoe, em seguida, clique em pacote. O É apresentada a caixa de diálogo de Propriedades do pacote .
    3. No separador Geral , o nome do pacote.
    4. No separador ' Origem de dados , clique para seleccionar a caixa de verificação Este pacote contém ficheiros de origem .
    5. Clique em Definire, em seguida, escolha um directório de origem que contém a ferramenta.
    6. No separador Definições de distribuição , defina a prioridade de envio para Alta.
    7. No separador relatórios , clique em utilizar estes campos para a correspondência de MIF de estadoe, em seguida, especifique um nome para o campo de nome de ficheiro MIF e para o Campo de nome . Versão e o Publisher são opcionais.
    8. Clique em OK para criar o pacote.
  4. Para especificar um ponto de distribuição (DP) para o pacote, siga estes passos:
    1. Na consola do SMS 2003, localize o novo pacote no nó Packages .
    2. Expanda o pacote. Com o botão direito Pontos de distribuição, aponte para Novoe, em seguida, clique em Pontos de distribuição.
    3. Inicie o New Distribution Points assistente. Seleccione um ponto de distribuição existente.
    4. Clique em Concluir para sair do assistente.
  5. Para adicionar o ficheiro batch criado anteriormente ao novo pacote, siga estes passos:
    1. No nó do novo pacote, clique no nó de programas .
    2. Clique em programas, aponte para Novoe, em seguida, clique em programa.
    3. Clique no separador Geral e, em seguida, introduza um nome válido.
    4. Na linha de comandos, clique em A Procurar para seleccionar o ficheiro batch que criou para iniciar o Mrt.exe.
    5. Alterar a ExecutarOculto. Alterar após a necessária nenhuma acção.
    6. Clique no separador de requisitos e, em seguida, faça clique sobre este programa pode ser executado apenas em sistemas operativos de cliente especificado.
    7. Clique em todos os x86 Windows XP.
    8. Clique no separador Environment , clique em Se um utilizador é registado na lista pode executar o programa . Defina o modo de execução para ser executada com direitos administrativos.
    9. Clique em OK para fechar a caixa de diálogo.
  6. Para criar um anúncio para anunciar o programa aos clientes, siga estes passos:
    1. Clique com o botão direito do rato em anúncio , clique em Novoe, em seguida, clique em Anúncio.
    2. No separador Geral , introduza um nome para o anúncio. No campo de pacote , seleccione o pacote que criou anteriormente. No campo Program , seleccione o programa que criou anteriormente. Clique em Procurare, em seguida, clique na colecção de Todos os sistema ou seleccione um conjunto de computadores que apenas inclui o Windows Vista e versões posteriores.
    3. No separador agenda , deixe as opções predefinidas se pretender que o programa seja executado apenas uma vez. Para executar o programa com base numa agenda, atribua um intervalo da agenda.
    4. Defina a prioridade para Alta.
    5. Clique em OK para criar o anúncio.

Como utilizar um script de arranque do computador baseado na política de grupo

Este método requer que reinicie o computador cliente depois de configurar o script e de aplicar a definição de política de grupo.

  1. Configure as partilhas. Para tal, siga os passos do Secção de instalação e configuração inicial .
  2. Configure o script de arranque. Para tal, siga estes passos:
    1. Os computadores e utilizadores do Active Directory da MMC snap-in, o nome de domínio com o botão direito e, em seguida, clique em Propriedades.
    2. Clique no separador da Política de grupo .
    3. Clique em Novo para criar um objecto de política de grupo (GPO) nova e escreva o nome da política de Implementação de MRT .
    4. Clique na nova política e, em seguida, clique em Editar.
    5. Expanda As definições do Windows para configuração do computadore, em seguida, clique em Scripts.
    6. Faça duplo clique em início de sessãoe, em seguida, clique em Adicionar. É apresentada a caixa de diálogo Adicionar um Script .
    7. Na caixa Nome do Script , escreva \ \Nomeservidor\NomePartilha\RunMRT.cmd.
    8. Clique em OKe, em seguida, clique em Aplicar.
  3. Reinicie os computadores cliente que são membros deste domínio.

Como utilizar um script de início de sessão do utilizador baseado na política de grupo

Este método requer que a conta de utilizador de início de sessão é uma conta de domínio e é um membro do grupo de administradores locais no computador cliente.

  1. Configure as partilhas. Para tal, siga os passos do Secção de instalação e configuração inicial .
  2. Configure o script de início de sessão. Para tal, siga estes passos:
    1. Os computadores e utilizadores do Active Directory da MMC snap-in, o nome de domínio com o botão direito e, em seguida, clique em Propriedades.
    2. Clique no separador da Política de grupo .
    3. Clique em Novo para criar um novo GPO e, em seguida, escreva a Implementação de MRT para o nome.
    4. Clique na nova política e, em seguida, clique em Editar.
    5. Expanda As definições do Windows para configuração do utilizadore, em seguida, clique em Scripts.
    6. Faça duplo clique em início de sessãoe, em seguida, clique em Adicionar. É apresentada a caixa de diálogo Adicionar um Script .
    7. Na caixa Nome do Script , escreva \ \Nomeservidor\NomePartilha\RunMRT.cmd.
    8. Clique em OKe, em seguida, clique em Aplicar.
  3. Terminar sessão e, em seguida, inicie sessão nos computadores cliente.

Neste cenário, o script e a ferramenta serão executada no contexto do utilizador com sessão iniciada. Se este utilizador não pertence ao grupo de administradores locais ou não tem permissões suficientes, a ferramenta não será executada e não devolverá o que código de retorno adequado. Para obter mais informações sobre como utilizar scripts de arranque e início de sessão, vá para o seguinte artigo na Microsoft Knowledge Base:

Obter informações adicionais relevantes para implementação empresarial


Como examinar os códigos de retorno

Pode examinar o código de retorno da ferramenta no script de início de sessão de implementação ou no seu script de arranque de implementação para verificar os resultados da execução. Consulte a secção de código de exemplo para um exemplo de como efectuar este procedimento.A lista seguinte contém os códigos de retorno válidos.

0 = Nenhuma infecção detectada
1 = Erro de ambiente do SO
2 = Não executar como administrador
3 = SO não suportado.
4 = Erro ao inicializar o scanner. (Uma nova cópia da ferramenta de transferência)
5 = Não utilizado
6 = Pelo menos uma infecção detectada. Sem erros.
7. = Foi detectada pelo menos uma infecção, mas foram encontrados erros.
8 = Foi detectada e removida pelo menos uma infecção, mas são necessários passos manuais para uma remoção completa.
9 = Pelo menos uma infecção foi detectada e removida, mas são necessários passos manuais para remoção completa e ocorreram erros.
10 = Foi detectada e removida pelo menos uma infecção, mas é necessário um reinício para remoção completa
11 = Pelo menos uma infecção foi detectada e removida, mas é necessário um reinício para remoção completa e ocorreram erros
12 = Foi detectada e removida pelo menos uma infecção, mas é necessária tanto passos manuais e um reinício para remoção completa.
13 = Foi detectada e removida pelo menos uma infecção, mas é necessário um reinício. Não ocorreram erros.

Como analisar o ficheiro de registo

A ferramenta de remoção de Software Malicioso escreve detalhes sobre o resultado da execução no ficheiro de registo %windir%\debug\mrt.log..Notas

  • Este ficheiro de registo está disponível apenas em inglês.
  • A partir da versão 1.2 da ferramenta de remoção (Março de 2005), este ficheiro de registo utiliza texto Unicode. Antes da versão 1.2, o ficheiro de registo utilizada texto em ANSI.
  • O formato de ficheiro de registo foi alterado na versão 1.2 e recomendamos que transfira e utilize a versão mais recente da ferramenta. Se este ficheiro de registo já existir, a ferramenta acrescenta o ficheiro existente.
  • Pode utilizar um script de comandos semelhante ao exemplo anterior para capturar o código devolvido e reunir os ficheiros para uma partilha de rede.
  • Devido à alteração de ANSI para Unicode, versão 1.2 da ferramenta de remoção copiará quaisquer versões ANSI do ficheiro Mrt. log na pasta %windir%\debug para Mrt.log.old no mesmo directório. Versão 1.2 também criará uma nova versão de Unicode do ficheiro Mrt. log nesse mesmo directório. Tal como a versão em ANSI, este ficheiro de registo será anexado ao lançamento de cada mês.

O exemplo seguinte é um ficheiro Mrt. log de um computador infectado com o worm MPnTestFile:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  

Segue-se um exemplo de ficheiro de registo se não for detectado software malicioso.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 

Segue-se um ficheiro de registo de exemplo em que forem encontrados erros.Para mais informações sobre os avisos e erros gerados pela ferramenta, visite o seguinte artigo na Microsoft Knowledge Base:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Problemas conhecidos


Problema conhecido 1

Quando executar a ferramenta utilizando um script de arranque, poderão ser registadas mensagens de erro parecidos com a seguinte mensagem de erro no ficheiro Mrt. log:

Erro: MemScanGetImagePathFromPid(pid: 552) falhou.0x00000005: acesso negado.

Nota do número pid irá variar.Esta mensagem de erro ocorre quando um processo acabou de ser iniciado ou foi recentemente parado. A única consequência é que o processo é designado pelo pid não é verificado.

Problema conhecido 2

Em alguns casos raros, se um administrador optar por implementar a MSRT utilizando o parâmetro /q silencioso (também conhecido como modo silencioso), este poderá não completamente resolver limpeza para um pequeno subconjunto de infecções em situações em que a limpeza adicional é necessário após um reinício. Isto tiver sido observado apenas na remoção de certas variantes rootkit.

PERGUNTAS MAIS FREQUENTES


Q1. Quando testo o meu script de arranque ou início de sessão para implementar a ferramenta, não vejo os ficheiros de registo que estão a ser copiados para a partilha de rede que configurei. Por que razão?A1. Isto é frequentemente provocado por problemas de permissões. Por exemplo, a conta que a ferramenta de remoção foi executada a partir não tem permissão de escrita à partilha. Para resolver este problema, certifique-se de que a ferramenta foi executada verificando a chave de registo. Em alternativa, pode procurar a presença do ficheiro de registo no computador cliente. Se a ferramenta foi executada com êxito, pode testar um script simples e certifique-se de que este consegue escrever na partilha de rede quando executado no mesmo contexto de segurança em que a ferramenta de remoção foi executada.Q2. Como posso verificar que a ferramenta de remoção foi executada num computador cliente?A2. Pode examinar os dados do valor para a seguinte entrada de registo verificar a execução da ferramenta. Pode implementar esta verificação como parte de um script de arranque ou um script de início de sessão. Este processo impede que a ferramenta execute várias vezes.

Subchave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRTNome de entrada:Versão

Sempre que a ferramenta é executada, a ferramenta registará um GUID no registo para indicar que foi executada. Isto ocorre independentemente dos resultados da execução. A tabela seguinte lista o GUID correspondente a cada versão.

Q3. Como posso desactivar o componente de relatório de infecção da ferramenta para que o relatório não seja enviado à Microsoft?A3. Um administrador pode optar por desactivar o componente de relatório de infecção da ferramenta adicionando o seguinte valor de chave de registo aos computadores. Se este valor de chave de registo estiver definido, a ferramenta não reportará informações sobre a infecção à Microsoft.

Subchave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRTNome de entrada: \DontReportInfectionInformationTipo: REG_DWORDDados do valor: 1

T4 . Na versão de Março de 2005, os dados no ficheiro Mrt. log parecem ter sido perdidos. Por que razão foram estes dados removidos e existe uma forma para mim recuperá-la?A4. Iniciar com a versão de Março de 2005, o ficheiro Mrt. log está a ser escrito como um ficheiro Unicode. Para assegurar a compatibilidade, quando a versão de Março de 2005 da ferramenta é executada, se existir uma versão em ANSI do ficheiro no sistema, a ferramenta irá copiar o conteúdo desse registo para o ficheiro Mrt.log.old em %WINDIR%\debug e criará uma nova versão Unicode do ficheiro Mrt. Tal como a versão em ANSI, esta versão em Unicode será acrescentada em cada execução sucessiva da ferramenta.