Categories: Windows 10Windows 8Windows Server 2016Утилиты

Особенности использования средства удаления вредоносных программ Windows (MRT.exe)

Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7 ).

Средство удаления вредоносных программ Microsoft – не является антивирусом и не защищает компьютер в реальном времени от всех угроз. Область применения утилиты – быстрое сканирование компьютера на предмет наличия ограниченного списка наиболее опасных вредоносных программ и угроз (по мнению Microsoft) и их удаление.

Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft ( https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830 ).

Начиная с мая 2020 года обновление утилиты MSRT выпускается раз в квартал (ранее – ежемесячно).

Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:

mrt.exe

Доступны 3 режима сканирования компьютера:

Quick scan – быстрая проверки памяти и системных файлов, которые чаще всего бывают заражены. При обнаружении вируса или трояна, утилита предложит выполнить полное сканирование;
Full scan – полное сканирование компьютера (может занять до нескольких часов, в зависимости от количества файлов на диске);
Customized scan – в этом режиме можно указать конкретную папку, которую нужно просканировать.

Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.

Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.

Если вредоносная программ обнаружена, утилита выдаст один из следующих статусов:

Обнаружено и было удалено по крайней мере одно заражение;
Обнаружено заражение, но оно не было удалено. Этот результат отображается в том случае, если на компьютере обнаружены подозрительные файлы. Для удаления этих файлов следует использовать антивирус;
Обнаружено и частично удалено заражение. Чтобы завершить удаление, следует использовать антивирус.

Утилита MSRT сохраняет подробный лог сканирования в файл %WinDir%Debugmrt.log .

Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2)_x000D_Started On Mon Sep 7 08:50:39 2020_x000D_Engine: 1.1.16900.4_x000D_Signatures: 1.313.2734.0_x000D_MpGear: 1.1.16330.1_x000D_Results Summary:_x000D_----------------_x000D_ No infection found._x000D_Successfully Submitted Heartbeat Report_x000D_

Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLMSOFTWAREPoliciesMicrosoftMRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1 .

reg add "HKLMSOFTWAREPoliciesMicrosoftMRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

Если вы хотите отключить автоматическое получение средства удаления вредоносных программ Windows через Windows Update, выполните команду

reg add "HKLMSOFTWAREPoliciesMicrosoftMRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).

/Q – запуск в фоновом режиме (без графического интерфейса);
/N – режим детектирования (выполняется только проверка, без удаления обнаруженных зловредов);
/F – полная проверка компьютера;
/F:Y – полная проверка и автоматическое удаление заражённых файлов.

Microsoft предлагает несколько сценариев развертывания и использования Windows Malicious Software Removal Tool на предприятии ( https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an-enterprise-enviro ).

Для автоматической проверки компьютера используется специальное задание MRT_HB в Task Scheduler (Task Scheduler Library -> Microsoft -> Windows -> RemovalTools).

Это задание запускает утилиту mrt.exe с параметрами /EHB /Q (что, интересно параметры /EHB не документированы, в справке их нет).

admin