Microsoft windows malicious là gì
Công cụ Loại bỏ Phần mềm Độc hại của Windows nhằm để sử dụng với các hệ điều hành được liệt kê trong mục "Áp dụng cho". Hệ điều hành không được bao gồm trong danh sách không được thử nghiệm và do đó không được hỗ trợ. Các hệ điều hành không được hỗ trợ này bao gồm tất cả các phiên bản và phiên bản của hệ điều hành nhúng. Show
Giới thiệuMicrosoft thường phát hành Công cụ Xóa Phần mềm Độc hại của Windows (MSRT) hàng tháng như một phần của Windows Update hoặc dưới dạng công cụ độc lập. Sử dụng công cụ này để tìm và xóa các mối đe dọa thường gặp cụ thể và đảo ngược các thay đổi mà chúng đã thực hiện (xem các mối đe dọa được bảo vệ). Để phát hiện và loại bỏ toàn diện phần mềm độc hại, hãy cân nhắc sử dụng Trình quét An toàn của Microsoft. Công cụ này hoạt động một cách bổ sung với các giải pháp chống phần mềm độc hại hiện có và có thể được sử dụng trên hầu hết các phiên bản Windows mới nhất (xem phần Thuộc tính). Thông tin có trong bài viết này là cụ thể cho việc triển khai doanh nghiệp của công cụ. Chúng tôi khuyên bạn nên xem lại bài viết cơ sở tri thức sau đây để biết thêm thông tin về công cụ: 890830 Xóa phần mềm có hại phổ biến cụ thể bằng Công cụ Xóa Phần mềm Có hại của Windows Tải xuống công cụBạn có thể tải xuống MSRT theo cách thủ công từ Trung tâm Tải xuống của Microsoft. Bạn có thể tải xuống các tệp sau đây từ Trung tâm Tải xuống của Microsoft: Đối với hệ thống dựa trên x86 32 bit: Tải xuống gói x86 MSRT ngay bây giờ. Tải xuống gói x64 MSRT ngay bây giờ. Tổng quan về triển khaiCông cụ này có thể được triển khai trong môi trường doanh nghiệp để tăng cường bảo vệ hiện có và như là một phần của chiến lược quốc phòng chuyên sâu. Để triển khai công cụ trong môi trường doanh nghiệp, bạn có thể sử dụng một hoặc nhiều phương pháp sau đây:
Phiên bản hiện tại của công cụ này không hỗ trợ các công nghệ và kỹ thuật triển khai sau đây:
Ngoài ra, Trình phân tích Bảo mật Cơ sở của Microsoft (MBSA) không phát hiện thực thi công cụ. Bài viết này bao gồm thông tin về cách bạn có thể xác nhận việc thực hiện công cụ như là một phần của triển khai. Mẫu mãTập lệnh và các bước được cung cấp ở đây được dùng để chỉ là các mẫu và ví dụ. Khách hàng phải kiểm tra các kịch bản mẫu và kịch bản mẫu và sửa đổi chúng một cách thích hợp để làm việc trong môi trường của họ. Bạn phải thay đổi ServerName và ShareName theo thiết lập trong môi trường của bạn. Mẫu mã sau đây sẽ thực hiện những việc sau:
Lưu ý Trong mẫu mã này, ServerName là chỗ dành sẵn cho tên máy chủ của bạn và ShareName là chỗ dành sẵn cho tên chia sẻ của bạn. Thiết lập và cấu hình ban đầuPhần này dành cho người quản trị đang sử dụng tập lệnh khởi động hoặc tập lệnh đăng nhập để triển khai công cụ này. Nếu bạn đang sử dụng SMS, bạn có thể tiếp tục phần "Phương pháp triển khai". Để cấu hình máy chủ và chia sẻ, hãy làm theo các bước sau:
Phương pháp triển khaiLưu ý Để chạy công cụ này, bạn phải có quyền Người quản trị hoặc Quyền hệ thống, bất kể tùy chọn triển khai mà bạn chọn. Cách sử dụng gói phần mềm SMSVí dụ sau đây cung cấp hướng dẫn từng bước để sử dụng SMS 2003. Các bước sử dụng SMS 2.0 giống như các bước sau.
Cách sử dụng tập lệnh khởi chính sách nhóm máy tính dựa trên nền tảng điện toánPhương pháp này yêu cầu bạn khởi động lại máy tính khách sau khi thiết lập tập lệnh và sau khi bạn áp dụng cài chính sách nhóm máy khách.
Cách sử dụng một tập lệnh người chính sách nhóm đăng nhập dựa trên người dùngPhương pháp này yêu cầu tài khoản người dùng đăng nhập là tài khoản miền và là thành viên của nhóm người quản trị cục bộ trên máy tính khách.
Trong trường hợp này, kịch bản và công cụ sẽ chạy theo ngữ cảnh của người dùng đăng nhập. Nếu người dùng này không thuộc nhóm người quản trị cục bộ hoặc không có đủ quyền, công cụ sẽ không chạy và sẽ không trả về mã trả lại thích hợp. Để biết thêm thông tin về cách sử dụng tập lệnh khởi động và tập lệnh đăng nhập, hãy đi tới bài viết sau đây trong Cơ sở Kiến thức Microsoft: 198642 Tổng quan về tập lệnh đăng nhập, đăng xuất, khởi động và tắt trong Windows 2000 322241 Cách gán tập lệnh trong Windows 2000 Thông tin bổ sung liên quan đến triển khai doanh nghiệpCách kiểm tra mã trả lại hàngBạn có thể kiểm tra mã trả về của công cụ trong tập lệnh đăng nhập triển khai hoặc trong tập lệnh khởi động triển khai để xác minh kết quả thực thi. Hãy xem phần Mã mẫu để biết ví dụ về cách thực hiện thao tác này. Danh sách sau đây chứa các mã trả lại hợp lệ.
Cách phân tích tệp nhật kýCông cụ Loại bỏ Phần mềm Độc hại viết chi tiết về kết quả thực thi của nó trong tệp nhật ký %windir%\debug\mrt.log. Ghi chú
Ví dụ sau đây là tệp Mrt.log từ máy tính đã bị nhiễm sâu MPnTestFile:
Sau đây là tệp nhật ký mẫu có tìm thấy lỗi. Để biết thêm thông tin về các cảnh báo và lỗi do công cụ gây ra, hãy đi tới bài viết sau đây trong Cơ sở Kiến thức Microsoft: 891717 Cách khắc phục lỗi khi bạn chạy Công cụ Xóa Phần mềm Có hại của Microsoft Windows Công cụ Xóa Phần mềm Độc hại của Microsoft Windows phiên bản 5.3, tháng 8 năm 2013 (bản dựng 5.3.9300.0) Bắt đầu Vào 02/08/16:17:49 2013 Kết quả Quét: Đã phát hiện mối đe dọa -------------: Vi-rút:Win32/MPTestFile.2004, đã bị xóa một phần. Thao tác không thành công. Hành động: Sạch sẽ, Kết quả: 0x8007065E. Xin vui lòng sử dụng một sản phẩm chống virus đầy đủ ! ! file://d:\temp\mpcleantest.7z->mpcleantest.exe SigSeq: 0x00001080D2AE29FC containerfile://d:\temp\mpcleantest.7z Tóm tắt Kết quả: ---------------- Tìm thấy Vi rút:Win32/MPTestFile.2004, đã xóa một phần. Công cụ Xóa Phần mềm Độc hại của Microsoft Windows đã hoàn tất vào 16:18:09 2013 Ngày 2 tháng 8 năm 2013, mã trả về: 7 (0x7) Sự cố đã biếtSự cố đã biết 1Khi bạn chạy công cụ bằng cách sử dụng một tập lệnh
khởi động, các thông báo lỗi tương tự như thông báo lỗi sau đây có thể được ghi nhật ký trong tệp Mrt.log: Lỗi: MemScanGetImagePathFromPid(pid: 552) không thành công. Lưu ý Số pid sẽ khác nhau. Thông báo lỗi này xảy ra khi một quy trình chỉ bắt đầu hoặc khi một quy trình đã được dừng gần đây. Hiệu ứng duy nhất là quá trình được chỉ định bởi pid không được quét. Sự cố đã biết 2Trong một số trường hợp hiếm hoi, nếu người quản trị chọn triển khai MSRT bằng cách sử dụng công tắc /q quiet (còn được gọi là chế độ im lặng), điều này có thể không hoàn toàn giải quyết làm sạch cho một tập con nhỏ của nhiễm trùng trong các tình huống mà làm sạch bổ sung là cần thiết sau khi khởi động lại. Điều này chỉ được quan sát thấy trong việc loại bỏ một số biến thể rootkit nhất định. FaqQ1. Khi tôi kiểm tra tập lệnh khởi động hoặc đăng nhập của mình để triển khai công cụ, tôi không thấy các tệp nhật ký đang được sao chép vào chia sẻ mạng mà tôi thiết lập. Tại sao? A1. Điều này thường xảy ra do sự cố về quyền. Ví dụ: tài khoản mà công cụ loại bỏ chạy từ đó không có quyền Ghi đối với chia sẻ. Để khắc phục sự cố này, trước tiên hãy đảm bảo rằng công cụ chạy bằng cách kiểm tra khóa đăng ký. Ngoài ra, bạn có thể tìm kiếm sự hiện diện của tệp nhật ký trên máy tính khách. Nếu công cụ chạy thành công, bạn có thể kiểm tra một tập lệnh đơn giản và đảm bảo công cụ có thể ghi vào chia sẻ mạng khi công cụ chạy trong cùng ngữ cảnh bảo mật trong đó công cụ loại bỏ được chạy. Câu hỏi 2. Làm thế nào để tôi xác minh rằng công cụ loại bỏ đã chạy trên máy tính khách? A2. Bạn có thể kiểm tra dữ liệu giá trị cho mục nhập sổ đăng ký sau đây để xác minh việc thực thi công cụ. Bạn có thể thực hiện một kiểm tra như một phần của một kịch bản khởi động hoặc một kịch bản đăng nhập. Quá trình này ngăn công cụ chạy nhiều lần. Khóa phụ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT Mỗi lần chạy công cụ, công cụ sẽ ghi lại GUID trong sổ đăng ký để cho biết công cụ đã được thực thi. Điều này xảy ra bất kể kết quả của việc thực thi. Bảng sau đây liệt kê GUID tương ứng với từng bản phát hành.
Câu hỏi 3. Làm thế nào để tôi có thể tắt cấu phần báo cáo nhiễm trùng của công cụ để báo cáo không được gửi lại cho Microsoft? A3. Người quản trị có thể chọn tắt cấu phần báo cáo nhiễm trùng của công cụ bằng cách thêm giá trị khóa đăng ký sau đây vào máy tính. Nếu giá trị khóa đăng ký này được đặt, công cụ sẽ không báo cáo thông tin nhiễm trùng trở lại Microsoft. Khóa phụ:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT Câu hỏi 4. Trong bản phát hành tháng 3 năm 2005, dữ liệu trong tệp Mrt.log dường như đã bị mất. Tại sao dữ liệu này bị loại bỏ và có cách nào để tôi truy xuất dữ liệu không? A4. Bắt đầu từ bản phát hành tháng 3 năm 2005, tệp Mrt.log được viết dưới dạng tệp Unicode. Để đảm bảo tính tương thích, khi phiên bản tháng 3 năm 2005 của công cụ chạy, nếu phiên bản ANSI của tệp nằm trên hệ thống, công cụ sẽ sao chép nội dung của nhật ký đó vào Mrt.log.old trong %WINDIR%\debug và tạo phiên bản Unicode mới của Mrt.log. Giống như phiên bản ANSI, phiên bản Unicode này sẽ được chắp thêm vào mỗi lần thực thi tiếp theo của công cụ. |