使用 Windows 惡意軟體移除工具移除特定的常見惡意程式碼

適用於: Windows

摘要


「Microsoft Windows 惡意軟體移除工具」(MSRT) 可協助從執行下列任何作業系統的電腦中移除惡意軟體:
  • Windows 10
  • Windows Server 2019
  • Windows Server 2016
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows 7
  • Windows Server 2008

Microsoft 通常每月發行 MSRT (做為 Windows Update 的一部分或做為獨立工具)。 使用此工具可尋找和移除特定的常見威脅,並恢復其進行的變更 (請參閱覆蓋的惡意軟體系列)。 若要全面偵測和移除惡意程式碼,請考慮使用 Microsoft 安全掃描工具

本文將告訴您,此工具與防毒或反惡意程式碼軟體產品的差異、如何下載及執行此工具,當工具在電腦上找到惡意程式碼後會發生的情況,以及工具發行資訊。 其還包括管理員和進階使用者的資訊,並包括有關支援的命令列參數的資訊。

其他相關資訊


如何取得支援

協助保護您的 Windows 電腦免於病毒和惡意軟體攻擊: 病毒解決方案與資訊安全中心

安裝更新的說明: Microsoft Update 支援

您所在國家/地區的當地支援: 多語系支援

Microsoft 下載中心

您可以從「Microsoft 下載中心」手動下載 MSRT。 您可以從「Microsoft 下載中心」下載下列檔案:

32 位元 x86 型系統:


64 位元 x64 系統:


發行日期: 2019 年 12 月 10 日。

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請參閱如何從線上服務取得 Microsoft 支援檔案

Microsoft 已對此檔案進行病毒掃描。 Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案。 檔案會儲存在已強化安全的伺服器上,以避免任何未經授權的更改。
 

在企業環境部署 MSRT

如果您是 IT 系統管理員,並想要進一步了解在企業環境中部署工具的詳細資訊,請參閱在企業環境中部署 Windows 惡意軟體移除工具

本文包含有關 Microsoft Systems Management Server (SMS)、Microsoft Software Update Services (MSUS) 以及 Microsoft Baseline Security Analyzer (MBSA) 的資訊。

除非有特別註明,否則本節中的資訊適用於 MSRT 的所有下載及執行方法:

  • Microsoft Update
  • Windows Update
  • 自動更新
  • Microsoft 下載中心
  • Microsoft.com 上的 MSRT 網站

若要執行 MSRT,必須具備下列條件:

  • 電腦必須執行受支援版本的 Windows。
  • 您必須使用系統管理員群組成員的帳戶登入電腦。 如果您的登入帳戶缺少必要的權限,這個工具就會結束。 如果這個工具不是以安靜模式執行的,就會出現說明失敗的對話方塊。
  • 如果這個工具已過期 60 天以上,就會出現一個對話方塊,建議您下載最新版本的工具。
     

命令列參數的支援

MSRT 支援下列命令列參數:
 

參數 目的
/Q/quiet 使用安靜模式。 這個選項會將「惡意軟體移除工具」的使用者介面隱藏起來。
/? 顯示對話方塊,列出命令列參數。
/N 在僅偵測模式中執行。 在這個模式執行時,會報告使用者偵測到惡意軟體,但不會加以移除。
/F 強制對電腦執行廣泛的掃描。
/F:Y 強制對電腦執行廣泛的掃描並自動清除發現的感染項目。



使用方式和版本資訊

當您從 Windows Update 或「自動更新」下載工具,但未在電腦上偵測到任何惡意軟體時,此工具下一次將會以安靜模式執行。 如果在電腦上偵測到惡意軟體,下一次系統管理員登入電腦時,通知區域將會出現氣球來通知您該偵測。 如需有關偵測的詳細資訊,請按一下球形文字說明。

如果您透過「Microsoft 下載中心」下載這個工具,則此工具在執行時會顯示使用者介面。 然而,如果您提供 /Q 命令列參數,此工具就會以安靜模式執行。

發行資訊

MSRT 會在每個月的第二個星期二發行。 工具的每個發行版本都可以協助偵測並移除最新的常見惡意軟體。 這裡所說的惡意軟體包括病毒、蠕蟲和特洛伊木馬程式。 Microsoft 會採用數道標準來判斷某個惡意軟體系列的普遍性,以及可能造成的相關損害。

下列表格列出此工具可以移除的惡意軟體。 此外,這個工具也可以移除發佈時任何已知的惡意軟體變種。 表格中還列出首次包含惡意軟體系列之偵測和移除的工具版本。

此「Microsoft 知識庫」文件將會每月更新相關的資訊,讓相關文件的編號能夠維持不變。 檔案名稱將會有所變更,以反映工具的版本。 例如,2005 年 1 月發行版本的檔案名稱為 Windows-KB890830-ENU.exe,而 2005 年 2 月版本的檔案名稱為 Windows-KB890830-V1.1-ENU.exe。

* 嚴重性等級是指下列 Microsoft 網站上所列的病毒警訊嚴重性等級:

安全性更新嚴重性等級系統 (英文)

請注意,有時威脅的嚴重性等級可考量其普遍性及其他因素中的變更而更新。

** W32/Hackdef 通常會隱藏於電腦上可能不想要的軟體中。 如果清除工具報告指出,在電腦上偵測到 W32/Hackdef,我們強烈建議您使用最新的防毒軟體和反間諜功能程式來執行掃描 (請參閱什麼是間諜軟體?(英文))。 如果您想要檢視 W32/Hackdef 隱藏所在的軟體,請先開啟清除工具的記錄檔 (%Windir%\Debug\Mrt.log)。 接著,在 [Possible scanning results] 區段中,尋找註明找到 Win32/Hackdef 所在資料夾的行。 在同一個資料夾中,您應該可以找到副檔名為 .ini 的 Win32/Hackdef 組態檔。 檢視這個檔案即可找出 Win32/Hackdef 隱藏於電腦上的那個軟體。

如果要掃描並移除其他惡意軟體,請使用最新的防毒產品。 如需詳細資訊,請前往 Microsoft 安全掃描工具網站

我們會定期檢閱我們的病毒碼並排定優先順序,為客戶提供最大的保護。 我們會根據威脅層面的發展,每個月新增或移除偵測。

回報元件

如果 MSRT 偵測到惡意軟體或找到錯誤,將會傳送資訊給 Microsoft。 傳送給 Microsoft 的特定資訊包含下列項目:

  • 偵測到的惡意軟體名稱
  • 惡意軟體的移除結果
  • 作業系統的版本
  • 作業系統的地區設定
  • 處理器的架構
  • 工具的版本編號
  • 著名從 Microsoft Update、Windows Update、自動更新、下載中心或網站是否已執行工具的指示器
  • 匿名的 GUID
  • 電腦中已移除之每個惡意軟體檔案的路徑和檔案名稱的密碼單向雜湊 (MD5)

如果在電腦上找到惡意軟體,除了上述資訊外,這個工具還會提示您傳送其他資訊給 Microsoft。 每次出現這樣的情況時您都會收到提示,只有在您同意的情況下這項資訊才會被傳送出去。 其他還包含下列資訊:

  • 可能是惡意軟體的檔案。 這個工具會為您識別到這些檔案。
  • 偵測到的任何可疑檔案的密碼單向雜湊 (MD5)。

您可以停用回報功能。 如需有關如何停用回報元件,以及如何避免這個工具傳送資訊給 Microsoft 的詳細資訊,請參閱在企業環境中部署 Windows 惡意軟體移除工具
 

可能的掃描結果

執行「惡意軟體移除工具」之後,使用者可能會收到這個工具回報的四種主要結果:

  • 未發現任何感染。
  • 至少發現一個感染,並且已經加以移除。
  • 發現感染,但未加以移除。

    注意:在電腦上找到可疑的檔案時,就會出現這個結果。 如果要協助移除這些檔案,請使用最新的防毒產品。
  • 發現感染,並移除部分感染。

    注意:如果要完成此移除作業,請使用最新的防毒產品。

MSRT 的相關常見問題集