您目前已離線,請等候您的網際網路重新連線

在企業環境中部署 Microsoft Windows 惡意軟體移除工具

Windows XP 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Windows XP 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

「Microsoft Windows 惡意軟體移除工具」可供在<適用於>一節所列的作業系統上使用,未列出的作業系統未經測試,因此並不支援。未支援的作業系統包括內嵌作業系統的所有版本。
簡介
Microsoft 已經發行「Microsoft Windows 惡意軟體移除工具」,以協助您移除電腦中特定或普遍的惡意軟體。

略過詳細資料並下載工具

如需有關如何下載工具的詳細資訊,請移至下列 Microsoft 網頁:本文中的資訊只適用於工具的企業部署。我們強烈建議您檢閱下列「Microsoft 知識庫」文章,其中包含有關工具及下載位置的一般資訊。

此工具能與現有的反惡意程式碼軟體解決方案搭配使用,並且可以在所有 Windows 系統上使用。企業環境可以部署此工具,以加強現有的防護,做為深度防禦策略的一部分。如果要在企業環境中部署此工具,您可以使用下列一個或多個方法:  
  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS) 軟體套件
  • 群組原則電腦的啟動指令碼
  • 群組原則電腦的使用者登入指令碼
如需有關如何透過 Windows Update 及「自動更新」部署工具的詳細資訊,請移至下列 Microsoft 知識庫文章: 這個工具的目前版本不支援下列部署技術:
  • Windows Update 類別目錄
  • 為遠端電腦執行此工具
  • Software Update Services (SUS)
此外,Microsoft Baseline Security Analyzer (MBSA) 偵測不到工具是否在執行。本文包含有關如何檢查工具的執行作業,以做為部署一部分的資訊。

程式碼範例

這裡所提供的指令碼及步驟僅做為範例之用。客戶必須測試這些範例指令碼及案例,並適當地加以修改,才能運用在自己的環境中。您必須根據環境的設定,變更 ServerNameShareName

下列程式碼範例可以執行下列操作:
  • 以無訊息模式執行工具
  • 將記錄檔複製至事先設定的網路共用
  • 以執行工具的電腦名稱及目前使用者的使用者名稱做為記錄檔名稱的前置詞

    注意 您必須按照初始安裝和設定一節中的指示設定共用的適當權限。
REM In this example, the script is named RunMRT.cmd.REM The Sleep.exe utility is used to delay the execution of the tool when used as a REM startup script. See the "Known issues" section for details.@echo offcall \\ServerName\ShareName\Sleep.exe 5Start /wait \\ServerName\ShareName\Windows-KB890830-V5.39.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log
注意 在此程式碼範例中,ServerName 代表伺服器的名稱,而 ShareName 代表共用的名稱。

初始安裝和設定

本節主要提供給使用啟動指令碼或登入指令碼來部署此工具的系統管理員參考。如果您使用 SMS,可以跳至<部署方法>一節。

如果要設定伺服器及共用,請依照下列步驟執行:
  1. 在成員伺服器上設定共用。然後,將共用命名為 ShareName
  2. 將工具及範例指令碼 RunMRT.cmd 複製至共用。如需詳細資訊,請參閱程式碼範例一節。
  3. 設定下列共用使用權限和 NTFS 檔案系統使用權限:
    • 共用使用權限:
      1. 為管理此共用的使用者新增網域使用者帳戶,然後按一下 [完全控制]
      2. 移除 Everyone 群組。
      3. 如果您使用電腦啟動指令碼方法,請授與 Domain Computers 群組「變更」和「讀取」的使用權限。
      4. 如果您使用登入指令檔方法,請授與 Authenticated Users 群組「變更」和「讀取」的使用權限。
    • NTFS 使用權限:
      1. 為管理此共用的使用者新增網域使用者帳戶,然後按一下 [完全控制]
      2. 移除 Everyone 群組 (如果出現在清單中)。

        注意 當您移除 Everyone 群組時,如果收到錯誤訊息,請按一下 [安全性] 索引標籤上的 [進階],然後按一下以清除 [允許從父項繼承權限套用到這個物件] 核取方塊。
      3. 如果您使用電腦啟動指令碼方法,請授與 Domain Computers 群組「讀取與執行」、「列出資料夾內容」和「讀取」的使用權限。
      4. 如果您使用登入指令檔方法,請授與 Authenticated Users 群組「讀取與執行」、「列出資料夾內容」和「讀取」的使用權限。
  4. ShareName 資料夾下建立一個名為 "Logs" 的資料夾。

    在用戶端電腦上執行工具之後,這個資料夾會是收集最後記錄檔的資料夾。
  5. 如果要在 Logs 資料夾上設定 NTFS 使用權限,請依照下列步驟執行。

    注意 請勿在這個步驟中變更「共用」使用權限。
    1. 為管理此共用的使用者新增網域使用者帳戶,然後按一下 [完全控制]
    2. 如果您使用電腦啟動指令碼方法,請授與 Domain Computers 群組「修改」、「讀取與執行」、「列出資料夾內容」、「讀取」和「寫入」的使用權限。
    3. 如果您使用登入指令碼方法,請授與 Authenticated Users 群組「修改」、「讀取與執行」、「列出資料夾內容」、「讀取」和「寫入」的使用權限。

部署方法

注意 如果要執行這個工具,無論您選擇何種部署選項,都必須擁有 Administrator 或 System 的使用權限。

如何使用 SMS 軟體套件

下列範例提供有關使用 SMS 2003 的逐步指示。使用 SMS 2.0 的步驟類似下列步驟。
  1. 從名為 Windows-KB890830-V1.34-ENU.exe /x 的套件解壓縮 Mrt.exe 檔案。
  2. 使用 ISMIF32.exe,來建立可以啟動 Mrt.exe 並擷取傳回碼的 .bat 檔案。

    下列是範例。
    @echo offStart /wait Mrt.exe /qIf errorlevel 13 goto error13If errorlevel 12 goto error12Goto end:error13Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”Goto end:error12Ismif32.exe –f MIFFILE –p MIFNAME –d “text about error 12”Goto end:end
    如需 Ismif32.exe 的詳細資訊,請移至下列 Microsoft 知識庫文章:
    186415 已推出狀態 MIF 建立者 Ismif32.exe (機器翻譯)
  3. 如果要在 SMS 2003 主控台中建立套件,請依照下列步驟執行:
    1. 開啟 [SMS Administrator Console]。
    2. 用滑鼠右鍵按一下 [Packages] 節點,按一下 [New],然後按一下 [Package]

      隨即顯示 [Package Properties] 對話方塊。
    3. [General] 索引標籤上,為套件命名。
    4. [Data Source] 索引標籤上,按一下以選取 [This package contains source files] 核取方塊。
    5. 按一下 [Set],然後選擇含有工具的來源目錄。
    6. [Distribution Settings] 索引標籤上,將 [Sending priority] 設定為 [High]
    7. [Reporting] 索引標籤上,按一下 [Use these fields for status MIF matching],然後為 [MIF file name] 欄位和 [Name] 欄位指定名稱。

      [Version][Publisher] 為選用欄位。
    8. 按一下 [OK] 以建立套件。
  4. 如果要為套件指定發佈點 (DP),請依照下列步驟執行:
    1. 在 SMS 2003 主控台的 [Packages] 節點底下,找出新的套件。
    2. 展開套件。用滑鼠右鍵按一下 [Distribution Points],指向 [New],然後按一下 [Distribution Points]
    3. 啟動 New Distribution Points 精靈。選取現有的發佈點。
    4. 按一下 [Finish] 來結束精靈。
  5. 如果要將先前建立的批次檔加入至新的套件,請依照下列步驟執行:
    1. 在新套件節點底下,按一下 [Programs] 節點。
    2. 用滑鼠右鍵按一下 [Programs],指向 [New],然後按一下 [Program]
    3. 按一下 [General] 索引標籤,然後輸入有效的名稱。
    4. [Command line] 中,按一下 [Browse] 選取您建立用來啟動 Mrt.exe 的批次檔。
    5. [Run] 變更為 [Hidden]。將 [After] 變更為 [No action required]
    6. 按一下 [Requirements] 索引標籤,再按一下 [This program can run only on specified client operating systems]
    7. 按一下 [All x86 Windows XP]
    8. 按一下 [Environment] 索引標籤,再按一下 [Program can run] 清單中的 [Whether a user is logged]。將 [Run] 模式設定為 [Run with administrative rights]
    9. 按一下 [OK] 關閉對話方塊。
  6. 如果要建立通知向用戶端告知有關程式的訊息,請依照下列步驟執行:
    1. 用滑鼠右鍵按一下 [Advertisement] 節點,按一下 [New],然後按一下 [Advertisement]
    2. [General] 索引標籤上,輸入通知的名稱。在 [Package] 欄位中,選取您先前建立的套件。在 [Program] 欄位中,選取您先前建立的程式。按一下 [瀏覽],然後按一下 [所有系統] 集合,或選取只包含 Windows XP 及更新版本的電腦集合。
    3. [Schedule] 索引標籤上,如果您希望程式只執行一次,就保留預設的選項。如果要依照排程執行程式,請指定排程時間間隔。
    4. [Priority] 設定為 [High]
    5. 按一下 [OK] 建立通知。

如何使用群組原則電腦的啟動指令碼

這個方法會要求您在設定指令碼並套用群組原則設定之後,重新啟動用戶端電腦。
  1. 設定共用。如果要執行這項操作,請依照初始安裝和設定一節中的步驟。
  2. 設定啟動指令碼。如果要執行這項操作,請依照下列步驟執行:
    1. [Active Directory 使用者及電腦] MMC 嵌入式管理單元中,用滑鼠右鍵按一下網域名稱,然後按一下 [內容]
    2. 按一下 [群組原則] 索引標籤。
    3. 按一下 [新增] 建立新的群組原則物件 (GPO),並輸入 「MRT Deployment」 做為原則的名稱。
    4. 按一下新原則,然後按一下 [編輯]
    5. 展開 [電腦設定] 中的 [Windows 設定],然後按一下 [指令碼]
    6. 按兩下 [登入],然後按一下 [新增]

      隨即顯示 [新增指令碼] 對話方塊。
    7. [指令碼名稱] 方塊中,輸入 \\ServerName\ShareName\RunMRT.cmd
    8. 按一下 [確定],再按一下 [套用]
  3. 重新啟動屬於此網域成員的用戶端電腦。

如何使用群組原則電腦的使用者登入指令碼

使用這個方法,必須將登入使用者帳戶設為網域帳戶,而且登入使用者帳戶也必須是用戶端電腦上本機系統管理員群組的成員。
  1. 設定共用。如果要執行這項操作,請依照初始安裝和設定一節中的步驟。
  2. 設定登入指令檔。如果要執行這項操作,請依照下列步驟執行:
    1. [Active Directory 使用者及電腦] MMC 嵌入式管理單元中,用滑鼠右鍵按一下網域名稱,然後按一下 [內容]
    2. 按一下 [群組原則] 索引標籤。
    3. 按一下 [新增] 建立新的 GPO,並輸入 「MRT Deployment」 做為名稱。
    4. 按一下新原則,然後按一下 [編輯]
    5. 展開 [使用者設定] 中的 [Windows 設定],然後按一下 [指令碼]
    6. 按兩下 [登入],然後按一下 [新增]。隨即顯示 [新增指令碼] 對話方塊。
    7. [指令碼名稱] 方塊中,輸入 \\ServerName\ShareName\RunMRT.cmd
    8. 按一下 [確定],再按一下 [套用]
  3. 先登出,再登入用戶端電腦。
在這個案例中,指令碼及工具將會在登入的使用者內容之下執行。如果該使用者不屬於本機系統管理員群組,或者沒有足夠的使用權限,工具將不會執行也不會傳回適當的傳回碼。 如需有關如何使用啟動指令碼和登入指令檔的詳細資訊,請移至下列 Microsoft 知識庫文章:

關於企業部署的其他資訊

如何檢查傳回碼

您可以在部署登入指令碼或部署啟動指令碼中檢查工具的傳回碼,以確認執行的結果。如需有關如何執行這項操作的範例,請參閱程式碼範例一節。

下列清單列出有效的傳回碼。
0=找不到感染
1=作業系統環境錯誤
2=未以系統管理員的身分執行
3=不是受支援的作業系統
4=初始化掃描器時發生錯誤(請下載新的工具)。
5=未使用
6=偵測到至少一個感染。沒有錯誤。
7=偵測到至少一個感染,並且發生錯誤。
8=偵測到並移除至少一個感染,但是必須手動移除,才能完整移除。
9=偵測到並移除至少一個感染,但是必須手動移除,才能完整移除,並且發生錯誤。
10=偵測到並移除至少一個感染,但是必須重新啟動,才能完整移除。
11=偵測到並移除至少一個感染,但是必須重新啟動,才能完整移除,並且發生錯誤。
12=偵測到並移除至少一個感染,但是必須手動移除並重新啟動,才能完整移除。
13=偵測到並移除至少一個感染,但是必須重新啟動。沒有發生錯誤。

如何剖析記錄檔

「惡意軟體移除工具」會將執行結果詳細地寫入 %windir%\debug\mrt.log 記錄檔。

注意
  • 這個記錄檔僅提供英文版本。
  • 從移除工具 1.2 版 (2005 年 3 月) 開始,本記錄檔使用 Unicode 文字。1.2 版之前,記錄檔使用 ANSI 文字。
  • 記錄檔格式已於 1.2 版變更,我們建議您下載並使用最新版的工具。

    如果此記錄檔已經存在,工具就會附加至現有的檔案中。
  • 您可以使用類似上述範例的命令指令碼,來擷取傳回碼並將檔案收集至網路共用。
  • 由於移除工具 1.2 版已經從 ANSI 轉換為 Unicode,因此這個版本會將 %windir%\debug 資料夾中任何 ANSI 版本的 Mrt.log 檔案複製到相同目錄中的 Mrt.log.old。此外,1.2 版還會在同一個目錄中建立新 Unicode 版本的 Mrt.log 檔案。如同 ANSI 版,此記錄檔將附加至每個月份的發行版本中。
下列範例是已感染 MPnTestFile 蠕蟲的電腦中的 Mrt.log 檔案:
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Tue Jul 30 23:34:49 2013Quick Scan Results:-------------------Threat Detected: Virus:Win32/MPnTestFile.2004 and Removed!  Action: Remove, Result: 0x00000000    regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn    runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\v5mpn    file://c:\temp\mpncleantest.exe        SigSeq: 0x00002267735A46E2Results Summary:----------------Found Virus:Win32/MPnTestFile.2004 and Removed!Microsoft Windows Malicious Software Removal Tool Finished On Tue Jul 30 23:35:39 2013Return code: 6 (0x6)           

下列是沒有找到惡意軟體的記錄檔範例。
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Thu Aug 01 21:15:43 2013Results Summary:----------------No infection found.Microsoft Windows Malicious Software Removal Tool Finished On Thu Aug 01 21:16:28 2013Return code: 0 (0x0)

下列是找到錯誤的範例記錄檔。

如需此工具所造成的警告和錯誤詳細資訊,請移至下列 Microsoft Knowledge 文章︰
Microsoft Windows Malicious Software Removal Tool v5.3, August 2013 (build 5.3.9300.0)Started On Fri Aug 02 16:17:49 2013Scan Results:-------------Threat Detected: Virus:Win32/MPTestFile.2004, partially removed.  Operation failed. Action: Clean, Result: 0x8007065E. Please use a full antivirus product ! !     file://d:\temp\mpcleantest.7z->mpcleantest.exe        SigSeq: 0x00001080D2AE29FC    containerfile://d:\temp\mpcleantest.7zResults Summary:----------------Found Virus:Win32/MPTestFile.2004, partially removed.Microsoft Windows Malicious Software Removal Tool Finished On Fri Aug 02 16:18:09 2013Return code: 7 (0x7)

已知問題

已知問題 1

當您使用啟動指令碼執行此工具時,Mrt.log 檔案中可能會記錄類似下列的錯誤訊息:

Error: MemScanGetImagePathFromPid(pid: 552) failed. (錯誤:MemScanGetImagePathFromPid(pid: 552) 失敗)
0x00000005: Access is denied. (拒絕存取)

注意
PID 號碼將有所不同。

當處理程序剛啟動或最近曾經停止回應時,會出現這個錯誤訊息。唯一的影響就是 PID 所指定的處理程序未經過掃描。

已知問題 2

在某些罕見情況下,如果系統管理員選擇使用 /q 無聲參數 (又稱為無訊息模式) 來部署 MSRT,當重新啟動後必須額外執行清除時,清除少數感染子集可能無法完全解決問題。目前只有在移除特定 Rootkit 變種時看到這種情形。

常見問題集

問 1:當我測試用來部署工具的啟動指令碼或登入指令檔時,記錄檔並未複製到我先前設定的網路共用。為什麼?

答 1:這個問題通常是因為使用權限而造成的。例如,執行移除工具的帳戶並未擁有共用的「寫入」使用權限。如果要疑難排解這個問題,請先檢查登錄機碼,確定工具已經執行過,或者,您可以尋找用戶端電腦上是否存有記錄檔。如果工具已順利執行,您可以測試簡單的指令碼,確認在與執行移除工具相同的安全性內容下執行此指令碼時,指令碼可以寫入網路共用。

問 2:如何確認移除工具是否已經在用戶端電腦上執行?

答 2:您可以檢查下列登錄項目的數值資料,確認工具是否已執行。您可以執行這類檢查,做為啟動指令碼或登入指令檔的一部分。這個程序可以避免多次執行工具。
子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT

項目名稱:
Version
每次執行工具時,此工具都會將 GUID 記錄於登錄中,表示已經執行過。無論執行結果為何,工具都會執行這項操作。下列表格列出每個發行版本相對應的 GUID。

發行數值資料
2005 年 1 月E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005 年 2 月 805647C6-E5ED-4F07-9E21-327592D40E83
2005 年 3 月F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005 年 4 月D89EBFD1-262C-4990-9927-5185FED1F261
2005 年 5 月08112F4F-11BF-4129-A90A-9C8DD0104005
2005 年 6 月63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005 年 7 月2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005 年 8 月3752278B-57D3-4D44-8F30-A98F957EC3C8
2005 年 8 月 A4066DA74-2DDE-4752-8186-101A7C543C5F
2005 年 9 月33B662A4-4514-4581-8DD7-544021441C89
2005 年 10 月08FFB7EB-5453-4563-A016-7DBC4FED4935
2005 年 11 月1F5BA617-240A-42FF-BE3B-14B88D004E43
2005 年 12 月F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006 年 1 月250985ee-62e6-4560-b141-997fc6377fe2
2006 年 2 月99cb494b-98bf-4814-bff0-cf551ac8e205
2006 年 3 月b5784f56-32ca-4756-a521-ca57816391ca
2006 年 4 月d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006 年 5 月ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006 年 6 月7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006 年 7 月5df61377-4916-440f-b23f-321933b0afd3
2006 年 8 月37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006 年 9 月ac3fa517-20f0-4a42-95ca-6383f04773c8
2006 年 10 月79e385d0-5d28-4743-aeb3-ed101c828abd
2006 年 11 月1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006 年 12 月621498ca-889b-48ef-872b-84b519365c76
2007 年 1 月2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007 年 2 月FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007 年 3 月5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007 年 4 月57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007 年 5 月15D8C246-6090-450f-8261-4BA8CA012D3C
2007 年 6 月234C3382-3B87-41ca-98D1-277C2F5161CC
2007 年 7 月4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007 年 8 月0CEFC17E-9325-4810-A979-159E53529F47
2007 年 9 月A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007 年 10 月52168AD3-127E-416C-B7F6-068D1254C3A4
2007 年 11 月EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007 年 12 月73D860EC-4829-44DD-A064-2E36FCC21D40
2008 年 1 月330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008 年 2 月0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008 年 3 月24A92A45-15B3-412D-9088-A3226987A476
2008 年 4 月F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008 年 5 月0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008 年 6 月0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008 年 7 月BC308029-4E38-4D89-85C0-8A04FC9AD976
2008 年 8 月F3889559-68D7-4AFB-835E-E7A82E4CE818
2008 年 9 月7974CF06-BE58-43D5-B635-974BD92029E2
2008 年 10 月131437DE-87D3-4801-96F0-A2CB7EB98572
2008 年 11 月F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008 年 12 月9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008 年 12 月9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009 年 1 月2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009 年 2 月C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009 年 3 月BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009 年 4 月276F1693-D132-44EF-911B-3327198F838B
2009 年 5 月AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009 年 6 月8BD71447-AAE4-4B46-B652-484001424290
2009 年 7 月F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009 年 8 月91590177-69E5-4651-854D-9C95935867CE
2009 年 9 月B279661B-5861-4315-ABE9-92A3E26C1FF4
2009 年 10 月4C64200A-6786-490B-9A0C-DEF64AA03934
2009 年 11 月78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009 年 12 月A9A7C96D-908E-413C-A540-C43C47941BE4
2010 年 1 月ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010 年 2 月76D836AA-5D94-4374-BCBF-17F825177898
2010 年 3 月076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010 年 4 月D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010 年 5 月18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010 年 6 月308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010 年 7 月 (機器翻譯)A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010 年 8 月E39537F7-D4B8-4042-930C-191A2EF18C73
2010 年 9 月 0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010 年 10 月32F1A453-65D6-41F0-A36F-D9837A868534
2010 年 11 月5800D663-13EA-457C-8CFD-632149D0AEDD
2010 年 12 月4E28B496-DD95-4300-82A6-53809E0F9CDA
2011 年 1 月258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011 年 2 月B3458687-D7E4-4068-8A57-3028D15A7408
2011 年 3 月AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011 年 4 月0CB525D5-8593-436C-9EB0-68C6D549994D
2011 年 5 月852F70C7-9C9E-4093-9184-D89D5CE069F0
2011 年 6 月DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011 年 7 月3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011 年 8 月F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011 年 9 月E775644E-B0FF-44FA-9F8B-F731E231B507
2011 年 10 月C0177BCC-8925-431B-AC98-9AC87B8E9699
2011 年 11 月BEB9D90D-ED88-42D7-BD71-AE30E89BBDC9
2011 年 12 月79B9D6F6-2990-4C15-8914-7801AD90B4D7
2012 年 1 月634F47CA-D7D7-448E-A7BE-0371D029EB32
2012 年 2 月 23B13CB9-1784-4DD3-9504-7E58427307A7
2012 年 3 月 84C44DD1-20C8-4542-A1AF-C3BA2A191E25
2012 年 4 月 3C1A9787-5E87-45E3-9B0B-21A6AB25BF4A
2012 年 5 月 D0082A21-13E4-49F7-A31D-7F752F059DE9
2012 年 6 月 4B83319E-E2A4-4CD0-9AAC-A0AB62CE3384
2012 年 7 月 3E9B6E28-8A74-4432-AD2A-46133BDED728
2012 年 8 月 C1156343-36C9-44FB-BED9-75151586227B
2012 年 9 月 02A84536-D000-45FF-B71E-9203EFD2FE04
2012 年 10 月 8C1ACB58-FEE7-4FF0-972C-A09A058667F8
2012 年 11 月 7D0B34BB-97EB-40CE-8513-4B11EB4C1BD6
2012 年 12 月AD64315C-1421-4A96-89F4-464124776078
2013 年 1 月A769BB72-28FC-43C7-BA14-2E44725FED20
2013 年 2 月ED5E6E45-F92A-4096-BF7F-F84ECF59F0DB
2013 年 3 月147152D2-DFFC-4181-A837-11CB9211D091
2013 年 4 月7A6917B5-082B-48BA-9DFC-9B7034906FDC
2013 年 5 月3DAA6951-E853-47E4-B288-257DCDE1A45A
2013 年 6 月4A25C1F5-EA3D-4840-8E14-692DD6A57508
2013 年 7 月9326E352-E4F2-4BF7-AF54-3C06425F28A6
2013 年 8 月B6345F3A-AFA9-42FF-A5E7-DFC6C57B7EF8
2013 年 9 月462BE659-C07A-433A-874F-2362F01E07EA
2013 年 10 月21063288-61F8-4060-9629-9DBDD77E3242
2013 年 11 月BA6D0F21-C17B-418A-8ADD-B18289A02461
2013 年 12 月AFAFB7C5-798B-453D-891C-6765E4545CCC
2014 年 1 月7BC20D37-A4C7-4B84-BA08-8EC32EBF781C
2014 年 2 月FC5CF920-B37A-457B-9AB9-36ECC218A003
2014 年 3 月​254C09FA-7763-4C39-8241-76517EF78744
2014 年 4 月54788934-6031-4F7A-ACED-5D055175AF71
2014 年 5 月91EFE48B-7F85-4A74-9F33-26952DA55C80
2014 年 6 月07C5D15E-5547-4A58-A94D-5642040F60A2
2014 年 7 月43E0374E-D98E-4266-AB02-AE415EC8E119
2014 年 8 月53B5DBC4-54C7-46E4-B056-C6F17947DBDC
2014 年 9 月98CB657B-9051-439D-9A5D-8D4EDF851D94
2014 年 10 月5612279E-542C-454D-87FE-92E7CBFDCF0F
2014 年 11 月7F08663E-6A54-4F86-A6B5-805ADDE50113
2014 年 12 月386A84B2-5559-41C1-AC7F-33E0D5DE0DF6
2015 年 1 月677022D4-7EC2-4F65-A906-10FD5BBCB34C
2015 年 2 月92D72885-37F5-42A2-B199-9DBBEF797448
2015 年 3 月CEF02A7E-71DD-4391-9BF6-BF5DEE8E9173
2015 年 4 月7AABE55A-B025-4688-99E9-8C66A2713025
2015 年 5 月F8F85141-8E6C-4FED-8D4A-8CF72D6FBA21
2015 年 6 月20DEE2FA-9862-4C40-A1D4-1E13F1B9E8A7
2015 年 7 月82835140-FC6B-4E05-A17F-A6B9C5D7F9C7
2015 年 8 月74E954EF-6B77-4758-8483-4E0F4D0A73C7
2015 年 9 月BC074C26-D04C-4625-A88C-862601491864
2015 年 10 月4C5E10AF-1307-4E66-A279-5877C605EEFB
2015 年 11 月FFF3C6DF-56FD-4A28-AA12-E45C3937AB41
2015 年 12 月EE51DBB1-AE48-4F16-B239-F4EB7B2B5EED
2016 年 1 月ED6134CC-62B9-4514-AC73-07401411E1BE
2016 年 2 月DD51B914-25C9-427C-BEC8-DA8BB2597585
2016 年 3 月3AC662F4-BBD5-4771-B2A0-164912094D5D
2016 年 4 月6F31010B-5919-41C2-94FB-E71E8EEE9C9A
2016 年 5 月156D44C7-D356-4303-B9D2-9B782FE4A304
2016 年 6 月E6F49BC4-1AEA-4648-B235-1F2A069449BF
2016 年 7 月34E69BB2-EFA0-4905-B7A9-EFBDBA61647B
2016 年 8 月0F13F87E-603E-4964-A9B4-BF923FB27B5D
問 3:如何停用工具的感染報告元件,使報告不會傳回 Microsoft?

答 3:系統管理員可以藉由新增下列登錄機碼值至電腦,來選擇是否停用工具的感染報告元件。如果已經設定這個登錄機碼值,工具將不會向 Microsoft 回報感染資訊。
子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

項目名稱:\DontReportInfectionInformation
類型:REG_DWORD
數值資料:1


問 4:在 2005 年 3 月份的版本中,Mrt.log 檔案中的資料已不存在。為什麼要移除這項資料,是否有擷取的方式?

答 4:從 2005 年 3 月份的版本開始,Mrt.log 檔案即編寫為 Unicode 檔案。為確保相容性,執行 2005 年 3 月份版本的工具時,如果系統中仍有 ANSI 版的檔案,工具會將該記錄檔的內容複製到 %WINDIR%\debug 中的 Mrt.log.old,並建立 Unicode 版的新 Mrt.log。就像 ANSI 版一樣,日後執行工具時,都會附加 Unicode 版。
kbpubtypekc kbcsgcr kbcsapac
內容

文章識別碼:891716 - 最後檢閱時間:08/16/2016 00:24:00 - 修訂: 145.0

Microsoft Windows XP Professional, Microsoft Windows XP Home Edition (家用版), Windows Vista 家用入門版, Windows Vista 家用進階版, Windows Vista 商用入門版, Windows Vista 商用進階版, Windows Vista 旗艦版, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows 7 Enterprise, Windows 7 Enterprise N, Windows 7 Home Basic, Windows 7 Home Premium, Windows 7 Home Premium N, Windows 7 Professional, Windows 7 Professional N, Windows 7 Starter, Windows 7 Starter N, Windows 7 Ultimate, Windows 7 Ultimate N, Windows 8, Windows 8 Enterprise, Windows 8 Pro, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Standard, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 10

  • kbinfo KB891716
意見反應
, function () { return Math.floor(Math.random() * 16).toString(16); })).replace("R", (8 | Math.floor(Math.random() * 3)).toString(16)); var m = document.createElement("meta"); m.content = guid; m.name = "ms.dqid"; document.getElementsByTagName("head")[0].appendChild(m);