Особенности использования средства удаления вредоносных программ Windows (MRT.exe)

Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7).

Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).

Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:

mrt.exe

Доступны 3 режима сканирования компьютера:

• Quick scan – быстрая проверки памяти и системных файлов, которые чаще всего бывают заражены. При обнаружении вируса или трояна, утилита предложит выполнить полное сканирование;
• Full scan – полное сканирование компьютера (может занять до нескольких часов, в зависимости от количества файлов на диске);
• Customized scan – в этом режиме можно указать конкретную папку, которую нужно просканировать.

Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.

Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.

Утилита MSRT сохраняет подробный лог сканирования в файл %WinDir%\Debug\mrt.log .

Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2)
Started On Mon Sep 7 08:50:39 2020
Engine: 1.1.16900.4
Signatures: 1.313.2734.0
MpGear: 1.1.16330.1
Results Summary:
----------------
 No infection found.
Successfully Submitted Heartbeat Report

Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\MRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1.

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).

• /Q – запуск в фоновом режиме (без графического интерфейса);
• /N – режим детектирования (выполняется только проверка, без удаления обнаруженных зловредов);
• /F – полная проверка компьютера;
• /F:Y – полная проверка и автоматическое удаление заражённых файлов.

Для автоматической проверки компьютера используется специальное задание MRT_HB в Task Scheduler (Task Scheduler Library -> Microsoft -> Windows -> RemovalTools).

Это задание запускает утилиту mrt.exe с параметрами /EHB /Q (что, интересно параметры /EHB не документированы, в справке их нет).