Особенности использования средства удаления вредоносных программ Windows (MRT.exe)

Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7).

Средство удаления вредоносных программ Microsoft – не является антивирусом и не защищает компьютер в реальном времени от всех угроз. Область применения утилиты – быстрое сканирование компьютера на предмет наличия ограниченного списка наиболее опасных вредоносных программ и угроз (по мнению Microsoft) и их удаление.

средство удаления вредоносных программ в WIndows

Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).

KB890830 обновление с Windows Malicious Software Removal Tool

Начиная с мая 2020 года обновление утилиты MSRT выпускается раз в квартал (ранее – ежемесячно).

Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:

mrt.exe

Доступны 3 режима сканирования компьютера:

  • Quick scan – быстрая проверки памяти и системных файлов, которые чаще всего бывают заражены. При обнаружении вируса или трояна, утилита предложит выполнить полное сканирование;
  • Full scan – полное сканирование компьютера (может занять до нескольких часов, в зависимости от количества файлов на диске);
  • Customized scan – в этом режиме можно указать конкретную папку, которую нужно просканировать.

выбо режима сканирования компьютера

Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.

проверка компьютера с помощью средства удаления вредоносных программ Windows (MRT.exe)

Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.

Если вредоносная программ обнаружена, утилита выдаст один из следующих статусов:

  • Обнаружено и было удалено по крайней мере одно заражение;
  • Обнаружено заражение, но оно не было удалено. Этот результат отображается в том случае, если на компьютере обнаружены подозрительные файлы. Для удаления этих файлов следует использовать антивирус;
  • Обнаружено и частично удалено заражение. Чтобы завершить удаление, следует использовать антивирус.

не обнаружено вирусов

Утилита MSRT сохраняет подробный лог сканирования в файл %WinDir%\Debug\mrt.log .

Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2)
Started On Mon Sep 7 08:50:39 2020
Engine: 1.1.16900.4
Signatures: 1.313.2734.0
MpGear: 1.1.16330.1
Results Summary:
----------------
No infection found. Successfully Submitted Heartbeat Report

лог Microsoft Windows Malicious Software Removal Tool

Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\MRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1.

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

Если вы хотите отключить автоматическое получение средства удаления вредоносных программ Windows через Windows Update, выполните команду

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).

параметры командной строки mrt.exe

  • /Q – запуск в фоновом режиме (без графического интерфейса);
  • /N – режим детектирования (выполняется только проверка, без удаления обнаруженных зловредов);
  • /F – полная проверка компьютера;
  • /F:Y – полная проверка и автоматическое удаление заражённых файлов.
Microsoft предлагает несколько сценариев развертывания и использования Windows Malicious Software Removal Tool на предприятии (https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an-enterprise-enviro).

Для автоматической проверки компьютера используется специальное задание MRT_HB в Task Scheduler (Task Scheduler Library -> Microsoft -> Windows -> RemovalTools).

MRT_HB задание в планировщике для сканирвания компьтера от вредоносных программ

Это задание запускает утилиту mrt.exe с параметрами /EHB /Q (что, интересно параметры /EHB не документированы, в справке их нет).


Предыдущая статья Следующая статья


Комментариев: 15 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)