簡(jiǎn)介 Microsoft 已發(fā)布 Microsoft Windows 惡意軟件刪除工具來(lái)幫助您從計(jì)算機(jī)中刪除特定的流行惡意軟件。跳過(guò)詳細(xì)信息并下載工具有關(guān)如何下載該工... Microsoft 已發(fā)布 Microsoft Windows 惡意軟件刪除工具來(lái)幫助您從計(jì)算機(jī)中刪除特定的流行惡意軟件。

回到頂端

跳過(guò)詳細(xì)信息并下載工具

有關(guān)如何下載該工具的詳細(xì)信息，請(qǐng)?jiān)L問(wèn)以下 Microsoft 網(wǎng)頁(yè)： http://www.microsoft.com/security/malwareremove/default.aspx (http://www.microsoft.com/security/malwareremove/default.aspx) 本文中包含的信息特定于該工具的企業(yè)部署。我們極力建議您閱讀下面的 Microsoft 知識(shí)庫(kù)文章。它包含有關(guān)該工具及下載位置的一般信息。

有關(guān)更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟件刪除工具可幫助從運(yùn)行 Windows 7、Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 的計(jì)算機(jī)中刪除特定的流行惡意軟件 該工具主要面向當(dāng)前未在其計(jì)算機(jī)上安裝最新防病毒產(chǎn)品的非企業(yè)用戶。不過(guò)，也可以在企業(yè)環(huán)境中部署該工具，以增強(qiáng)現(xiàn)有防護(hù)并將其作為深層防御策略的一部分。要在企業(yè)環(huán)境中部署該工具，可以使用以下一種或多種方法：

• Windows Server Update Services
• Microsoft Systems Management Software (SMS) 軟件程序包
• 基于組策略的計(jì)算機(jī)啟動(dòng)腳本
• 基于組策略的用戶登錄腳本

關(guān)于如何通過(guò) Windows Update 和自動(dòng)更新來(lái)部署此工具的其他信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟件刪除工具可幫助從 運(yùn)行 Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 的計(jì)算機(jī)中 刪除特定的流行惡意軟件。 該工具的當(dāng)前版本不支持以下部署技術(shù)和方法：

• Windows Update 目錄
• 對(duì)遠(yuǎn)程計(jì)算機(jī)執(zhí)行該工具
• 軟件更新服務(wù) (SUS)

此外，Microsoft Baseline Security Analyzer (MBSA) 檢測(cè)不到該工具的執(zhí)行情況。本文包括如何驗(yàn)證此工具是否已作為部署的一部分執(zhí)行的相關(guān)信息。 回到頂端

代碼示例

這里提供的腳本和步驟僅針對(duì)樣本和示例?？蛻舯仨殞?duì)這些示例腳本和示例方案進(jìn)行測(cè)試并恰當(dāng)?shù)剡M(jìn)行修改，才能使其適用于他們的環(huán)境。必須根據(jù)您環(huán)境的設(shè)置相應(yīng)地更改 ServerName 和 ShareName。

以下代碼示例的功能如下：

• 以靜默模式運(yùn)行該工具
• 將日志文件復(fù)制到預(yù)先配置的網(wǎng)絡(luò)共享中
• 將在其中執(zhí)行該工具的計(jì)算機(jī)名稱和當(dāng)前用戶的用戶名用作日志文件名的前綴。必須按照初始安裝和配置部分中的操作說(shuō)明在共享上設(shè)置合適的權(quán)限。

REM 在此示例中，腳本名為 RunMRT.cmd。 REM 當(dāng)用作啟動(dòng)腳本時(shí)，Sleep.exe 實(shí)用工具用于延遲工具的執(zhí)行。 REM 啟動(dòng)腳本。有關(guān)詳細(xì)信息，請(qǐng)參閱“已知問(wèn)題”部分。 @echo off call \\ServerName\ShareName\Sleep.exe 5 Start /wait \\ServerName\ShareName\Windows-KB890830-V4.0.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log 注意 在此代碼示例中，ServerName 是服務(wù)器名稱的占位符，ShareName 是共享名稱的占位符。 回到頂端

初始安裝和配置

此部分的預(yù)期讀者是正在使用啟動(dòng)腳本或登錄腳本部署此工具的管理員。如果您正在使用 SMS，則可以繼續(xù)閱讀“部署方法”部分。

要配置服務(wù)器和共享，請(qǐng)按照下列步驟操作：

在成員服務(wù)器上設(shè)置共享。然后將該共享命名為 ShareName。

將該工具和示例腳本 RunMRT.cmd 復(fù)制到該共享中。有關(guān)詳細(xì)信息，請(qǐng)參閱代碼示例部分。

配置以下共享權(quán)限和 NTFS 文件系統(tǒng)權(quán)限：

• 共享權(quán)限：
• 為管理該共享的用戶添加域用戶帳戶，然后單擊“完全控制”。
• 刪除 Everyone 組。
• 如果使用計(jì)算機(jī)啟動(dòng)腳本方法，則應(yīng)添加具有“更改”和“讀取”權(quán)限的 Domain Computers 組。
• 如果使用登錄腳本方法，則應(yīng)添加具有“更改”和“讀取”權(quán)限的 Authenticated Users 組。
• NTFS 權(quán)限：
• 為管理該共享的用戶添加域用戶帳戶，然后單擊“完全控制”。
• 如果 Everyone 組位于該列表中，則將其刪除。
  
  注意：如果刪除 Everyone 組時(shí)收到一條錯(cuò)誤消息，則單擊“安全”選項(xiàng)卡上的“高級(jí)”，然后單擊以清除“允許從父系來(lái)的繼承權(quán)限傳播到這個(gè)對(duì)象”復(fù)選框。
• 如果使用計(jì)算機(jī)啟動(dòng)腳本方法，則為 Domain Computers 組授予“讀取和執(zhí)行”權(quán)限、“列出文件夾內(nèi)容”權(quán)限以及“讀取”權(quán)限。
• 如果使用登錄腳本方法，則為 Authenticated Users 組授予“讀取和執(zhí)行”權(quán)限、“列出文件夾內(nèi)容”權(quán)限以及“讀取”權(quán)限。

在 ShareName 文件夾下，創(chuàng)建名為“Logs”的文件夾。

當(dāng)該工具在客戶端計(jì)算機(jī)上運(yùn)行后，最終的日志文件將收集到此文件夾中。

要對(duì) Logs 文件夾配置 NTFS 權(quán)限，請(qǐng)按照下列步驟操作。

注意：不得在此步驟中更改共享權(quán)限。

為管理該共享的用戶添加域用戶帳戶，然后單擊“完全控制”。

如果使用計(jì)算機(jī)啟動(dòng)腳本方法，則為 Domain Computers 組授予“修改”權(quán)限、“讀取和執(zhí)行”權(quán)限、“列出文件夾內(nèi)容”權(quán)限、“讀取”權(quán)限以及“寫入”權(quán)限。

如果使用登錄腳本方法，則為 Authenticated Users 組授予“修改”權(quán)限、“讀取和執(zhí)行”權(quán)限、“列出文件夾內(nèi)容”權(quán)限、“讀取”權(quán)限以及“寫入”權(quán)限。

回到頂端

部署方法

注意若要運(yùn)行此工具，不管選擇的部署選項(xiàng)是什么，都必須有管理員權(quán)限或系統(tǒng)權(quán)限。

如何使用 SMS 軟件包

以下示例提供使用 SMS 2003 的逐步驟操作說(shuō)明。使用 SMS 2.0 的步驟與這些步驟相似。

從名為 Windows-KB890830-V1.34-CHS.exe /x 的程序包中提取 Mrt.exe 文件。

創(chuàng)建 .bat 文件以啟動(dòng) Mrt.exe，并通過(guò)使用 ISMIF32.exe 獲取返回代碼。

下面是一個(gè)示例。 @echo off Mrt.exe /q If errorlevel 13 goto error13 If errorlevel 12 goto error12 Goto end:error13 Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13” Goto end:error12 Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12" Goto end:end 有關(guān) Ismif32.exe 的更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 268791? (http://support.microsoft.com/kb/268791/ ) 如何在 SMS 2.0 中處理 ISMIF32.exe 文件生成的狀態(tài)管理信息格式 (MIF) 文件 186415? (http://support.microsoft.com/kb/186415/ ) SMS：狀態(tài) MIF 創(chuàng)建程序 Ismif32.exe 已推出

要在 SMS 2003 控制臺(tái)中創(chuàng)建程序包，請(qǐng)按照下列步驟操作：

打開(kāi) SMS 管理員控制臺(tái)。

右鍵單擊“程序包”節(jié)點(diǎn)，單擊“新建”，然后單擊“程序包”。

將顯示“程序包屬性”對(duì)話框。

在“常規(guī)”選項(xiàng)卡上，指定程序包的名稱。

在“數(shù)據(jù)源”選項(xiàng)卡上，單擊以選中“此包包含源文件”復(fù)選框。

單擊“設(shè)置”，然后選擇包含該工具的源目錄。

在“分發(fā)設(shè)置”選項(xiàng)卡上，將“發(fā)送優(yōu)先級(jí)”設(shè)置為“高”。

在“報(bào)告”選項(xiàng)卡上，單擊“將這些字段用于狀態(tài) MIF 匹配”，然后為“MIF 文件名”和“名稱”字段指定名稱。

“版本”和“發(fā)布者”是可選的。

單擊“確定”創(chuàng)建程序包。

要為程序包指定分發(fā)點(diǎn) (DP)，請(qǐng)按照下列步驟操作：

在 SMS 2003 控制臺(tái)中，在“程序包”節(jié)點(diǎn)下，找到新的程序包。

展開(kāi)該程序包。右鍵單擊“分發(fā)點(diǎn)”，指向“新建”，然后單擊“分發(fā)點(diǎn)”。

啟動(dòng)“新建分發(fā)點(diǎn)向?qū)А?。選擇一個(gè)現(xiàn)有分發(fā)點(diǎn)。

單擊“完成”以關(guān)閉向?qū)А?/li>

要將先前創(chuàng)建的批處理文件添加到新的程序包中，請(qǐng)按照下列步驟操作：

在新的程序包節(jié)點(diǎn)下，單擊“程序”節(jié)點(diǎn)。

右鍵單擊“程序”，指向“新建”，然后單擊“程序”。

單擊“常規(guī)”選項(xiàng)卡，然后輸入一個(gè)有效名稱。

在“命令行”中，單擊“瀏覽”以選擇為啟動(dòng) Mrt.exe 而創(chuàng)建的批處理文件。

將“運(yùn)行”更改為“隱藏”。將“之后”更改為“無(wú)需任何操作”。

單擊“要求”選項(xiàng)卡，然后單擊“該程序只能在指定的客戶端操作系統(tǒng)上運(yùn)行”。

單擊“所有 x86 Windows Server 2003”、和“所有 x86 Windows XP”。

單擊“環(huán)境”選項(xiàng)卡，在“程序可以運(yùn)行”列表中，單擊“無(wú)論用戶是否登錄”。將“運(yùn)行”模式設(shè)置為“使用管理權(quán)限運(yùn)行”。

單擊“確定”關(guān)閉該對(duì)話框。

要?jiǎng)?chuàng)建一個(gè)公告以向客戶端公布該程序，請(qǐng)按照下列步驟操作：

右鍵單擊“播發(fā)”節(jié)點(diǎn)，單擊“新建”，然后單擊“播發(fā)”。

在“常規(guī)”選項(xiàng)卡上，輸入播發(fā)的名稱。在“程序包”字段中，選擇以前創(chuàng)建的程序包。然后在“程序”字段中，選擇以前創(chuàng)建的程序。單擊“瀏覽”，然后單擊“所有系統(tǒng)”集合，或選擇只包括 Microsoft Windows XP 和更高版本的計(jì)算機(jī)的集合。

如果只希望程序運(yùn)行一次，則保留“計(jì)劃”選項(xiàng)卡上的默認(rèn)選項(xiàng)。要按計(jì)劃運(yùn)行程序，請(qǐng)指定計(jì)劃間隔。

將“優(yōu)先級(jí)”設(shè)置為“高”。

單擊“確定”以創(chuàng)建播發(fā)。

如何使用基于組策略的計(jì)算機(jī)啟動(dòng)腳本

此方法要求在設(shè)置腳本和應(yīng)用組策略設(shè)置之后重新啟動(dòng)客戶端計(jì)算機(jī)。

設(shè)置共享。為此，請(qǐng)按照初始安裝和配置一節(jié)中的步驟操作。

安裝啟動(dòng)腳本。為此，請(qǐng)按照下列步驟操作：

在“Active Directory 用戶和計(jì)算機(jī)”MMC 管理單元中，右鍵單擊域名稱，然后單擊“屬性”。

單擊“組策略”選項(xiàng)卡。

單擊“新建”以創(chuàng)建一個(gè)新的組策略對(duì)象 (GPO)，并鍵入 MRT 部署作為該策略的名稱。

單擊此新策略，然后單擊“編輯”。

展開(kāi)“計(jì)算機(jī)配置”下的“Windows 設(shè)置”，然后單擊“腳本”。

雙擊“登錄”，然后單擊“添加”。

將顯示“添加腳本”對(duì)話框。

在“腳本名稱”框中，鍵入 \\ServerName\ShareName\RunMRT.cmd。

單擊“確定”，然后單擊“應(yīng)用”。

重新啟動(dòng)是該域成員的客戶端計(jì)算機(jī)。

如何使用基于組策略的用戶登錄腳本

此方法要求登錄用戶帳戶是域帳戶并且是客戶端計(jì)算機(jī)上本地管理員組的成員。

設(shè)置共享。為此，請(qǐng)按照初始安裝和配置一節(jié)中的步驟操作。

安裝登錄腳本。為此，請(qǐng)按照下列步驟操作：

在“Active Directory 用戶和計(jì)算機(jī)”MMC 管理單元中，右鍵單擊域名稱，然后單擊“屬性”。

單擊“組策略”選項(xiàng)卡。

單擊“新建”以創(chuàng)建一個(gè)新的 GPO，然后鍵入 MRT 部署作為名稱。

單擊此新策略，然后單擊“編輯”。

展開(kāi)“用戶配置”下的“Windows 設(shè)置”，然后單擊“腳本”。

雙擊“登錄”，然后單擊“添加”。將顯示“添加腳本”對(duì)話框。

在“腳本名稱”框中，鍵入 \\ServerName\ShareName\RunMRT.cmd。

單擊“確定”，然后單擊“應(yīng)用”。

先注銷，然后再次登錄到客戶端計(jì)算機(jī)。

在本方案中，該腳本和該工具將在登錄用戶的上下文中運(yùn)行。如果該用戶不屬于本地管理員組或者不具有足夠的權(quán)限，該工具將不會(huì)運(yùn)行或者不會(huì)返回相應(yīng)的返回代碼。 有關(guān)如何使用啟動(dòng)腳本和登錄腳本的更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 198642? (http://support.microsoft.com/kb/198642/ ) 關(guān)于 Windows 2000 中的登錄、注銷、啟動(dòng)和關(guān)機(jī)腳本的概述 322241? (http://support.microsoft.com/kb/322241/ ) 如何在 Windows 2000 中分配腳本 回到頂端

與企業(yè)部署相關(guān)的其他信息

如何檢查返回代碼

可以在部署登錄腳本或部署啟動(dòng)腳本中檢查此工具的返回代碼，以驗(yàn)證執(zhí)行結(jié)果。有關(guān)如何執(zhí)行此操作的示例，請(qǐng)參閱代碼示例部分。

下面的列表包含有效的返回代碼。 收起該表格展開(kāi)該表格

0	=	未發(fā)現(xiàn)病毒感染
1	=	操作系統(tǒng)環(huán)境錯(cuò)誤
2	=	沒(méi)有以管理員身份運(yùn)行
3	=	操作系統(tǒng)不受支持
4	=	初始化掃描程序時(shí)出錯(cuò)。（下載該工具的新副本）
5	=	未使用
6	=	至少檢測(cè)到一處病毒感染，但沒(méi)有錯(cuò)誤。
7	=	至少檢測(cè)到一處病毒感染，但是出現(xiàn)錯(cuò)誤。
8	=	至少檢測(cè)到一處病毒感染并已將其刪除，但需要手動(dòng)操作才能完成刪除。
9	=	至少檢測(cè)到一處病毒感染并已將其刪除，但需要手動(dòng)操作才能完成刪除并且出現(xiàn)錯(cuò)誤。
10	=	至少檢測(cè)到一處病毒感染并已將其刪除，但需要重新啟動(dòng)才能完成刪除。
11	=	至少檢測(cè)到一處病毒感染并已將其刪除，但需要重新啟動(dòng)才能完成刪除并且出現(xiàn)錯(cuò)誤。
12	=	至少檢測(cè)到一處病毒感染并已將其刪除，但需要手動(dòng)操作和重新啟動(dòng)才能完成刪除。
13	=	至少檢測(cè)到一處病毒感染并已將其刪除，但需要重新啟動(dòng)。未出現(xiàn)錯(cuò)誤。

如何分析日志文件

惡意軟件刪除工具會(huì)將有關(guān)其執(zhí)行結(jié)果的詳細(xì)信息寫入 %windir%\debug\mrt.log 日志文件中。

注意

• 該日志文件當(dāng)前只有英文版本。
• 從 2005 年 3 月發(fā)布的 1.2 版刪除工具開(kāi)始，該日志文件使用 Unicode 文本格式。在 1.2 版之前，該日志文件使用的是 ANSI 文本格式。
• 在 1.2 版中，日志文件格式已經(jīng)更改，我們建議您下載并使用該工具的最新版本。
  
  如果該日志文件已經(jīng)存在，該工具會(huì)將內(nèi)容追加到現(xiàn)有文件中。
• 可以使用與前面的示例類似的命令腳本來(lái)獲取返回代碼并將文件收集到網(wǎng)絡(luò)共享中。
• 由于從 ANSI 到 Unicode 格式的轉(zhuǎn)換，1.2 版的刪除工具會(huì)將 %windir%\debug 文件夾中所有 ANSI 版本的 Mrt.log 文件復(fù)制到同一目錄下的 Mrt.log.old 中。1.2 版的刪除工具還會(huì)在同一目錄下創(chuàng)建一個(gè) Unicode 版本的新 Mrt.log 文件。與 ANSI 版本一樣，每個(gè)月該日志文件中都會(huì)追加內(nèi)容。

以下示例是被 Sasser.A 蠕蟲(chóng)感染的計(jì)算機(jī)中的 Mrt.log 文件： Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007Quick Scan Results:---------------- Found virus:Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus:Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus:Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus:Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exeQuick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !Results Summary:---------------- Found Win32/Sasser.A.worm and Removed!Return code:6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007
The following is an example log file where no malicious software is found.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002Results Summary:---------------- No infection found.Return code:0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002
下面是一個(gè)其中發(fā)現(xiàn)了錯(cuò)誤的示例日志文件。

有關(guān)該工具所導(dǎo)致的警告和錯(cuò)誤的更多信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 891717? (http://support.microsoft.com/kb/891717/ ) 如何解決在運(yùn)行 Microsoft Windows 惡意軟件刪除工具時(shí)出現(xiàn)的錯(cuò)誤 Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002Scanning Results:---------------- Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exeRemoval Results:---------------- Terminating process with pid 1880 ->Sysclean ERROR:Failed to kill process with PID:1880 (Win32 Error Code:0x00000102 (258):The wait operation timed out.)[697] Operation failed !Terminating process with pid 1880 Operation had previously completed.Terminating process with pid 1880 Operation had previously completed.Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry:WinSec Operation succeeded !Terminating process with pid 1880 Operation had previously completed.Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry:WinSec Operation succeeded !Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.Results Summary:---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted.Found Win32/HLLW.Gaobot.ZF, partially removed. 回到頂端

已知問(wèn)題

已知問(wèn)題 1

使用啟動(dòng)腳本運(yùn)行此工具時(shí)，可能在 Mrt.log 文件中記錄類似以下錯(cuò)誤消息的錯(cuò)誤消息： 錯(cuò)誤:MemScanGetImagePathFromPid(pid:552) failed.
0x00000005:Access is denied. 注意：Pid 號(hào)將有所不同。

此錯(cuò)誤消息會(huì)在進(jìn)程剛剛啟動(dòng)或進(jìn)程剛剛停止時(shí)出現(xiàn)。唯一的影響是不掃描 Pid 指定的進(jìn)程。

已知問(wèn)題 2

在某些極少數(shù)情況下，如果管理員選用靜默開(kāi)關(guān) /q（又稱為靜默模式）來(lái)部署 MSRT，則在重新啟動(dòng)后需要進(jìn)一步清理的情況下，可能無(wú)法完全清理感染的少部分病毒。僅在刪除某些 rootkit 變種時(shí)，才會(huì)遇到此問(wèn)題。 回到頂端

常見(jiàn)問(wèn)題

問(wèn)題 1：當(dāng)我測(cè)試用來(lái)部署該工具的啟動(dòng)或登錄腳本時(shí)，沒(méi)有看到日志文件被復(fù)制到我所設(shè)置的網(wǎng)絡(luò)共享中。為什么？

解答 1：這通常是由權(quán)限問(wèn)題引起的。例如，運(yùn)行刪除工具的帳戶對(duì)共享沒(méi)有“寫入”權(quán)限。要解決此問(wèn)題，請(qǐng)首先檢查注冊(cè)表項(xiàng)，以確保該工具已經(jīng)運(yùn)行。也可檢查客戶端計(jì)算機(jī)上是否存在日志文件。如果該工具已成功運(yùn)行，則可以對(duì)一個(gè)簡(jiǎn)單腳本進(jìn)行測(cè)試，并確保當(dāng)該腳本與刪除工具在同一安全上下文中運(yùn)行時(shí)，該腳本可以寫入網(wǎng)絡(luò)共享。

問(wèn)題 2：如何驗(yàn)證刪除工具是否已在客戶端計(jì)算機(jī)上運(yùn)行？

解答 2：可以檢查以下注冊(cè)表項(xiàng)的數(shù)值數(shù)據(jù)以驗(yàn)證該工具的執(zhí)行情況?？梢詫⒋祟悪z查作為啟動(dòng)腳本或登錄腳本的一部分來(lái)執(zhí)行。此進(jìn)程阻止工具多次運(yùn)行。 子項(xiàng)： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
條目名稱：Version 每次此工具運(yùn)行時(shí)，工具將在注冊(cè)表中記錄 GUID 以指示它已被執(zhí)行。不管執(zhí)行的結(jié)果如何，都會(huì)進(jìn)行此操作。下表列出了各個(gè)版本所對(duì)應(yīng)的 GUID。 收起該表格展開(kāi)該表格 版本數(shù)值數(shù)據(jù)

2005 年 1 月	E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005 年 2 月	805647C6-E5ED-4F07-9E21-327592D40E83
2005 年 3 月	F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005 年 4 月	D89EBFD1-262C-4990-9927-5185FED1F261
2005 年 5 月	08112F4F-11BF-4129-A90A-9C8DD0104005
2005 年 6 月	63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005 年 7 月	2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005 年 8 月	3752278B-57D3-4D44-8F30-A98F957EC3C8
2005 年 8 月 A	4066DA74-2DDE-4752-8186-101A7C543C5F
2005 年 9 月	33B662A4-4514-4581-8DD7-544021441C89
2005 年 10 月	08FFB7EB-5453-4563-A016-7DBC4FED4935
2005 年 11 月	1F5BA617-240A-42FF-BE3B-14B88D004E43
2005 年 12 月	F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006 年 1 月	250985ee-62e6-4560-b141-997fc6377fe2
2006 年 2 月	99cb494b-98bf-4814-bff0-cf551ac8e205
2006 年 3 月	b5784f56-32ca-4756-a521-ca57816391ca
2006 年 4 月	d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006 年 5 月	ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006 年 6 月	7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006 年 7 月	5df61377-4916-440f-b23f-321933b0afd3
2006 年 8 月	37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006 年 9 月	ac3fa517-20f0-4a42-95ca-6383f04773c8
2006 年 10 月	79e385d0-5d28-4743-aeb3-ed101c828abd
2006 年 11 月	1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006 年 12 月	621498ca-889b-48ef-872b-84b519365c76
2007 年 1 月	2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007 年 2 月	FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007 年 3 月	5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007 年 4 月	57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007 年 5 月	15D8C246-6090-450f-8261-4BA8CA012D3C
2007 年 6 月	234C3382-3B87-41ca-98D1-277C2F5161CC
2007 年 7 月	4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007 年 8 月	0CEFC17E-9325-4810-A979-159E53529F47
2007 年 9 月	A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007 年 10 月	52168AD3-127E-416C-B7F6-068D1254C3A4
2007 年 11 月	EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007 年 12 月	73D860EC-4829-44DD-A064-2E36FCC21D40
2008 年 1 月	330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008 年 2 月	0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008 年 3 月	24A92A45-15B3-412D-9088-A3226987A476
2008 年 4 月	F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008 年 5 月	0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008 年 6 月	0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008 年 7 月	BC308029-4E38-4D89-85C0-8A04FC9AD976
2008 年 8 月	F3889559-68D7-4AFB-835E-E7A82E4CE818
2008 年 9 月	7974CF06-BE58-43D5-B635-974BD92029E2
2008 年 10 月	131437DE-87D3-4801-96F0-A2CB7EB98572
2008 年 11 月	F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008 年 12 月	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008 年 12 月	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009 年 1 月	2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009 年 2 月	C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009 年 3 月	BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009 年 4 月	276F1693-D132-44EF-911B-3327198F838B
2009 年 5 月	AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009 年 6 月	8BD71447-AAE4-4B46-B652-484001424290
2009 年 7 月	F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009 年 8 月	91590177-69E5-4651-854D-9C95935867CE
2009 年 9 月	B279661B-5861-4315-ABE9-92A3E26C1FF4
2009 年 10 月	4C64200A-6786-490B-9A0C-DEF64AA03934
2009 年 11 月	78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009 年 12 月	A9A7C96D-908E-413C-A540-C43C47941BE4
2010 年 1 月	ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010 年 2 月	76D836AA-5D94-4374-BCBF-17F825177898
2010 年 3 月	076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010 年 4 月	D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010 年 5 月	18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010 年 6 月	308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010 年 7 月	A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010 年 8 月	E39537F7-D4B8-4042-930C-191A2EF18C73
2010 年 9 月	0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010 年 10 月	32F1A453-65D6-41F0-A36F-D9837A868534
2010 年 11 月	5800D663-13EA-457C-8CFD-632149D0AEDD
2010 年 12 月	4E28B496-DD95-4300-82A6-53809E0F9CDA
2011 年 1 月	258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011 年 2 月	B3458687-D7E4-4068-8A57-3028D15A7408
2011 年 3 月	AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011年 4 月	0CB525D5-8593-436C-9EB0-68C6D549994D
2011 年 5 月	852F70C7-9C9E-4093-9184-D89D5CE069F0
2011 年 6 月	DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011 年 7 月	3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011 年 8 月	F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011 年 9 月	E775644E-B0FF-44FA-9F8B-F731E231B507

問(wèn)題 3：如何禁用該工具的感染報(bào)告組件，以便不將報(bào)告發(fā)送回 Microsoft？

解答 3：管理員可以選擇通過(guò)向計(jì)算機(jī)中添加以下注冊(cè)表項(xiàng)值來(lái)禁用該工具的感染報(bào)告組件。如果設(shè)置此注冊(cè)表項(xiàng)值，此工具不會(huì)向 Microsoft 報(bào)告感染信息。 子項(xiàng)： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
項(xiàng)名稱：\DontReportInfectionInformation
類型：REG_DWORD
數(shù)值數(shù)據(jù)：1

問(wèn)題 4：在 2005 年 3 月發(fā)行的版本中，Mrt.log 文件中的數(shù)據(jù)似乎已丟失。這些數(shù)據(jù)為何被刪除？有沒(méi)有辦法恢復(fù)它？

解答 4：從 2005 年 3 月發(fā)行的版本開(kāi)始，Mrt.log 文件以 Unicode 文件形式寫入。為了確保兼容性，當(dāng)該工具的 2005 年 3 月版處于運(yùn)行狀態(tài)時(shí)，如果系統(tǒng)上存在該文件的 ANSI 版本，該工具會(huì)將此日志的內(nèi)容復(fù)制到 %WINDIR%\debug 下的 Mrt.log.old 中，并創(chuàng)建一個(gè) Unicode 版本的新 Mrt.log。與 ANSI 版本一樣，以后每次連續(xù)執(zhí)行該工具時(shí)，都會(huì)向該 Unicode 版本中追加內(nèi)容。

轉(zhuǎn)載于:https://blog.51cto.com/xiangruyimo/684093

總結(jié)

以上是生活随笔為你收集整理的在企业环境中部署 Microsoft Windows 恶意软件删除工具的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。