在企业环境中部署 Microsoft Windows 恶意软件删除工具

简介 Microsoft 已发布 Microsoft Windows 恶意软件删除工具来帮助您从计算机中删除特定的流行恶意软件。跳过详细信息并下载工具有关如何下载该工… Microsoft 已发布 Microsoft Windows 恶意软件删除工具来帮助您从计算机中删除特定的流行恶意软件。

回到顶端

跳过详细信息并下载工具

有关如何下载该工具的详细信息,请访问以下 Microsoft 网页: http://www.microsoft.com/security/malwareremove/default.aspx (http://www.microsoft.com/security/malwareremove/default.aspx) 本文中包含的信息特定于该工具的企业部署。我们极力建议您阅读下面的 Microsoft 知识库文章。它包含有关该工具及下载位置的一般信息。

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 890830  (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 恶意软件删除工具可帮助从运行 Windows 7、Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 的计算机中删除特定的流行恶意软件 该工具主要面向当前未在其计算机上安装最新防病毒产品的非企业用户。不过,也可以在企业环境中部署该工具,以增强现有防护并将其作为深层防御策略的一部分。要在企业环境中部署该工具,可以使用以下一种或多种方法:

  • Windows Server Update Services
  • Microsoft Systems Management Software (SMS) 软件程序包
  • 基于组策略的计算机启动脚本
  • 基于组策略的用户登录脚本

关于如何通过 Windows Update 和自动更新来部署此工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 890830  (http://support.microsoft.com/kb/890830/ ) Microsoft Windows 恶意软件删除工具可帮助从 运行 Windows Vista、Windows Server 2003、Windows Server 2008 或 Windows XP 的计算机中 删除特定的流行恶意软件。 该工具的当前版本不支持以下部署技术和方法:

  • Windows Update 目录
  • 对远程计算机执行该工具
  • 软件更新服务 (SUS)

此外,Microsoft Baseline Security Analyzer (MBSA) 检测不到该工具的执行情况。本文包括如何验证此工具是否已作为部署的一部分执行的相关信息。 回到顶端

代码示例

这里提供的脚本和步骤仅针对样本和示例。客户必须对这些示例脚本和示例方案进行测试并恰当地进行修改,才能使其适用于他们的环境。必须根据您环境的设置相应地更改 ServerNameShareName

以下代码示例的功能如下:

  • 以静默模式运行该工具
  • 将日志文件复制到预先配置的网络共享中
  • 将在其中执行该工具的计算机名称和当前用户的用户名用作日志文件名的前缀。必须按照初始安装和配置部分中的操作说明在共享上设置合适的权限。


REM 在此示例中,脚本名为 RunMRT.cmd。
REM 当用作启动脚本时,Sleep.exe 实用工具用于延迟工具的执行。 
REM 启动脚本。有关详细信息,请参阅“已知问题”部分。
@echo off
call \ServerNameShareNameSleep.exe 5
Start /wait \ServerNameShareNameWindows-KB890830-V4.0.exe /qcopy %windir%debugmrt.log \ServerNameShareNameLogs%computername%_%username%_mrt.log

注意 在此代码示例中,ServerName 是服务器名称的占位符,ShareName 是共享名称的占位符。 回到顶端

初始安装和配置

此部分的预期读者是正在使用启动脚本或登录脚本部署此工具的管理员。如果您正在使用 SMS,则可以继续阅读“部署方法”部分。

要配置服务器和共享,请按照下列步骤操作:

  1. 在成员服务器上设置共享。然后将该共享命名为 ShareName
  2. 将该工具和示例脚本 RunMRT.cmd 复制到该共享中。有关详细信息,请参阅代码示例部分。
  3. 配置以下共享权限和 NTFS 文件系统权限:
    • 共享权限:
      1. 为管理该共享的用户添加域用户帐户,然后单击“完全控制”。
      2. 删除 Everyone 组。
      3. 如果使用计算机启动脚本方法,则应添加具有“更改”和“读取”权限的 Domain Computers 组。
      4. 如果使用登录脚本方法,则应添加具有“更改”和“读取”权限的 Authenticated Users 组。
    • NTFS 权限:
      1. 为管理该共享的用户添加域用户帐户,然后单击“完全控制”。
      2. 如果 Everyone 组位于该列表中,则将其删除。

        注意:如果删除 Everyone 组时收到一条错误消息,则单击“安全”选项卡上的“高级”,然后单击以清除“允许从父系来的继承权限传播到这个对象”复选框。

      3. 如果使用计算机启动脚本方法,则为 Domain Computers 组授予“读取和执行”权限、“列出文件夹内容”权限以及“读取”权限。
      4. 如果使用登录脚本方法,则为 Authenticated Users 组授予“读取和执行”权限、“列出文件夹内容”权限以及“读取”权限。
  4. 在 ShareName 文件夹下,创建名为“Logs”的文件夹。

    当该工具在客户端计算机上运行后,最终的日志文件将收集到此文件夹中。

  5. 要对 Logs 文件夹配置 NTFS 权限,请按照下列步骤操作。

    注意:不得在此步骤中更改共享权限。

    1. 为管理该共享的用户添加域用户帐户,然后单击“完全控制”。
    2. 如果使用计算机启动脚本方法,则为 Domain Computers 组授予“修改”权限、“读取和执行”权限、“列出文件夹内容”权限、“读取”权限以及“写入”权限。
    3. 如果使用登录脚本方法,则为 Authenticated Users 组授予“修改”权限、“读取和执行”权限、“列出文件夹内容”权限、“读取”权限以及“写入”权限。

回到顶端

部署方法

注意若要运行此工具,不管选择的部署选项是什么,都必须有管理员权限或系统权限。

如何使用 SMS 软件包

以下示例提供使用 SMS 2003 的逐步骤操作说明。使用 SMS 2.0 的步骤与这些步骤相似。

  1. 从名为 Windows-KB890830-V1.34-CHS.exe /x 的程序包中提取 Mrt.exe 文件。
  2. 创建 .bat 文件以启动 Mrt.exe,并通过使用 ISMIF32.exe 获取返回代码。

    下面是一个示例。

    
    @echo off
    Mrt.exe /q
    If errorlevel 13 goto error13
    If errorlevel 12 goto error12
    Goto end:error13
    Ismif32.exe –f MIFFILE –p MIFNAME –d ”text about error 13”
    Goto end:error12
    Ismif32.exe –f MIFFILE –p MIFNAME –d "text about error 12"
    Goto end:end
    

    有关 Ismif32.exe 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 268791  (http://support.microsoft.com/kb/268791/ ) 如何在 SMS 2.0 中处理 ISMIF32.exe 文件生成的状态管理信息格式 (MIF) 文件 186415  (http://support.microsoft.com/kb/186415/ ) SMS:状态 MIF 创建程序 Ismif32.exe 已推出

  3. 要在 SMS 2003 控制台中创建程序包,请按照下列步骤操作:
    1. 打开 SMS 管理员控制台。
    2. 右键单击“程序包”节点,单击“新建”,然后单击“程序包”。

      将显示“程序包属性”对话框。

    3. 在“常规”选项卡上,指定程序包的名称。
    4. 在“数据源”选项卡上,单击以选中“此包包含源文件”复选框。
    5. 单击“设置”,然后选择包含该工具的源目录。
    6. 在“分发设置”选项卡上,将“发送优先级”设置为“高”。
    7. 在“报告”选项卡上,单击“将这些字段用于状态 MIF 匹配”,然后为“MIF 文件名”和“名称”字段指定名称。

      “版本”和“发布者”是可选的。

    8. 单击“确定”创建程序包。
  4. 要为程序包指定分发点 (DP),请按照下列步骤操作:
    1. 在 SMS 2003 控制台中,在“程序包”节点下,找到新的程序包。
    2. 展开该程序包。右键单击“分发点”,指向“新建”,然后单击“分发点”。
    3. 启动“新建分发点向导”。选择一个现有分发点。
    4. 单击“完成”以关闭向导。
  5. 要将先前创建的批处理文件添加到新的程序包中,请按照下列步骤操作:
    1. 在新的程序包节点下,单击“程序”节点。
    2. 右键单击“程序”,指向“新建”,然后单击“程序”。
    3. 单击“常规”选项卡,然后输入一个有效名称。
    4. 在“命令行”中,单击“浏览”以选择为启动 Mrt.exe 而创建的批处理文件。
    5. 将“运行”更改为“隐藏”。将“之后”更改为“无需任何操作”。
    6. 单击“要求”选项卡,然后单击“该程序只能在指定的客户端操作系统上运行”。
    7. 单击“所有 x86 Windows Server 2003”、和“所有 x86 Windows XP”。
    8. 单击“环境”选项卡,在“程序可以运行”列表中,单击“无论用户是否登录”。将“运行”模式设置为“使用管理权限运行”。
    9. 单击“确定”关闭该对话框。
  6. 要创建一个公告以向客户端公布该程序,请按照下列步骤操作:
    1. 右键单击“播发”节点,单击“新建”,然后单击“播发”。
    2. 在“常规”选项卡上,输入播发的名称。在“程序包”字段中,选择以前创建的程序包。然后在“程序”字段中,选择以前创建的程序。单击“浏览”,然后单击“所有系统”集合,或选择只包括 Microsoft Windows XP 和更高版本的计算机的集合。
    3. 如果只希望程序运行一次,则保留“计划”选项卡上的默认选项。要按计划运行程序,请指定计划间隔。
    4. 将“优先级”设置为“高”。
    5. 单击“确定”以创建播发。

如何使用基于组策略的计算机启动脚本

此方法要求在设置脚本和应用组策略设置之后重新启动客户端计算机。

  1. 设置共享。为此,请按照初始安装和配置一节中的步骤操作。
  2. 安装启动脚本。为此,请按照下列步骤操作:
    1. 在“Active Directory 用户和计算机”MMC 管理单元中,右键单击域名称,然后单击“属性”。
    2. 单击“组策略”选项卡。
    3. 单击“新建”以创建一个新的组策略对象 (GPO),并键入 MRT 部署作为该策略的名称。
    4. 单击此新策略,然后单击“编辑”。
    5. 展开“计算机配置”下的“Windows 设置”,然后单击“脚本”。
    6. 双击“登录”,然后单击“添加”。

      将显示“添加脚本”对话框。

    7. 在“脚本名称”框中,键入 \ServerNameShareNameRunMRT.cmd
    8. 单击“确定”,然后单击“应用”。
  3. 重新启动是该域成员的客户端计算机。

如何使用基于组策略的用户登录脚本

此方法要求登录用户帐户是域帐户并且是客户端计算机上本地管理员组的成员。

  1. 设置共享。为此,请按照初始安装和配置一节中的步骤操作。
  2. 安装登录脚本。为此,请按照下列步骤操作:
    1. 在“Active Directory 用户和计算机”MMC 管理单元中,右键单击域名称,然后单击“属性”。
    2. 单击“组策略”选项卡。
    3. 单击“新建”以创建一个新的 GPO,然后键入 MRT 部署作为名称。
    4. 单击此新策略,然后单击“编辑”。
    5. 展开“用户配置”下的“Windows 设置”,然后单击“脚本”。
    6. 双击“登录”,然后单击“添加”。将显示“添加脚本”对话框。
    7. 在“脚本名称”框中,键入 \ServerNameShareNameRunMRT.cmd
    8. 单击“确定”,然后单击“应用”。
  3. 先注销,然后再次登录到客户端计算机。

在本方案中,该脚本和该工具将在登录用户的上下文中运行。如果该用户不属于本地管理员组或者不具有足够的权限,该工具将不会运行或者不会返回相应的返回代码。 有关如何使用启动脚本和登录脚本的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 198642  (http://support.microsoft.com/kb/198642/ ) 关于 Windows 2000 中的登录、注销、启动和关机脚本的概述 322241  (http://support.microsoft.com/kb/322241/ ) 如何在 Windows 2000 中分配脚本 回到顶端

与企业部署相关的其他信息

如何检查返回代码

可以在部署登录脚本或部署启动脚本中检查此工具的返回代码,以验证执行结果。有关如何执行此操作的示例,请参阅代码示例部分。

下面的列表包含有效的返回代码。 收起该表格展开该表格

0 = 未发现病毒感染
1 = 操作系统环境错误
2 = 没有以管理员身份运行
3 = 操作系统不受支持
4 = 初始化扫描程序时出错。(下载该工具的新副本)
5 = 未使用
6 = 至少检测到一处病毒感染,但没有错误。
7 = 至少检测到一处病毒感染,但是出现错误。
8 = 至少检测到一处病毒感染并已将其删除,但需要手动操作才能完成删除。
9 = 至少检测到一处病毒感染并已将其删除,但需要手动操作才能完成删除并且出现错误。
10 = 至少检测到一处病毒感染并已将其删除,但需要重新启动才能完成删除。
11 = 至少检测到一处病毒感染并已将其删除,但需要重新启动才能完成删除并且出现错误。
12 = 至少检测到一处病毒感染并已将其删除,但需要手动操作和重新启动才能完成删除。
13 = 至少检测到一处病毒感染并已将其删除,但需要重新启动。未出现错误。

如何分析日志文件

恶意软件删除工具会将有关其执行结果的详细信息写入 %windir%debugmrt.log 日志文件中。

注意

  • 该日志文件当前只有英文版本。
  • 从 2005 年 3 月发布的 1.2 版删除工具开始,该日志文件使用 Unicode 文本格式。在 1.2 版之前,该日志文件使用的是 ANSI 文本格式。
  • 在 1.2 版中,日志文件格式已经更改,我们建议您下载并使用该工具的最新版本。

    如果该日志文件已经存在,该工具会将内容追加到现有文件中。

  • 可以使用与前面的示例类似的命令脚本来获取返回代码并将文件收集到网络共享中。
  • 由于从 ANSI 到 Unicode 格式的转换,1.2 版的删除工具会将 %windir%debug 文件夹中所有 ANSI 版本的 Mrt.log 文件复制到同一目录下的 Mrt.log.old 中。1.2 版的删除工具还会在同一目录下创建一个 Unicode 版本的新 Mrt.log 文件。与 ANSI 版本一样,每个月该日志文件中都会追加内容。

以下示例是被 Sasser.A 蠕虫感染的计算机中的 Mrt.log 文件:

Microsoft Windows Malicious Software Removal Tool v1.28, April 2007 Started On Mon Mar 19 13:15:07 2007Quick Scan Results:---------------- Found virus:Win32/Sasser.A.worm in file://C:WINDOWSavserve.exe Found virus:Win32/Sasser.A.worm in regkey://HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN\avserve.exe Found virus:Win32/Sasser.A.worm in runkey://HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN\avserve.exe Found virus:Win32/Sasser.A.worm in file://C:WINDOWSavserve.exeQuick Scan Removal Results ---------------- Start 'remove' for regkey://HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN\avserve.exe Operation succeeded !Start 'remove' for runkey://HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN\avserve.exe Operation succeeded !Start 'remove' for file://\?C:WINDOWSavserve.exe Operation succeeded !Results Summary:---------------- Found Win32/Sasser.A.worm and Removed!Return code:6 Microsoft Windows Malicious Software Removal Tool Finished On Mon Mar 19 13:15:57 2007

The following is an example log file where no malicious software is found.

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:19:01 2002Results Summary:---------------- No infection found.Return code:0 Microsoft Windows Malicious Software Removal Tool Finished On Wed May 01 21:19:05 2002

下面是一个其中发现了错误的示例日志文件。

有关该工具所导致的警告和错误的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 891717  (http://support.microsoft.com/kb/891717/ ) 如何解决在运行 Microsoft Windows 恶意软件删除工具时出现的错误

Microsoft Windows Malicious Software Removal Tool v1.2, March 2005 Started On Wed May 01 21:27:57 2002Scanning Results:---------------- Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:WINDOWSSystem32winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in process 1880 Found virus:Win32/HLLW.Gaobot.ZF in file C:WINDOWSSystem32winsec16.exe Found virus:Win32/HLLW.Gaobot.ZF in file C:WINDOWSSystem32winsec16.exeRemoval Results:---------------- Terminating process with pid 1880 ->Sysclean ERROR:Failed to kill process with PID:1880 (Win32 Error Code:0x00000102 (258):The wait operation timed out.)[697] Operation failed !Terminating process with pid 1880 Operation had previously completed.Terminating process with pid 1880 Operation had previously completed.Deleting registry value HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices, entry:WinSec Operation succeeded !Terminating process with pid 1880 Operation had previously completed.Deleting registry value HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun, entry:WinSec Operation succeeded !Writing in file C:WINDOWSsystem32driversetchosts Operation succeeded !Deleting file C:WINDOWSSystem32winsec16.exe Operation succeeded !Deleting file C:WINDOWSSystem32winsec16.exe Operation had previously completed.Deleting file C:WINDOWSSystem32winsec16.exe Operation had previously completed.Results Summary:---------------- For cleaning Win32/HLLW.Gaobot.ZF, the system must be restarted.Found Win32/HLLW.Gaobot.ZF, partially removed.

回到顶端

已知问题

已知问题 1

使用启动脚本运行此工具时,可能在 Mrt.log 文件中记录类似以下错误消息的错误消息: 错误:MemScanGetImagePathFromPid(pid:552) failed.
0x00000005:Access is denied. 注意:Pid 号将有所不同。

此错误消息会在进程刚刚启动或进程刚刚停止时出现。唯一的影响是不扫描 Pid 指定的进程。

已知问题 2

在某些极少数情况下,如果管理员选用静默开关 /q(又称为静默模式)来部署 MSRT,则在重新启动后需要进一步清理的情况下,可能无法完全清理感染的少部分病毒。仅在删除某些 rootkit 变种时,才会遇到此问题。 回到顶端

常见问题

问题 1:当我测试用来部署该工具的启动或登录脚本时,没有看到日志文件被复制到我所设置的网络共享中。为什么?

解答 1:这通常是由权限问题引起的。例如,运行删除工具的帐户对共享没有“写入”权限。要解决此问题,请首先检查注册表项,以确保该工具已经运行。也可检查客户端计算机上是否存在日志文件。如果该工具已成功运行,则可以对一个简单脚本进行测试,并确保当该脚本与删除工具在同一安全上下文中运行时,该脚本可以写入网络共享。

问题 2:如何验证删除工具是否已在客户端计算机上运行?

解答 2:可以检查以下注册表项的数值数据以验证该工具的执行情况。可以将此类检查作为启动脚本或登录脚本的一部分来执行。此进程阻止工具多次运行。 子项: HKEY_LOCAL_MACHINESOFTWAREMicrosoftRemovalToolsMRT
条目名称:Version 每次此工具运行时,工具将在注册表中记录 GUID 以指示它已被执行。不管执行的结果如何,都会进行此操作。下表列出了各个版本所对应的 GUID。 收起该表格展开该表格

版本 数值数据
2005 年 1 月 E5DD9936-C147-4CD1-86D3-FED80FAADA6C
2005 年 2 月 805647C6-E5ED-4F07-9E21-327592D40E83
2005 年 3 月 F8327EEF-52AA-439A-9950-CE33CF0D4FDD
2005 年 4 月 D89EBFD1-262C-4990-9927-5185FED1F261
2005 年 5 月 08112F4F-11BF-4129-A90A-9C8DD0104005
2005 年 6 月 63C08887-00BE-4C9B-9EFC-4B9407EF0C4C
2005 年 7 月 2EEAB848-93EB-46AE-A3BF-9F1A55F54833
2005 年 8 月 3752278B-57D3-4D44-8F30-A98F957EC3C8
2005 年 8 月 A 4066DA74-2DDE-4752-8186-101A7C543C5F
2005 年 9 月 33B662A4-4514-4581-8DD7-544021441C89
2005 年 10 月 08FFB7EB-5453-4563-A016-7DBC4FED4935
2005 年 11 月 1F5BA617-240A-42FF-BE3B-14B88D004E43
2005 年 12 月 F8FEC144-AA00-48B8-9910-C2AE9CCE014A
2006 年 1 月 250985ee-62e6-4560-b141-997fc6377fe2
2006 年 2 月 99cb494b-98bf-4814-bff0-cf551ac8e205
2006 年 3 月 b5784f56-32ca-4756-a521-ca57816391ca
2006 年 4 月 d0f3ea76-76c8-4287-8cdf-bdfee5e446ec
2006 年 5 月 ce818d5b-8a25-47c0-a9cd-7169da3f9b99
2006 年 6 月 7cf4b321-c0dd-42d9-afdf-edbb85e59767
2006 年 7 月 5df61377-4916-440f-b23f-321933b0afd3
2006 年 8 月 37949d24-63f1-4fdc-ad24-5dc3eb3ad265
2006 年 9 月 ac3fa517-20f0-4a42-95ca-6383f04773c8
2006 年 10 月 79e385d0-5d28-4743-aeb3-ed101c828abd
2006 年 11 月 1d21fa19-c296-4020-a7c2-c5a9ba4f2356
2006 年 12 月 621498ca-889b-48ef-872b-84b519365c76
2007 年 1 月 2F9BC264-1980-42b6-9EE3-2BE36088BB57
2007 年 2 月 FFCBCFA5-4EA1-4d66-A3DC-224C8006ACAE
2007 年 3 月 5ABA0A63-8B4C-4197-A6AB-A1035539234D
2007 年 4 月 57FA0F48-B94C-49ea-894B-10FDA39A7A64
2007 年 5 月 15D8C246-6090-450f-8261-4BA8CA012D3C
2007 年 6 月 234C3382-3B87-41ca-98D1-277C2F5161CC
2007 年 7 月 4AD02E69-ACFE-475C-9106-8FB3D3695CF8
2007 年 8 月 0CEFC17E-9325-4810-A979-159E53529F47
2007 年 9 月 A72DDD48-8356-4D06-A8E0-8D9C24A20A9A
2007 年 10 月 52168AD3-127E-416C-B7F6-068D1254C3A4
2007 年 11 月 EFC91BC1-FD0D-42EE-AA86-62F59254147F
2007 年 12 月 73D860EC-4829-44DD-A064-2E36FCC21D40
2008 年 1 月 330FCFD4-F1AA-41D3-B2DC-127E699EEF7D
2008 年 2 月 0E918EC4-EE5F-4118-866A-93f32EC73ED6
2008 年 3 月 24A92A45-15B3-412D-9088-A3226987A476
2008 年 4 月 F01687B5-E3A4-4EB6-B4F7-37D8F7E173FA
2008 年 5 月 0A1A070A-25AA-4482-85DD-DF69FF53DF37
2008 年 6 月 0D9785CC-AEEC-49F7-81A8-07B225E890F1
2008 年 7 月 BC308029-4E38-4D89-85C0-8A04FC9AD976
2008 年 8 月 F3889559-68D7-4AFB-835E-E7A82E4CE818
2008 年 9 月 7974CF06-BE58-43D5-B635-974BD92029E2
2008 年 10 月 131437DE-87D3-4801-96F0-A2CB7EB98572
2008 年 11 月 F036AE17-CD74-4FA5-81FC-4FA4EC826837
2008 年 12 月 9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2008 年 12 月 9BF57AAA-6CE6-4FC4-AEC7-1B288F067467
2009 年 1 月 2B730A83-F3A6-44F5-83FF-D9F51AF84EA0
2009 年 2 月 C5E3D402-61D9-4DDF-A8F5-0685FA165CE8
2009 年 3 月 BDEB63D0-4CEC-4D5B-A360-FB1985418E61
2009 年 4 月 276F1693-D132-44EF-911B-3327198F838B
2009 年 5 月 AC36AF73-B1E8-4CC1-9FF3-5A52ABB90F96
2009 年 6 月 8BD71447-AAE4-4B46-B652-484001424290
2009 年 7 月 F530D09B-F688-43D1-A3D5-49DC1A8C9AF0
2009 年 8 月 91590177-69E5-4651-854D-9C95935867CE
2009 年 9 月 B279661B-5861-4315-ABE9-92A3E26C1FF4
2009 年 10 月 4C64200A-6786-490B-9A0C-DEF64AA03934
2009 年 11 月 78070A38-A2A9-44CE-BAB1-304D4BA06F49
2009 年 12 月 A9A7C96D-908E-413C-A540-C43C47941BE4
2010 年 1 月 ED3205FC-FC48-4A39-9FBD-B0035979DDFF
2010 年 2 月 76D836AA-5D94-4374-BCBF-17F825177898
2010 年 3 月 076DF31D-E151-4CC3-8E0A-7A21E35CF679
2010 年 4 月 D4232D7D-0DB6-4E8B-AD19-456E8D286D67
2010 年 5 月 18C7629E-5F96-4BA8-A2C8-31810A54F5B8
2010 年 6 月 308738D5-18B0-4CB8-95FD-CDD9A5F49B62
2010 年 7 月 A1A3C5AF-108A-45FD-ABEC-5B75DF31736D
2010 年 8 月 E39537F7-D4B8-4042-930C-191A2EF18C73
2010 年 9 月 0916C369-02A8-4C3D-9AD0-E72AF7C46025
2010 年 10 月 32F1A453-65D6-41F0-A36F-D9837A868534
2010 年 11 月 5800D663-13EA-457C-8CFD-632149D0AEDD
2010 年 12 月 4E28B496-DD95-4300-82A6-53809E0F9CDA
2011 年 1 月 258FD3CF-9C82-4112-B1B0-18EC1ECFED37
2011 年 2 月 B3458687-D7E4-4068-8A57-3028D15A7408
2011 年 3 月 AF70C509-22C8-4369-AEC6-81AEB02A59B7
2011年 4 月 0CB525D5-8593-436C-9EB0-68C6D549994D
2011 年 5 月 852F70C7-9C9E-4093-9184-D89D5CE069F0
2011 年 6 月 DDE7C7DD-E76A-4672-A166-159DA2110CE5
2011 年 7 月 3C009D0B-2C32-4635-9B34-FFA7F4CB42E7
2011 年 8 月 F14DDEA8-3541-40C6-AAC7-5A0024C928A8
2011 年 9 月 E775644E-B0FF-44FA-9F8B-F731E231B507

问题 3:如何禁用该工具的感染报告组件,以便不将报告发送回 Microsoft?

解答 3:管理员可以选择通过向计算机中添加以下注册表项值来禁用该工具的感染报告组件。如果设置此注册表项值,此工具不会向 Microsoft 报告感染信息。 子项: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftMRT
项名称:DontReportInfectionInformation
类型:REG_DWORD
数值数据:1

问题 4:在 2005 年 3 月发行的版本中,Mrt.log 文件中的数据似乎已丢失。这些数据为何被删除?有没有办法恢复它?

解答 4:从 2005 年 3 月发行的版本开始,Mrt.log 文件以 Unicode 文件形式写入。为了确保兼容性,当该工具的 2005 年 3 月版处于运行状态时,如果系统上存在该文件的 ANSI 版本,该工具会将此日志的内容复制到 %WINDIR%debug 下的 Mrt.log.old 中,并创建一个 Unicode 版本的新 Mrt.log。与 ANSI 版本一样,以后每次连续执行该工具时,都会向该 Unicode 版本中追加内容。

转载于:https://blog.51cto.com/xiangruyimo/684093

Published by

风君子

独自遨游何稽首 揭天掀地慰生平