使用 Windows 恶意软件删除工具删除特定的流行的恶意软件

适用于: Windows

摘要


Windows 恶意软件删除工具 (MSRT) 可帮助从运行下列任何一种操作系统的电脑上删除恶意软件。
  • Windows 10
  • Windows Server 2019
  • Windows Server 2016
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows 8
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008。

Microsoft 通常每月都将 MSRT 作为 Windows 更新的一部分或独立工具进行发布。 使用此工具查找和删除特定的流行威胁,以及撤消它们所做的更改(请参阅涉及的恶意软件)。 如需全面的恶意软件检测和删除,请考虑使用 Microsoft 安全扫描程序

本文介绍该工具与防病毒或反恶意软件产品有哪些不同,你如何下载和运行该工具,当该工具发现恶意软件时将执行哪些操作以及工具发布信息。 本文还介绍了管理员和高级用户信息,其中包括受支持的命令行开关的相关信息。

更多信息


如何接收支持

帮助保护运行 Windows 的计算机不受病毒和恶意软件的侵害: 病毒解决方案和安全中心

有关安装更新的帮助: Microsoft 更新支持

基于国家/地区的本地支持: 国际化支持
 

Microsoft 下载中心

您也可以从 Microsoft 下载中心手动下载 MSRT。 可以从 Microsoft 下载中心下载以下文件:

对于 32 位的基于 x86 的系统:


对于 64 位的基于 x64 的系统:


发布日期: 2019 年 8 月 13 日。

有关如何下载 Microsoft 支持文件的详细信息,请参阅如何从联机服务获取 Microsoft 支持文件

Microsoft 已对该文件进行病毒扫描。 Microsoft 使用的是文件发布时可以获得的最新病毒检测软件。 该文件存储在安全性得到增强的服务器上,以防止对文件进行未经授权的更改。
 

在企业环境中部署 MSRT

如果你是 IT 管理员并需要了解有关如何在企业环境中部署该工具的更多信息,请参阅在企业环境中部署 Windows 恶意软件删除工具

该文章包括有关 Microsoft Systems Management Server (SMS)、Microsoft Software Update Services (MSUS) 和 Microsoft Baseline Security Analyzer (MBSA) 的信息。

除非另有说明,否则本节中的信息适用于下载并运行 MSRT 的所有方式:

  • Microsoft 更新
  • Windows 更新
  • 自动更新
  • Microsoft 下载中心
  • Microsoft.com 上的 MSRT 网站

要运行 MSRT,需满足下列条件:

  • 计算机必须运行 Windows 的支持版本。
  • 你必须使用管理员组的成员帐户登录到计算机。 如果登录帐户没有所需的权限,则该工具会退出。 如果该工具不是以安静模式运行,它会显示描述该故障的对话框。
  • 如果该工具已过期 60 天以上,则它会显示一个对话框,建议您下载该工具的最新版本。
     

对命令行开关的支持

MSRT 支持下列命令行开关。
 

开关 用途
/Q/quiet 使用安静模式。 该选项取消显示工具的用户界面。
/? 显示列出命令行开关的对话框。
/N 在“只检测”模式下运行。 在这种模式下,将向用户报告恶意软件,但不会将其删除。
/F 强制对计算机进行扩展扫描。
/F:Y 强制对计算机进行扩展扫描,并自动清除找到的任何感染。



用法和发布信息

如果从 Microsoft Update 或自动更新下载该工具并且未在计算机上检测到恶意软件,则该工具下次将以安静模式运行。 如果在计算机上检测到恶意软件,则在管理员下一次登录到计算机时,将会在通知区域出现一个气球以通知您检测结果。 有关检测结果的更多信息,请单击气球。

如果从 Microsoft 下载中心下载该工具,该工具在运行时将显示用户界面。 但是,如果提供 /Q 命令行开关,该工具将以静默模式运行。

发布信息

MSRT 在每个月的第二个星期二发布。 该工具的每个版本均可以帮助检测并删除当前流行的恶意软件。 这些恶意软件包括病毒、蠕虫和特洛伊木马。 Microsoft 使用多种标准来确定恶意软件系列的流行情况以及与其相关联的损害情况。

下表列出了该工具可以删除的恶意软件。 该工具还可以删除发布时已经知道的所有病毒变种。 还列出了第一次提供检测和删除恶意软件系列的功能的工具版本。

该 Microsoft 知识库文章将使用每月发布的信息进行更新,以便相关文章的编号保持相同。 文件的名称将会发生更改以反映该工具版本。 例如,2005 年 1 月版的文件名是 Windows-KB890830-ENU.exe,2005 年 2 月版的文件名是 Windows-KB890830-V1.1-ENU.exe。

* 严重性级别是指显示在以下 Microsoft 网站中的病毒警报严重性级别:

安全更新严重性等级系统

请注意,我们有时会更新威胁的严重性级别,以反映流行情况和其他因素的变化。

**W32/Hackdef 通常在计算机中隐藏其他可能不需要的软件。 如果清除工具报告在计算机上检测到 W32/Hackdef,我们强烈建议您使用最新的防病毒和防间谍软件程序进行扫描(请参阅什么是间谍软件?) 如果希望查看 W32/Hackdef 隐藏的软件,请首先打开清除工具的日志文件 (%Windir%\Debug\Mrt.log)。 然后,在“Possible scanning results”部分中,找到记录从中发现 Win32/Hackdef 的文件夹的行。 在同一文件夹中,您可以找到具有 .ini 文件扩展名的 Win32/Hackdef 配置文件。 查看此文件以确定 Win32/Hackdef 在计算机中隐藏的软件。

要扫描并删除更多恶意软件,请使用最新的防病毒产品。 有关更多信息,请访问 Microsoft 安全扫描程序网站

我们定期查看签名并设置签名优先级,最大程度的对客户进行保护。 随着危险环境的演变,我们每个月都会添加或删除检测。

报告组件

如果 MSRT 检测到恶意软件或发现错误,它会将相关信息发送给 Microsoft。 发送给 Microsoft 的具体信息包括以下各项:

  • 检测到的恶意软件的名称
  • 恶意软件删除的结果
  • 操作系统版本
  • 操作系统区域设置
  • 处理器体系结构
  • 该工具的版本号
  • 一个指示器,说明是从 Microsoft Update、Windows Update、自动更新、下载中心还是网站运行的该工具
  • 匿名 GUID
  • 从计算机中删除的每个恶意软件文件的路径和文件名的单向加密哈希值 (MD5)

如果在计算机上找到明显具有恶意的软件,该工具会提示您将上述信息以外的其他信息发送给 Microsoft。 每次遇到这种情况时都会提示您,只有得到您的同意后才发送这些信息。 这些附加信息包括:

  • 被怀疑是恶意软件的文件。 该工具会为您标识出这些文件。
  • 检测到的任何可疑文件的单向加密哈希值 (MD5)。

您可以禁用报告功能。 有关如何禁用报告组件和如何防止此工具向 Microsoft 发送信息的信息,请参阅在企业环境中部署 Windows 恶意软件删除工具
 

可能的扫描结果

该删除工具运行以后,它可以向用户报告以下四个主要结果:

  • 未发现感染。
  • 发现并删除了至少一处感染。
  • 发现一处感染,但并未删除。

    注意 如果在计算机上发现可疑文件,将显示此结果。 要帮助删除这些文件,您应该使用最新的防病毒产品。
  • 发现一处感染并已部分删除。

    注意 要完成此删除,您应该使用最新的防病毒产品。

关于 MSRT 的常见问题