Distribuera Windows-verktyget för borttagning av skadliga program i en företags miljö

Gäller för: Windows 10Windows 7 Home BasicWindows 7 Home Premium

Windows-verktyget för borttagning av skadliga program är avsett att användas med operativ systemen som nämns i avsnittet "gäller". Operativ system som inte ingår i listan testades inte och stöds därför inte. De operativ system som inte stöds inkluderar alla versioner och utgåvor av inbäddade operativ system.

Inledning


Microsoft ger normalt Windows-verktyg för borttagning av skadlig program vara (MSRT) varje månad som en del av Windows Update eller det fristående verktyget. Använd det här verktyget för att hitta och ta bort specifika vanliga hot och ångra de ändringar de har gjort (Se täckta hot). För omfattande identifiering och borttagning av skadlig kod bör du överväga att använda Microsofts säkerhetskontroll.

Det här verktyget fungerar på ett komplement sätt med befintliga antispionprogram och kan användas på de flesta aktuella Windows-versioner (se avsnittet Egenskaper).

Informationen i den här artikeln är specifik för företags distributionen av verktyget. Vi rekommenderar att du läser Knowledge Base-artikeln om du vill ha mer information om verktyget:

Ladda ner verktyget


Du kan hämta MSRT manuellt från Microsoft Download Center. Följande filer kan laddas ned från Microsoft Download Center:

För 32-bitars x86-baserade system:

För 64-bitars x64-baserade system:

Översikt över drift sättning


Verktyget kan distribueras i en företags miljö för att förbättra det befintliga skyddet och som en del av en strategi för djupgående. Om du vill distribuera verktyget i en företags miljö kan du använda en eller flera av följande metoder:

  • Windows Server Update Services
  • Program varu paket för Microsoft Systems Management (SMS)
  • Start skript för en grup princip baserad dator
  • Grupprincip-baserat användar inloggnings skript

Den aktuella versionen av det här verktyget stöder inte följande distributions tekniker och-tekniker:

  • Windows Update-katalog
  • Körning av verktyget mot en fjärrdator
  • SUS (Software Update Services)

Dessutom identifieras inte verktyget av Microsoft Baseline Security Analyzer (MBSA). I den här artikeln finns information om hur du kan verifiera att verktyget körs som en del av distributionen.

Kod exempel


Skriptet och anvisningarna här är endast avsedda som exempel. Kunderna måste testa dessa exempel skript och scenarion och ändra dem på lämpligt sätt för att fungera i deras miljö. Du måste ändra Server namnet och ShareName enligt inställningarna i din miljö.Följande kod exempel gör följande:

  • Kör verktyget i tyst läge
  • Kopierar logg filen till en förkonfigurerad nätverks resurs
  • I det här avsnittet finns en logg fil med namnet på den dator där verktyget körs och användar namnet på den aktuella användaren Obs! Du måste ange lämpliga behörigheter på resursen enligt instruktionerna i avsnittet inledande konfiguration och konfiguration .
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.84.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log

Obs! I det här kod exemplet är servername en plats hållare för namnet på servern och resurs namn är en plats hållare för namnet på din enhet.

Inledande installation och konfiguration


Det här avsnittet är avsett för administratörer som använder ett start skript eller ett inloggnings skript för att distribuera det här verktyget. Om du använder SMS kan du gå vidare till avsnittet "distributions metoder".Så här konfigurerar du servern och resursen:

  1. Konfigurera en resurs på en medlems Server. Ge sedan resursen namnet Resurs namn.
  2. Kopiera verktyget och exempel skriptet RunMRT. cmd till resursen. Mer information finns i avsnittet kod exempel .
  3. Konfigurera följande behörigheter för behörighet och NTFS-filsystem:
    • Behörigheter för delning:
      1. Lägg till domän användar kontot för den användare som hanterar den här resursen och klicka sedan på fullständig behörighet.

      2. Ta bort gruppen alla.

      3. Om du använder start skript metoden för datorer lägger du till gruppen domän datorer tillsammans med ändrings-och Läs behörighet.

      4. Om du använder inloggnings skript lägger du till gruppen Autentiserade användare tillsammans med ändrings-och Läs behörighet.

    • NTFS-behörigheter:
      1. Lägg till domän användar kontot för den användare som hanterar den här resursen och klicka sedan på fullständig behörighet.
      2. Ta bort gruppen alla om den finns i listan. Obs! Om du får ett fel meddelande när du tar bort gruppen alla klickar du på Avancerat på fliken säkerhet och avmarkerar kryss rutan Tillåt ärftliga behörigheter från överordnad att sprida till det här objektet .
      3. Om du använder start skript metoden för datorer ger du gruppen domän datorer Läs & köra behörigheter, lista över mappinnehåll och Läs behörigheter.
      4. Om du använder inloggnings skript kan du ge gruppen Autentiserade användare behörigheterna läsa & kör, Visa mappinnehåll och läsa.
  4. Under mappen ShareName skapar du en mapp med namnet "loggar". I den här mappen samlas de slutliga loggfilerna efter att verktyget körs på klient datorerna.
  5. Om du vill konfigurera NTFS-behörigheterna i mappen loggar följer du de här stegen. Obs! Ändra inte delnings behörigheter i det här steget.
    1. Lägg till domän användar kontot för den användare som hanterar den här resursen och klicka sedan på fullständig behörighet.
    2. Om du använder start skript metoden för datorer ger du gruppen domän datorer behörighet att ändra, "Läs & köra" behörigheter, lista över mappinnehåll, läsa och skriva.
    3. Om du använder inloggnings skript ger du gruppen Autentiserade användare behörigheterna Ändra, "Läs & kör" behörigheter, Visa mappinnehåll, läsa och skriva.

Distributions metoder


Obs! För att kunna köra det här verktyget måste du ha administratörs behörighet eller system behörigheter, oavsett vilket distributions alternativ du väljer.

Använda SMS-paketet

I följande exempel finns steg-för-steg-instruktioner om hur du använder SMS 2003. Anvisningar för hur du använder SMS 2,0 ser ut så här.

  1. Extrahera filen Mrt. exe från paketet som heter Windows-KB890830-V 1.34-ENU. exe/x.
  2. Skapa en. bat-fil för att starta MRT. exe och spara retur koden med hjälp av ISMIF32. exe. Här följer ett exempel.
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 13"Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12"Goto end:end
    Mer information om Ismif32. exe finns i följande artikel i Microsoft Knowledge Base:
    186415 Status-MIF Creator, Ismif32. exe är tillgänglig
  3. Följ de här stegen om du vill skapa ett paket i SMS 2003-konsolen:
    1. Öppna SMS-administratörskonsolen.
    2. Högerklicka på packages -noden och klicka på Nyttoch klicka sedan på paket. Filen Dialog rutan Egenskaper för paket visas.
    3. Ge paketet ett namn på fliken Allmänt .
    4. Markera kryss rutan det här paketet innehåller källfiler på fliken data källa .
    5. Klicka på Angeoch välj sedan en käll katalog som innehåller verktyget.
    6. På fliken distributions inställningar ställer du in prioriteten för skicka till hög.
    7. Klicka på Använd de här fälten för status-MIF-matchningpå fliken rapportering och ange sedan ett namn för fältet för MIF-filnamnet och för Fältet namn . Version och Publisher är valfria.
    8. Skapa paketet genom att klicka på OK .
  4. Följ de här stegen om du vill ange en distributions punkt (DP) i paketet:
    1. I SMS 2003-konsolen letar du rätt på det nya paketet under noden packages .
    2. Expandera paketet. Högerklicka på distributions punkter, peka på nyttoch klicka sedan på distribution Points.
    3. Starta guiden nya distributions platser. Välj en befintlig distributions plats.
    4. Klicka på Slutför för att avsluta guiden.
  5. Följ de här stegen om du vill lägga till den kommando fil som tidigare skapats för det nya paketet:
    1. Klicka på noden program under det nya paketet.
    2. Högerklicka på program, peka på Nyttoch klicka sedan på program.
    3. Klicka på fliken Allmänt och ange ett giltigt namn.
    4. kommando radenklickar du på Bläddra till och välj den kommando fil som du har skapat för att starta MRT. exe.
    5. Ändra Kör till Dold. Ändras efter att Ingen åtgärd krävs.
    6. Klicka på fliken krav och sedan på det här programmet kan bara köras på angivna klient operativ system.
    7. Klicka på alla x86 Windows XP.
    8. Klicka på fliken miljö och sedan på Om en användare är inloggad i programmet kan köras . Ställ in körnings läget så att det körs med administratörs behörighet.
    9. Klicka på OK för att stänga dialog rutan.
  6. Följ de här stegen om du vill skapa en annons för att annonsera programmet för klienterna:
    1. Högerklicka på noden för annonsering , klicka på nyoch klicka sedan på Annons.
    2. Ange ett namn för annonsen på fliken Allmänt . I fältet Package väljer du det paket som du har skapat tidigare. I fältet program väljer du det program som du har skapat tidigare. Klicka på Bläddraoch klicka sedan på system samlingen eller Välj en samling datorer som bara innehåller Windows Vista och senare versioner.
    3. På fliken schema lämnar du standard alternativen om du bara vill att programmet ska köras en gång. Om du vill köra programmet enligt ett schema tilldelar du ett schema intervall.
    4. Ställ in prioritetenhög.
    5. Klicka på OK för att skapa annonsen.

Så här använder du ett grup principbaserade start skript

Den här metoden kräver att du startar om klient datorn när du har konfigurerat skriptet och sedan har tillämpat grup princip inställningen.

  1. Konfigurera resurserna. Om du vill göra det följer du anvisningarna i Första installations-och konfigurations avsnittet.
  2. Konfigurera Start skriptet. Gör så här:  
    1. I MMC-snapin-modulen Active Directory-användare och datorer högerklickar du på domän namnet och klickar sedan på Egenskaper.
    2. Klicka på fliken grup princip .
    3. Klicka på nytt för att skapa ett nytt grup princip objekt (GPO) och skriv MRT Deployment för namnet på policyn.
    4. Klicka på den nya principen och sedan på Redigera.
    5. Expandera Windows-inställningar för dator konfigurationoch klicka sedan på skript.
    6. Dubbelklicka på inloggningoch klicka sedan på Lägg till. Dialog rutan Lägg till ett skript visas.
    7. I rutan skript namn skriver du \ \Server namn\resurs namn\RunMRT.cmd.
    8. Klicka på OKoch sedan på Använd.
  3. Starta om klient datorerna som är medlemmar i den här domänen.

Så här använder du ett Grupprincip-baserat användar inloggnings skript

Den här metoden kräver att användar kontot för inloggning är ett domän konto och är medlem i den lokala administratörs gruppen på klient datorn.

  1. Konfigurera resurserna. Om du vill göra det följer du anvisningarna i Första installations-och konfigurations avsnittet.
  2. Konfigurera inloggnings skriptet. Gör så här:
    1. I MMC-snapin-modulen Active Directory-användare och datorer högerklickar du på domän namnet och klickar sedan på Egenskaper.
    2. Klicka på fliken grup princip .
    3. Klicka på nytt för att skapa ett nytt grup princip objekt och skriv sedan MRT-distribution för namnet.
    4. Klicka på den nya principen och klicka sedan på Redigera.
    5. Expandera Windows-inställningar för användar konfigurationoch klicka sedan på skript.
    6. Dubbelklicka på inloggningoch klicka sedan på Lägg till. Dialog rutan Lägg till ett skript visas.
    7. I rutan skript namn skriver du \ \Server namn\resurs namn\RunMRT.cmd.
    8. Klicka på OKoch sedan på Använd.
  3. Logga ut och logga sedan in på klient datorerna.

I det här scenariot körs skriptet och verktyget under kontexten för den inloggade användaren. Om den här användaren inte tillhör den lokala administratörs gruppen eller inte har tillräcklig behörighet, körs verktyget inte och returnerar inte rätt returkod. Mer information om hur du använder start skript och inloggnings skript finns i följande artikel i Microsoft Knowledge Base:

Ytterligare information som är relevant för företags distributionen


Undersöka retur koder

Du kan granska en returkod för verktyget i distributions-eller start skriptet för att kontrol lera resultaten av körningen. Ett exempel på hur du kan göra detta finns i avsnittet kod exempel .Följande lista innehåller de giltiga retur koderna.

siffrorna = Ingen infektion hittades
= Operativ system miljö fel
= Fungerar inte som administratör
amp;3D = Operativ system som stöds inte
9.4 = Fel vid initiering av skannern. (Ladda ned en ny kopia av verktyget)
T5 = Används inte
18.6 = Minst en infektion upptäcktes. Inga fel.
borttagning = Minst en infektion upptäcktes men fel uppstod.
8.2 = Minst en infektion upptäcktes och togs bort, men manuella steg krävs för en fullständig borttagning.
9 = Minst en infektion upptäcktes och togs bort, men manuella steg krävs för fullständig borttagning och fel uppstod.
10.3 = Minst en infektion upptäcktes och togs bort, men en omstart krävs för fullständig borttagning
Nr = Minst en infektion upptäcktes och togs bort, men en omstart krävs för fullständig borttagning och fel uppstod
12,5 = Minst en infektion upptäcktes och togs bort, men både manuella steg och en omstart krävs för fullständig borttagning.
11 = Minst en infektion upptäcktes och togs bort, men det krävs en omstart. Inga fel uppstod.

Så här tolkar du logg filen

Verktyget för borttagning av skadlig program vara skriver information om resultatet av dess utförande i%windir%\debug\mrt.log-loggfil.Kommentarer

  • Denna loggfil är endast tillgänglig på engelska.
  • Från och med version 1,2 av borttagnings verktyget (mars 2005) använder den här logg filen Unicode-text. Före version 1,2 använde logg filen ANSI-text.
  • Logg filens format har ändrats med version 1,2 och vi rekommenderar att du laddar ner och använder den senaste versionen av verktyget. Om den här logg filen redan finns lägger verktyget till den befintliga filen.
  • Du kan använda ett kommando skript som liknar det föregående exemplet för att fånga in retur koden och för att samla filerna på en nätverks resurs.
  • I och med att växla från ANSI till Unicode kopierar version 1,2 av borttagnings verktyget alla ANSI-versioner av filen Mrt. log i mappen%WINDIR%\debug till MRT. log. old i samma katalog. Med version 1,2 skapas också en ny Unicode-version av MRT. log-filen i samma katalog. Precis som ANSI-versionen kommer den här logg filen att läggas till varje månads utgivning.

Följande exempel är en MRT. log-fil från en dator som har varit infekterad med MPnTestFile-masken:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed! Action: Remove, Result: 0x00000000 regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn file://c:\temp\mpncleantest.exe SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)  

Här följer en exempel logg fil där det inte finns någon skadlig program vara.

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0) 

Här följer en exempel logg fil där fel hittas. Mer information om varningar och fel som orsakas av verktyget finns i följande artikel i Microsoft Knowledge Base:

Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed. Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !  file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7) 

Kända problem


Känt problem 1

När du kör verktyget med ett start skript kan fel meddelanden med följande fel meddelande vara loggade i filen Mrt. log: 

Fel: MemScanGetImagePathFromPid (PID: 552) misslyckades.0x00000005: åtkomst nekas.

Fotnot PID-numret varierar.Det här fel meddelandet visas när en process bara startar eller när en process har stoppats nyligen. Den enda effekten är att processen som anges av PID-numret inte genomsöks.

Känt problem 2

Om en administratör i vissa sällsynta fall väljer att distribuera MSRT med hjälp av växeln /q quiet (kallas även för tyst läge), kan det hända att det inte går att helt åtgärda rensningen för en liten del av infektioner i situationer där ytterligare rensning krävs efter en omstart. Detta har bara observerats vid borttagning av vissa rootkit varianter.

FRÅGORNA


Intäkterna. När jag testar start-eller inloggnings skriptet för att distribuera verktyget ser jag inte de loggfiler som kopieras till nätverks resursen som jag konfigurerar. Varför?A1. Detta orsakas ofta av behörighets problem. Kontot som borttagnings verktyget kördes från har till exempel inte Skriv behörighet för resursen. För att felsöka detta måste du först kontrol lera att verktyget kördes genom att kontrol lera register nyckel. Alternativt kan du leta efter logg filen på klient datorn. Om verktyget lyckades kan du testa ett enkelt skript och kontrol lera att det kan skriva till nätverks resursen när det körs under samma säkerhets kontext som borttagnings verktyget.Kvartal. Hur verifierar jag att borttagnings verktyget har körts på en klient dator?A2. Du kan granska värde data för följande register post för att bekräfta körningen av verktyget. Du kan implementera en sådan granskning som en del av ett start skript eller ett inloggnings skript. Den här processen hindrar verktyget från att köras flera gånger.

Under nyckel:HKEY_LOCAL_MACHINE \software\microsoft\removaltools\mrt-postnamn:2002

Varje gång verktyget körs registreras ett GUID i registret för att indikera att det har utförts. Detta inträffar oavsett resultaten av körningen. I följande tabell visas det GUID som motsvarar varje version.

Kvartal. Hur kan jag inaktivera komponenten för infektions rapportering i verktyget så att den inte skickas tillbaka till Microsoft?A3. En administratör kan välja att inaktivera komponenten för virus rapportering i verktyget genom att lägga till följande register nyckel värde för datorer. Om det här registernyckelvärdet är aktiverat rapporteras inte virus infektions information till Microsoft.

Under nyckel: HKEY_LOCAL_MACHINE \software\policies\microsoft\mrtPostnamn: \DontReportInfectionInformationSkriv: REG_DWORDVärde data: 1

Kvartal. I 2005-versionen för mars verkar data i MRT. log-filen ha förlorats. Varför har den här informationen tagits bort och det finns ett sätt för mig att hämta den?A4. Från och med den 2005 mars 2007 skrivs MRT. log-filen som en Unicode-fil. Om du vill vara säker på kompatibilitet, när 2005-versionen för mars körs, om en ANSI-version av filen finns på systemet kopierar verktyget innehållet i den loggen till MRT. log. Old in%WINDIR%\debug och skapar en ny Unicode-version av MRT. log. I likhet med ANSI-versionen kommer den här Unicode-versionen att läggas till med varje körning av verktyget.