簡介 Microsoft 已發布 Microsoft Windows 惡意軟件刪除工具來幫助您從計算機中刪除特定的流行惡意軟件。跳過詳細信息并下載工具有關如何下載該工... Microsoft 已發布 Microsoft Windows 惡意軟件刪除工具來幫助您從計算機中刪除特定的流行惡意軟件。

回到頂端

跳過詳細信息并下載工具

有關如何下載該工具的詳細信息，請訪問以下 Microsoft 網頁： http://www.microsoft.com/security/malwareremove/default.aspx (http://www.microsoft.com/security/malwareremove/default.aspx) 本文中包含的信息特定于該工具的企業部署。我們極力建議您閱讀下面的 Microsoft 知識庫文章。它包含有關該工具及下載位置的一般信息。

有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟件刪除工具可幫助從運行 Windows 7、Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 的計算機中刪除特定的流行惡意軟件 該工具主要面向當前未在其計算機上安裝最新防病毒產品的非企業用戶。不過，也可以在企業環境中部署該工具，以增強現有防護并將其作為深層防御策略的一部分。要在企業環境中部署該工具，可以使用以下一種或多種方法：

• Windows Server Update Services
• Microsoft Systems Management Software (SMS) 軟件程序包
• 基于組策略的計算機啟動腳本
• 基于組策略的用戶登錄腳本

關于如何通過 Windows Update 和自動更新來部署此工具的其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 890830? (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 惡意軟件刪除工具可幫助從 運行 Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 的計算機中 刪除特定的流行惡意軟件。 該工具的當前版本不支持以下部署技術和方法：

• Windows Update 目錄
• 對遠程計算機執行該工具
• 軟件更新服務 (SUS)

此外，Microsoft Baseline Security Analyzer (MBSA) 檢測不到該工具的執行情況。本文包括如何驗證此工具是否已作為部署的一部分執行的相關信息。 回到頂端

代碼示例

這里提供的腳本和步驟僅針對樣本和示例。客戶必須對這些示例腳本和示例方案進行測試并恰當地進行修改，才能使其適用于他們的環境。必須根據您環境的設置相應地更改 ServerName 和 ShareName。

以下代碼示例的功能如下：

• 以靜默模式運行該工具
• 將日志文件復制到預先配置的網絡共享中
• 將在其中執行該工具的計算機名稱和當前用戶的用戶名用作日志文件名的前綴。必須按照初始安裝和配置部分中的操作說明在共享上設置合適的權限。

REM 在此示例中，腳本名為 RunMRT.cmd。 REM 當用作啟動腳本時，Sleep.exe 實用工具用于延遲工具的執行。 REM 啟動腳本。有關詳細信息，請參閱“已知問題”部分。 @echo off call \\ServerName\ShareName\Sleep.exe 5 Start /wait \\ServerName\ShareName\Windows-KB890830-V4.0.exe /qcopy %windir%\debug\mrt.log \\ServerName\ShareName\Logs\%computername%_%username%_mrt.log 注意 在此代碼示例中，ServerName 是服務器名稱的占位符，ShareName 是共享名稱的占位符。 回到頂端

初始安裝和配置

此部分的預期讀者是正在使用啟動腳本或登錄腳本部署此工具的管理員。如果您正在使用 SMS，則可以繼續閱讀“部署方法”部分。

要配置服務器和共享，請按照下列步驟操作：

在成員服務器上設置共享。然后將該共享命名為 ShareName。

將該工具和示例腳本 RunMRT.cmd 復制到該共享中。有關詳細信息，請參閱代碼示例部分。

配置以下共享權限和 NTFS 文件系統權限：

• 共享權限：
• 為管理該共享的用戶添加域用戶帳戶，然后單擊“完全控制”。
• 刪除 Everyone 組。
• 如果使用計算機啟動腳本方法，則應添加具有“更改”和“讀取”權限的 Domain Computers 組。
• 如果使用登錄腳本方法，則應添加具有“更改”和“讀取”權限的 Authenticated Users 組。
• NTFS 權限：
• 為管理該共享的用戶添加域用戶帳戶，然后單擊“完全控制”。
• 如果 Everyone 組位于該列表中，則將其刪除。
  
  注意：如果刪除 Everyone 組時收到一條錯誤消息，則單擊“安全”選項卡上的“高級”，然后單擊以清除“允許從父系來的繼承權限傳播到這個對象”復選框。
• 如果使用計算機啟動腳本方法，則為 Domain Computers 組授予“讀取和執行”權限、“列出文件夾內容”權限以及“讀取”權限。
• 如果使用登錄腳本方法，則為 Authenticated Users 組授予“讀取和執行”權限、“列出文件夾內容”權限以及“讀取”權限。

在 ShareName 文件夾下，創建名為“Logs”的文件夾。

當該工具在客戶端計算機上運行后，最終的日志文件將收集到此文件夾中。

要對 Logs 文件夾配置 NTFS 權限，請按照下列步驟操作。

注意：不得在此步驟中更改共享權限。

為管理該共享的用戶添加域用戶帳戶，然后單擊“完全控制”。

如果使用計算機啟動腳本方法，則為 Domain Computers 組授予“修改”權限、“讀取和執行”權限、“列出文件夾內容”權限、“讀取”權限以及“寫入”權限。

如果使用登錄腳本方法，則為 Authenticated Users 組授予“修改”權限、“讀取和執行”權限、“列出文件夾內容”權限、“讀取”權限以及“寫入”權限。

回到頂端

部署方法

注意若要運行此工具，不管選擇的部署選項是什么，都必須有管理員權限或系統權限。

如何使用 SMS 軟件包

以下示例提供使用 SMS 2003 的逐步驟操作說明。使用 SMS 2.0 的步驟與這些步驟相似。

從名為 Windows-KB890830-V1.34-CHS.exe /x 的程序包中提取 Mrt.exe 文件。

創建 .bat 文件以啟動 Mrt.exe，并通過使用 ISMIF32.exe 獲取返回代碼。

下面是一個示例。 @echo off Mrt.exe /q If errorlevel 13 goto error13 If errorlevel 12 goto error12 Goto end:error13 Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13” Goto end:error12 Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12" Goto end:end 有關 Ismif32.exe 的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 268791? (http://support.microsoft.com/kb/268791/ ) 如何在 SMS 2.0 中處理 ISMIF32.exe 文件生成的狀態管理信息格式 (MIF) 文件 186415? (http://support.microsoft.com/kb/186415/ ) SMS：狀態 MIF 創建程序 Ismif32.exe 已推出

要在 SMS 2003 控制臺中創建程序包，請按照下列步驟操作：

打開 SMS 管理員控制臺。

右鍵單擊“程序包”節點，單擊“新建”，然后單擊“程序包”。

將顯示“程序包屬性”對話框。

在“常規”選項卡上，指定程序包的名稱。

在“數據源”選項卡上，單擊以選中“此包包含源文件”復選框。

單擊“設置”，然后選擇包含該工具的源目錄。

在“分發設置”選項卡上，將“發送優先級”設置為“高”。

在“報告”選項卡上，單擊“將這些字段用于狀態 MIF 匹配”，然后為“MIF 文件名”和“名稱”字段指定名稱。

“版本”和“發布者”是可選的。

單擊“確定”創建程序包。

要為程序包指定分發點 (DP)，請按照下列步驟操作：

在 SMS 2003 控制臺中，在“程序包”節點下，找到新的程序包。

展開該程序包。右鍵單擊“分發點”，指向“新建”，然后單擊“分發點”。

啟動“新建分發點向導”。選擇一個現有分發點。

單擊“完成”以關閉向導。

要將先前創建的批處理文件添加到新的程序包中，請按照下列步驟操作：

在新的程序包節點下，單擊“程序”節點。

右鍵單擊“程序”，指向“新建”，然后單擊“程序”。

單擊“常規”選項卡，然后輸入一個有效名稱。

在“命令行”中，單擊“瀏覽”以選擇為啟動 Mrt.exe 而創建的批處理文件。

將“運行”更改為“隱藏”。將“之后”更改為“無需任何操作”。

單擊“要求”選項卡，然后單擊“該程序只能在指定的客戶端操作系統上運行”。

單擊“所有 x86 Windows Server 2003”、和“所有 x86 Windows XP”。

單擊“環境”選項卡，在“程序可以運行”列表中，單擊“無論用戶是否登錄”。將“運行”模式設置為“使用管理權限運行”。

單擊“確定”關閉該對話框。

要創建一個公告以向客戶端公布該程序，請按照下列步驟操作：

右鍵單擊“播發”節點，單擊“新建”，然后單擊“播發”。

在“常規”選項卡上，輸入播發的名稱。在“程序包”字段中，選擇以前創建的程序包。然后在“程序”字段中，選擇以前創建的程序。單擊“瀏覽”，然后單擊“所有系統”集合，或選擇只包括 Microsoft Windows XP 和更高版本的計算機的集合。

如果只希望程序運行一次，則保留“計劃”選項卡上的默認選項。要按計劃運行程序，請指定計劃間隔。

將“優先級”設置為“高”。

單擊“確定”以創建播發。

如何使用基于組策略的計算機啟動腳本

此方法要求在設置腳本和應用組策略設置之后重新啟動客戶端計算機。

設置共享。為此，請按照初始安裝和配置一節中的步驟操作。

安裝啟動腳本。為此，請按照下列步驟操作：

在“Active Directory 用戶和計算機”MMC 管理單元中，右鍵單擊域名稱，然后單擊“屬性”。

單擊“組策略”選項卡。

單擊“新建”以創建一個新的組策略對象 (GPO)，并鍵入 MRT 部署作為該策略的名稱。

單擊此新策略，然后單擊“編輯”。

展開“計算機配置”下的“Windows 設置”，然后單擊“腳本”。

雙擊“登錄”，然后單擊“添加”。

將顯示“添加腳本”對話框。

在“腳本名稱”框中，鍵入 \\ServerName\ShareName\RunMRT.cmd。

單擊“確定”，然后單擊“應用”。

重新啟動是該域成員的客戶端計算機。

如何使用基于組策略的用戶登錄腳本

此方法要求登錄用戶帳戶是域帳戶并且是客戶端計算機上本地管理員組的成員。

設置共享。為此，請按照初始安裝和配置一節中的步驟操作。

安裝登錄腳本。為此，請按照下列步驟操作：

在“Active Directory 用戶和計算機”MMC 管理單元中，右鍵單擊域名稱，然后單擊“屬性”。

單擊“組策略”選項卡。

單擊“新建”以創建一個新的 GPO，然后鍵入 MRT 部署作為名稱。

單擊此新策略，然后單擊“編輯”。

展開“用戶配置”下的“Windows 設置”，然后單擊“腳本”。

雙擊“登錄”，然后單擊“添加”。將顯示“添加腳本”對話框。

在“腳本名稱”框中，鍵入 \\ServerName\ShareName\RunMRT.cmd。

單擊“確定”，然后單擊“應用”。

先注銷，然后再次登錄到客戶端計算機。

在本方案中，該腳本和該工具將在登錄用戶的上下文中運行。如果該用戶不屬于本地管理員組或者不具有足夠的權限，該工具將不會運行或者不會返回相應的返回代碼。 有關如何使用啟動腳本和登錄腳本的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 198642? (http://support.microsoft.com/kb/198642/ ) 關于 Windows 2000 中的登錄、注銷、啟動和關機腳本的概述 322241? (http://support.microsoft.com/kb/322241/ ) 如何在 Windows 2000 中分配腳本 回到頂端

與企業部署相關的其他信息

如何檢查返回代碼

可以在部署登錄腳本或部署啟動腳本中檢查此工具的返回代碼，以驗證執行結果。有關如何執行此操作的示例，請參閱代碼示例部分。

下面的列表包含有效的返回代碼。 收起該表格展開該表格

0	=	未發現病毒感染
1	=	操作系統環境錯誤
2	=	沒有以管理員身份運行
3	=	操作系統不受支持
4	=	初始化掃描程序時出錯。（下載該工具的新副本）
5	=	未使用
6	=	至少檢測到一處病毒感染，但沒有錯誤。
7	=	至少檢測到一處病毒感染，但是出現錯誤。
8	=	至少檢測到一處病毒感染并已將其刪除，但需要手動操作才能完成刪除。
9	=	至少檢測到一處病毒感染并已將其刪除，但需要手動操作才能完成刪除并且出現錯誤。
10	=	至少檢測到一處病毒感染并已將其刪除，但需要重新啟動才能完成刪除。
11	=	至少檢測到一處病毒感染并已將其刪除，但需要重新啟動才能完成刪除并且出現錯誤。
12	=	至少檢測到一處病毒感染并已將其刪除，但需要手動操作和重新啟動才能完成刪除。
13	=	至少檢測到一處病毒感染并已將其刪除，但需要重新啟動。未出現錯誤。

如何分析日志文件

惡意軟件刪除工具會將有關其執行結果的詳細信息寫入 %windir%\debug\mrt.log 日志文件中。

注意

• 該日志文件當前只有英文版本。
• 從 2005 年 3 月發布的 1.2 版刪除工具開始，該日志文件使用 Unicode 文本格式。在 1.2 版之前，該日志文件使用的是 ANSI 文本格式。
• 在 1.2 版中，日志文件格式已經更改，我們建議您下載并使用該工具的最新版本。
  
  如果該日志文件已經存在，該工具會將內容追加到現有文件中。
• 可以使用與前面的示例類似的命令腳本來獲取返回代碼并將文件收集到網絡共享中。
• 由于從 ANSI 到 Unicode 格式的轉換，1.2 版的刪除工具會將 %windir%\debug 文件夾中所有 ANSI 版本的 Mrt.log 文件復制到同一目錄下的 Mrt.log.old 中。1.2 版的刪除工具還會在同一目錄下創建一個 Unicode 版本的新 Mrt.log 文件。與 ANSI 版本一樣，每個月該日志文件中都會追加內容。

以下示例是被 Sasser.A 蠕蟲感染的計算機中的 Mrt.log 文件： Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007Quick Scan Results:---------------- Found virus:Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exe Found virus:Win32/Sasser.A.worm in regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus:Win32/Sasser.A.worm in runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Found virus:Win32/Sasser.A.worm in file://C:\WINDOWS\avserve.exeQuick Scan Removal Results ---------------- Start 'remove' for regkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !Start 'remove' for runkey://HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\avserve.exe Operation succeeded !Start 'remove' for file://\\?\C:\WINDOWS\avserve.exe Operation succeeded !Results Summary:---------------- Found Win32/Sasser.A.worm and Removed!Return code:6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007
The following is an example log file where no malicious software is found.
Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002Results Summary:---------------- No infection found.Return code:0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002
下面是一個其中發現了錯誤的示例日志文件。

有關該工具所導致的警告和錯誤的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： 891717? (http://support.microsoft.com/kb/891717/ ) 如何解決在運行 Microsoft Windows 惡意軟件刪除工具時出現的錯誤 Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002Scanning Results:---------------- Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in file C:\WINDOWS\System32\winsec16.exeRemoval Results:---------------- Terminating process with pid 1880 ->Sysclean ERROR:Failed to kill process with PID:1880 (Win32 Error Code:0x00000102 (258):The wait operation timed out.)[697] Operation failed !Terminating process with pid 1880 Operation had previously completed.Terminating process with pid 1880 Operation had previously completed.Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, entry:WinSec Operation succeeded !Terminating process with pid 1880 Operation had previously completed.Deleting registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entry:WinSec Operation succeeded !Writing in file C:\WINDOWS\system32\drivers\etc\hosts Operation succeeded !Deleting file C:\WINDOWS\System32\winsec16.exe Operation succeeded !Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.Deleting file C:\WINDOWS\System32\winsec16.exe Operation had previously completed.Results Summary:---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted.Found Win32/HLLW.Gaobot.ZF, partially removed. 回到頂端

已知問題

已知問題 1

使用啟動腳本運行此工具時，可能在 Mrt.log 文件中記錄類似以下錯誤消息的錯誤消息： 錯誤:MemScanGetImagePathFromPid(pid:552) failed.
0x00000005:Access is denied. 注意：Pid 號將有所不同。

此錯誤消息會在進程剛剛啟動或進程剛剛停止時出現。唯一的影響是不掃描 Pid 指定的進程。

已知問題 2

在某些極少數情況下，如果管理員選用靜默開關 /q（又稱為靜默模式）來部署 MSRT，則在重新啟動后需要進一步清理的情況下，可能無法完全清理感染的少部分病毒。僅在刪除某些 rootkit 變種時，才會遇到此問題。 回到頂端

常見問題

問題 1：當我測試用來部署該工具的啟動或登錄腳本時，沒有看到日志文件被復制到我所設置的網絡共享中。為什么？

解答 1：這通常是由權限問題引起的。例如，運行刪除工具的帳戶對共享沒有“寫入”權限。要解決此問題，請首先檢查注冊表項，以確保該工具已經運行。也可檢查客戶端計算機上是否存在日志文件。如果該工具已成功運行，則可以對一個簡單腳本進行測試，并確保當該腳本與刪除工具在同一安全上下文中運行時，該腳本可以寫入網絡共享。

問題 2：如何驗證刪除工具是否已在客戶端計算機上運行？

解答 2：可以檢查以下注冊表項的數值數據以驗證該工具的執行情況。可以將此類檢查作為啟動腳本或登錄腳本的一部分來執行。此進程阻止工具多次運行。 子項： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT
條目名稱：Version 每次此工具運行時，工具將在注冊表中記錄 GUID 以指示它已被執行。不管執行的結果如何，都會進行此操作。下表列出了各個版本所對應的 GUID。 收起該表格展開該表格 版本數值數據

2005 年 1 月	E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005 年 2 月	805647C6-E5ED-4F07-9E21-327592D40E83
2005 年 3 月	F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005 年 4 月	D89EBFD1-262C-4990-9927-5185FED1F261
2005 年 5 月	08112F4F-11BF-4129-A90A-9C8DD0104005
2005 年 6 月	63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005 年 7 月	2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005 年 8 月	3752278B-57D3-4D44-8F30-A98F957EC3C8
2005 年 8 月 A	4066DA74-2DDE-4752-8186-101A7C543C5F
2005 年 9 月	33B662A4-4514-4581-8DD7-544021441C89
2005 年 10 月	08FFB7EB-5453-4563-A016-7DBC4FED4935
2005 年 11 月	1F5BA617-240A-42FF-BE3B-14B88D004E43
2005 年 12 月	F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006 年 1 月	250985ee-62e6-4560-b141-997fc6377fe2
2006 年 2 月	99cb494b-98bf-4814-bff0-cf551ac8e205
2006 年 3 月	b5784f56-32ca-4756-a521-ca57816391ca
2006 年 4 月	d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006 年 5 月	ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006 年 6 月	7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006 年 7 月	5df61377-4916-440f-b23f-321933b0afd3
2006 年 8 月	37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006 年 9 月	ac3fa517-20f0-4a42-95ca-6383f04773c8
2006 年 10 月	79e385d0-5d28-4743-aeb3-ed101c828abd
2006 年 11 月	1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006 年 12 月	621498ca-889b-48ef-872b-84b519365c76
2007 年 1 月	2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007 年 2 月	FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007 年 3 月	5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007 年 4 月	57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007 年 5 月	15D8C246-6090-450f-8261-4BA8CA012D3C
2007 年 6 月	234C3382-3B87-41ca-98D1-277C2F5161CC
2007 年 7 月	4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007 年 8 月	0CEFC17E-9325-4810-A979-159E53529F47
2007 年 9 月	A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007 年 10 月	52168AD3-127E-416C-B7F6-068D1254C3A4
2007 年 11 月	EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007 年 12 月	73D860EC-4829-44DD-A064-2E36FCC21D40
2008 年 1 月	330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008 年 2 月	0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008 年 3 月	24A92A45-15B3-412D-9088-A3226987A476
2008 年 4 月	F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008 年 5 月	0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008 年 6 月	0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008 年 7 月	BC308029-4E38-4D89-85C0-8A04FC9AD976
2008 年 8 月	F3889559-68D7-4AFB-835E-E7A82E4CE818
2008 年 9 月	7974CF06-BE58-43D5-B635-974BD92029E2
2008 年 10 月	131437DE-87D3-4801-96F0-A2CB7EB98572
2008 年 11 月	F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008 年 12 月	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008 年 12 月	9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009 年 1 月	2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009 年 2 月	C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009 年 3 月	BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009 年 4 月	276F1693-D132-44EF-911B-3327198F838B
2009 年 5 月	AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009 年 6 月	8BD71447-AAE4-4B46-B652-484001424290
2009 年 7 月	F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009 年 8 月	91590177-69E5-4651-854D-9C95935867CE
2009 年 9 月	B279661B-5861-4315-ABE9-92A3E26C1FF4
2009 年 10 月	4C64200A-6786-490B-9A0C-DEF64AA03934
2009 年 11 月	78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009 年 12 月	A9A7C96D-908E-413C-A540-C43C47941BE4
2010 年 1 月	ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010 年 2 月	76D836AA-5D94-4374-BCBF-17F825177898
2010 年 3 月	076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010 年 4 月	D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010 年 5 月	18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010 年 6 月	308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010 年 7 月	A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010 年 8 月	E39537F7-D4B8-4042-930C-191A2EF18C73
2010 年 9 月	0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010 年 10 月	32F1A453-65D6-41F0-A36F-D9837A868534
2010 年 11 月	5800D663-13EA-457C-8CFD-632149D0AEDD
2010 年 12 月	4E28B496-DD95-4300-82A6-53809E0F9CDA
2011 年 1 月	258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011 年 2 月	B3458687-D7E4-4068-8A57-3028D15A7408
2011 年 3 月	AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011年 4 月	0CB525D5-8593-436C-9EB0-68C6D549994D
2011 年 5 月	852F70C7-9C9E-4093-9184-D89D5CE069F0
2011 年 6 月	DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011 年 7 月	3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011 年 8 月	F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011 年 9 月	E775644E-B0FF-44FA-9F8B-F731E231B507

問題 3：如何禁用該工具的感染報告組件，以便不將報告發送回 Microsoft？

解答 3：管理員可以選擇通過向計算機中添加以下注冊表項值來禁用該工具的感染報告組件。如果設置此注冊表項值，此工具不會向 Microsoft 報告感染信息。 子項： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
項名稱：\DontReportInfectionInformation
類型：REG_DWORD
數值數據：1

問題 4：在 2005 年 3 月發行的版本中，Mrt.log 文件中的數據似乎已丟失。這些數據為何被刪除？有沒有辦法恢復它？

解答 4：從 2005 年 3 月發行的版本開始，Mrt.log 文件以 Unicode 文件形式寫入。為了確保兼容性，當該工具的 2005 年 3 月版處于運行狀態時，如果系統上存在該文件的 ANSI 版本，該工具會將此日志的內容復制到 %WINDIR%\debug 下的 Mrt.log.old 中，并創建一個 Unicode 版本的新 Mrt.log。與 ANSI 版本一樣，以后每次連續執行該工具時，都會向該 Unicode 版本中追加內容。

轉載于:https://blog.51cto.com/xiangruyimo/684093

總結

以上是生活随笔為你收集整理的在企业环境中部署 Microsoft Windows 恶意软件删除工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。