Развертывание средства удаления вредоносных программ для Windows в корпоративной среде

Применимо к: Windows 7 Enterprise NWindows 7 Home BasicWindows 7 Home Premium

Средство удаления вредоносных программ для Windows предназначено для использования с операционными системами, указанными в разделе "относится к". Операционные системы, не включенные в список, не проверялись и поэтому не поддерживаются. Эти Неподдерживаемые операционные системы включают все версии и выпуски внедренных операционных систем.

Введение


Корпорация Microsoft обычно выпускает средство удаления вредоносных программ для Windows (MSRT) ежемесячно в рамках Центра обновления Windows или автономного средства. Используйте это средство для поиска и удаления конкретных распространенных угроз и отмены изменений, внесенных ими (Просмотрите охваченные угрозы). Для обнаружения вредоносных программ и их удаления рекомендуется использовать средство проверки безопасности Microsoft.

Это средство работает более тесно с существующими решениями для защиты от вредоносных программ и может использоваться в большинстве версий Windows (раздел свойства).

Сведения, содержащиеся в этой статье, относятся к развертыванию средства в среде Enterprise. Чтобы получить дополнительные сведения о средстве, мы рекомендуем ознакомиться с этой статьей в следующей статье Knowledge Base:

Загрузить средство


Вы можете вручную скачать средство MSRT из центра загрузки Майкрософт. В Центре загрузки Майкрософт доступны для скачивания следующие файлы:

Для 32-разрядных систем на базе x86:

Для 64-разрядных систем на базе x64:

Общие сведения о развертывании


Это средство может быть развернуто в корпоративной среде для улучшения существующей защиты и использования в качестве части стратегии глубокой защиты. Для развертывания средства в корпоративной среде вы можете использовать один или несколько из указанных ниже способов.

  • Службы Windows Server Update Services
  • Пакет программного обеспечения Microsoft Systems Management (SMS)
  • Сценарий запуска компьютера на основе групповой политики
  • Сценарий входа для пользователя на основе групповой политики

Текущая версия этого средства не поддерживает следующие технологии и методики развертывания.

  • Каталог Центра обновления Windows
  • Выполнение средства на удаленном компьютере
  • Службы обновления программного обеспечения (SUS)

Кроме того, средство Microsoft Baseline Security Analyzer (MBSA) не обнаруживает выполнение средства. В этой статье приводятся сведения о том, как проверить выполнение средства в рамках развертывания.

Пример кода


Сценарий и инструкции, представленные здесь, предназначены только для примера. Клиентам необходимо протестировать эти примеры сценариев и примеры сценариев и изменить их соответствующим образом для работы в среде. Необходимо изменить ServerName и имя_общего_ресурса согласно настройке в среде.В следующем примере кода выполняются следующие действия:

  • Запускает средство в автоматическом режиме
  • Копирование файла журнала в общую сетевую конфигурацию
  • Добавляет в журнал имя файла, используя имя компьютера, с которого запускается средство, и имя текущего пользователя. Примечание Необходимо настроить соответствующие разрешения для общего доступа в соответствии с инструкциями, приведенными в разделе первоначальная настройка и настройка .
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.82.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Примечание. В этом примере программа ServerName — заполнитель для имени сервера, а ShareName — заполнитель для имени вашего общего ресурса.

Начальная настройка и настройка


Этот раздел предназначен для администраторов, использующих сценарий запуска или сценарий входа для развертывания этого средства. Если вы используете SMS, вы можете перейти к разделу "способы развертывания".Чтобы настроить сервер и общий доступ, выполните указанные ниже действия.

  1. Настройте общий доступ на рядовом сервере. Присвойте имя общему доступу Имя_общего_ресурса.
  2. Скопируйте средство и образец сценария RunMRT. cmd в общий доступ. Подробности приведены в разделе образец кода .
  3. Настройте разрешения для общего доступа и разрешения для файловой системы NTFS, как описано ниже.
    • Разрешения для общего доступа:
      1. Добавьте учетную запись пользователя домена для пользователя, который управляет этим общим доступом, и нажмите кнопку " полныйдоступ".

      2. Удалите группу "все".

      3. Если вы используете сценарий запуска компьютера, добавьте группу компьютеры домена вместе с разрешениями на изменение и чтение.

      4. Если вы используете сценарий входа, добавьте группу «прошедшие проверку» вместе с разрешениями на изменение и чтение.

    • Разрешения NTFS.
      1. Добавьте учетную запись пользователя домена для пользователя, который управляет этим общим доступом, и нажмите кнопку " полныйдоступ".
      2. Удалите группу "все", если она есть в списке. Примечание. Если при удалении группы "все" появляется сообщение об ошибке, нажмите кнопку Дополнительно на вкладке Безопасность , а затем снимите флажок Разрешить наследование разрешений от родительского объекта к этому объекту .
      3. Если вы используете сценарий запуска компьютера, предоставьте группе компьютеры домена разрешение на чтение & выполнение разрешений, просмотр содержимого папки и разрешение на чтение.
      4. Если вы используете сценарий входа, предоставьте группе «Прошедшие проверку» разрешение на чтение & разрешения на выполнение, разрешения на доступ к содержимому папки и разрешения на чтение.
  4. В папке ShareName создайте папку с именем "Logs". В этой папке будут собраны последние файлы журнала после запуска средства на клиентских компьютерах.
  5. Чтобы настроить разрешения NTFS для папки Logs, выполните указанные ниже действия. Примечание. Не изменяйте разрешения для общего доступа на этом этапе.
    1. Добавьте учетную запись пользователя домена для пользователя, который управляет этим общим доступом, и нажмите кнопку " полныйдоступ".
    2. Если вы используете сценарий запуска компьютера, предоставьте группе компьютеры домена разрешение на изменение разрешений, разрешения "чтение & выполнение", разрешения на доступ к содержимому папки, разрешения на чтение и разрешение на запись.
    3. Если вы используете сценарий входа, назначьте группе прошедших проверку пользователей разрешение на изменение разрешений, разрешения "чтение & выполнение", разрешения на доступ к содержимому папки, разрешения на чтение и разрешения на запись.

Способы развертывания


Примечание. Для запуска этого средства необходимы разрешения администратора или разрешения системы независимо от выбранного варианта развертывания.

Использование пакета программного обеспечения SMS

В следующем примере приведены пошаговые инструкции по использованию SMS 2003. Инструкции по использованию SMS 2,0 похожи на указанные ниже.

  1. Извлеките файл MRT. exe из пакета с именем Windows-KB890830-V 1.34-ENU. exe/x.
  2. Создайте bat-файл, чтобы запустить программу MRT. exe и захватить возвращаемый код с помощью ISMIF32. exe. Ниже приведен пример.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 13"Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12"Goto end:end
    Дополнительные сведения о Ismif32. exe можно найти в следующей статье базы знаний Майкрософт:
    186415 Средство создания состояния MIF (Ismif32. exe) доступно
  3. Чтобы создать пакет на консоли SMS 2003, выполните указанные ниже действия.
    1. Откройте консоль администратора SMS.
    2. Щелкните правой кнопкой мыши узел пакеты и выберите пункт Создать, а затем — пакет. С Откроется диалоговое окно " Свойства пакета ".
    3. На вкладке Общие назовите пакет.
    4. На вкладке " источник данных " установите флажок Этот пакет включает исходные файлы .
    5. Нажмите кнопку установить, а затем выберите исходный каталог, содержащий инструмент.
    6. На вкладке Параметры распространения установите высокийприоритет отправки .
    7. На вкладке отчеты щелкните использовать эти поля для сопоставления MIF о состоянии, а затем укажите имя для поля Имя MIF-файла и Поле Name (имя ). Версия и Publisher являются необязательными.
    8. Нажмите кнопку ОК , чтобы создать пакет.
  4. Чтобы указать точку распространения (DP) для пакета, выполните указанные ниже действия.
    1. На консоли SMS 2003 найдите новый пакет в узле пакеты .
    2. Разверните пакет. Щелкните точки распространенияправой кнопкой мыши, наведите указатель на пункт создатьи выберите пункт точки распространения.
    3. Запустите мастер создания точек распространения. Выберите существующую точку распространения.
    4. Нажмите кнопку Готово , чтобы завершить работу мастера.
  5. Чтобы добавить пакетный файл, который ранее был создан в новом пакете, выполните указанные ниже действия.
    1. В разделе новый узел пакета выберите раздел программы .
    2. Щелкните правой кнопкой мыши программы, наведите указатель на Создать, а затем выберите пункт Программа.
    3. Откройте вкладку Общие и введите допустимое имя.
    4. В командной строкещелкните Выберите командный файл, созданный для запуска MRT. exe.
    5. Изменить выполнение на Скрыто. Изменение после выполнениядействия "не требуется".
    6. Перейдите на вкладку требования и выберите программу может выполняться только в указанных операционных системах клиента.
    7. Выберите все x86 Windows XP.
    8. Откройте вкладку Среда и нажмите кнопку Может ли пользователь войти в программу List. Настройте режим выполнения для запуска с правами администратора.
    9. Нажмите кнопку ОК , чтобы закрыть диалоговое окно.
  6. Чтобы создать объявление для объявления клиентам программы, выполните указанные ниже действия.
    1. Щелкните правой кнопкой мыши узел рекламы , выберите команду создать, а затем нажмите кнопку Объявление.
    2. На вкладке Общие введите имя объявления. В поле Package (пакет ) выберите пакет, который вы создали ранее. В поле Program (программа ) выберите созданную ранее программу. Нажмите кнопку Обзори выберите семейство компьютеров , включающее только Windows Vista и более поздние версии.
    3. На вкладке Расписание оставьте значения по умолчанию, если требуется, чтобы программа выполнялась только один раз. Чтобы запустить программу по расписанию, назначьте интервал расписания.
    4. Установите высокий приоритет . High
    5. Нажмите кнопку ОК , чтобы создать рекламное объявление.

Использование сценария запуска компьютера на основе групповой политики

Этот способ требует перезапуска клиентского компьютера после настройки сценария и применения параметра групповой политики.

  1. Настройте общие ресурсы. Для этого выполните действия, описанные в разделе Первоначальный раздел настройки и настройки .
  2. Настройте сценарий запуска. Для этого выполните следующие действия:  
    1. В оснастке MMC " Пользователи и компьютеры Active Directory " щелкните правой кнопкой мыши имя домена и выберите пункт Свойства.
    2. Откройте вкладку Групповая политика .
    3. Нажмите кнопку создать , чтобы создать новый объект групповой политики, и введите в качестве имени политики развертывание MRT .
    4. Выберите новую политику и нажмите кнопку изменить.
    5. Разверните раздел Параметры Windows для параметра Конфигурация компьютераи выберите пункт сценарии.
    6. Дважды щелкните элемент Входи нажмите кнопку Добавить. Откроется диалоговое окно " Добавление сценария ".
    7. В поле имя сценария введите \ \Имя_сервера\общий_ресурс\RunMRT.cmd.
    8. Нажмите кнопку ОК, а затем — Применить.
  3. Перезапустите клиентские компьютеры, которые являются членами этого домена.

Использование сценария входа на основе групповой политики

Этот способ требует, чтобы учетная запись пользователя для входа в систему была учетной записью домена и является членом группы локального администратора на клиентском компьютере.

  1. Настройте общие ресурсы. Для этого выполните действия, описанные в разделе Первоначальный раздел настройки и настройки .
  2. Настройте сценарий входа. Для этого выполните следующие действия:
    1. В оснастке MMC " Пользователи и компьютеры Active Directory " щелкните правой кнопкой мыши имя домена и выберите пункт Свойства.
    2. Откройте вкладку Групповая политика .
    3. Нажмите кнопку создать , чтобы создать объект групповой политики, а затем введите имя в поле развертывание MRT .
    4. Выберите новую политику и нажмите кнопку Изменить.
    5. Разверните раздел Параметры Windows для настройки пользователяи выберите пункт сценарии.
    6. Дважды щелкните элемент Входи нажмите кнопку Добавить. Откроется диалоговое окно " Добавление сценария ".
    7. В поле имя сценария введите \ \Имя_сервера\общий_ресурс\RunMRT.cmd.
    8. Нажмите кнопку ОК, а затем — Применить.
  3. Выйдите из системы, а затем войдите на клиентские компьютеры.

В этом сценарии сценарий и инструмент запускается в контексте пользователя, выполнившего вход. Если пользователь не входит в локальную группу администраторов или не обладает достаточными разрешениями, этот инструмент не запустится, и он не вернет соответствующий код возврата. Дополнительные сведения о том, как использовать сценарии автозагрузки и сценарии входа, можно найти в следующей статье базы знаний Майкрософт:

Дополнительная информация, относящаяся к развертыванию в среде Организации


Как проверить коды возврата

Вы можете проверить возвращаемый код средства в сценарии входа в систему или в сценарии запуска развертывания для проверки результатов выполнения. Пример того, как это сделать, можно найти в разделе пример кода .В следующем списке приведены допустимые коды возврата.

до = Вредоносные программы не найдены
1 = Ошибка среды операционной системы
2 = Не работает в качестве администратора
Трехконтактный = Неподдерживаемая операционная система
4 = Ошибка инициализации сканера. (Скачайте новую копию средства).
5 = Не используется
152 = Обнаружено по крайней мере одна вредоносная программа. Ошибки не обнаружены.
5-7 = Обнаружено по крайней мере одно зараженное приложение, но обнаружены ошибки.
No8 = Обнаружено и удалено по крайней мере одно зараженное, но для полного удаления требуются действия, указанные вручную.
@ = Обнаружено и удалено по крайней мере одно зараженное приложение, но для полного удаления и обнаружены ошибки, описанные вручную.
5-10 = Обнаружено и удалено по крайней мере одно зараженное, но для полного удаления требуется перезагрузка
11 = Обнаружено и удалено по крайней мере одно зараженное приложение, но для полного удаления требуется перезагрузка и обнаружены ошибки
12 = Обнаружено и удалено по крайней мере одно зараженное, но для полного удаления требуется как ручные, так и перезагрузки.
рис = Обнаружено и удалено по крайней мере одно зараженное, но требуется перезагрузка. Ошибки не обнаружены.

Анализ файла журнала

Средство удаления вредоносных программ записывает сведения о результатах выполнения в файле журнала%windir%\debug\mrt.log.Примечания.

  • Этот файл журнала доступен только на английском языке.
  • Начиная с версии 1,2 средства удаления (март 2005), в этом файле журнала используется текст в кодировке Юникод. Перед версией 1,2 в файле журнала используется текст ANSI.
  • Формат файла журнала изменен с помощью версии 1,2, поэтому мы рекомендуем вам загрузить и использовать последнюю версию этого средства. Если этот файл журнала уже существует, средство добавляется к существующему файлу.
  • Вы можете использовать командный сценарий, напоминающий предыдущий пример, для захвата кода возврата и сбора файлов в сетевом общем доступе.
  • Из-за переключения с ANSI на Юникод версия 1,2 средства удаления скопирует все версии файла MRT. log, которые имеют формат ANSI, в папку%WINDIR%\debug в MRT. log. old в том же каталоге. Версия 1,2 также создает в том же каталоге новую версию Юникод файла MRT. log. Как и в случае с ANSI, этот файл журнала будет добавляться к выпуску ежемесячных версий.

Ниже приведен пример файла MRT. log на компьютере, который был заражен с помощью червя MPnTestFile:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  

Ниже приведен пример файла журнала, в котором не обнаружена вредоносная программа.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 

Ниже приведен пример файла журнала, в котором обнаружены ошибки. Дополнительные сведения о предупреждениях и ошибках, которые вызываются этим средством, можно найти в следующей статье базы знаний Майкрософт:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Известные проблемы


Известная ошибка 1

При запуске средства с помощью сценария запуска в файле MRT. log может быть зарегистрировано сообщение об ошибке, похожее на приведенное ниже. 

Ошибка: сбой MemScanGetImagePathFromPid (PID: 552).0x00000005: отказано в доступе.

Примечание. Номер PID будет отличаться.Это сообщение об ошибке появляется, если процесс запускается или когда процесс был остановлен недавно. Единственное влияние на то, что процесс, обозначенный PID, не просматривается.

Известная ошибка 2

В некоторых редких случаях, если администратор выбирает развертывание MSRT с помощью переключателя /q Quiet (также называемого автоматическим режимом), это может привести к невозможности устранения проблем с небольшим набором заражений в случае, если после перезапуска потребуется дополнительная очистка. Это было замечено только при удалении некоторых разновидностей rootkit.

Вопросы и ответы


Очередь. При тестировании сценария запуска или входа в систему для развертывания средства не отображаются файлы журнала, которые копируются в сетевую учетную запись, которую я настроил. Именно?A1. Это часто является следствием проблем с разрешениями. Например, у учетной записи, из которой было запущено средство удаления, нет разрешения на запись в общий доступ. Для устранения этой проблемы сначала убедитесь, что средство было запущено, проверив раздел реестра. Кроме того, вы можете найти на клиентском компьютере наличие файла журнала. Если средство успешно запущено, вы можете протестировать простой сценарий и убедиться, что он может записываться в сетевую учетную запись, если она выполняется в том же контексте безопасности, в котором было запущено средство удаления.Участия. Как проверить, что средство удаления запущено на клиентском компьютере?A2. Чтобы проверить выполнение средства, вы можете проверить данные значения для следующей записи реестра. Вы можете реализовать такую проверку как часть сценария запуска или сценария входа. Этот процесс предотвращает неоднократное выполнение инструмента.

Subkey:HKEY_LOCAL_MACHINEимя записи \software\microsoft\removaltools\mrt:Версия

При каждом запуске средства это средство регистрирует GUID в реестре, чтобы указать, что он был выполнен. Это происходит независимо от результатов выполнения. В таблице ниже приведен идентификатор GUID, соответствующий каждому выпуску.

Q3. Как отключить функцию составления отчетов о заражении для средства, чтобы отчет не отправлялся обратно в корпорацию Майкрософт?A3. Администратор может отключить компонент для создания отчетов о заражении, добавив следующий параметр реестра на компьютеры. Если этот параметр реестра установлен, средство не будет сообщать о заражении в корпорацию Майкрософт.

Подраздел: HKEY_LOCAL_MACHINE \software\policies\microsoft\mrtИмя элемента: \DontReportInfectionInformationТип: REG_DWORDДанные значения: 1

М. В выпуске за март 2005 данные в файле MRT. log потеряны. Почему эти данные были удалены, и можно ли мне получить их?A4. Начиная с версии за март 2005, файл MRT. log записывается как файл в кодировке Юникод. Чтобы убедиться в том, что при запуске средства для версии за март 2005 (версия для марта) в системе с версией ANSI. log. old в%WINDIR%\debug и создать новую версию файла MRT. log в формате Юникод, будет использоваться программа. Как и в случае с ANSI, эта версия Юникод будет добавляться к каждому последующему выполнению средства.