by
Якщо ви уважно стежите за оновленнями, які щомісяця встановлюються на ваш комп’ютер через Windows Update, ви ймовірно помітили критичне оновлення KB890830 (Windows Malicious Software Removal Tool). Це оновлення містить останню версію безкоштовного засоби видалення шкідливих програм від Microsoft (MSRT). Windows Malicious Software Removal Tool це утиліта для сканування і лікування комп’ютера від вірусів, троянів і черв’яків. MSRT випускається для всіх підтримуваних версій Windows (в тому числі для знятої з підтримки Windows 7).
Засіб видалення шкідливих програм Microsoft – не є антивірусом і не захищає комп’ютер в реальному часі від всіх загроз. Область застосування утиліти – швидке сканування комп’ютера на предмет наявності обмеженого списку найбільш небезпечних шкідливих програм і загроз (на думку Microsoft) і їх видалення.
Ви можете встановити / оновити MSRT автоматично через Windows Update, або можете завантажити і встановити Windows Malicious Software Removal Tool (KB890830) вручну з каталогу оновлень Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).
Починаючи з травня 2020 року оновлення утиліти MSRT випускається раз в квартал (раніше – щомісяця).
Щоб запустити засіб видалення шкідливих програм Windows, виконайте команду:
mrt.exe
Доступні 3 режиму сканування комп’ютера:
- Швидке сканування – швидка перевірки пам’яті і системних файлів, які найчастіше бувають заражені. При виявленні вірусу або трояна, утиліта запропонує виконати повне сканування;
- Повне сканування – повне сканування комп’ютера (може зайняти до декількох годин, в залежності від кількості файлів на диску);
- Індивідуальне сканування – в цьому режимі можна вказати конкретну папку, яку потрібно просканувати.
Виберіть потрібний режим сканування комп’ютера і дочекайтеся закінчення перевірки.
Якщо заражені файли не виявлені, утиліта видасть повідомлення “No malicious software was detected”. Якщо натиснути на кнопку “View detailed results of the scan”, з’явиться список шкідливих програм, сигнатури яких шукалися і статус перевірки для кожної з них.
- Виявлено і було видалено принаймні одне зараження;
- Виявлено зараження, але воно не було видалено. Цей результат відображається в тому випадку, якщо на комп’ютері виявлено підозрілі файли. Для видалення цих файлів слід використовувати антивірус;
- Виявлено та частково видалено зараження. Щоб завершити видалення, слід використовувати антивірус.
Утиліта MSRT зберігає докладний лог сканування в файл %WinDir%Debugmrt.log.
Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2) Started On Mon Sep 7 08:50:39 2020 Engine: 1.1.16900.4 Signatures: 1.313.2734.0 MpGear: 1.1.16330.1 Results Summary: ---------------- No infection found. Successfully Submitted Heartbeat Report
Зверніть увагу на останній рядок логу (Heartbeat Report). Як ви бачите, утиліта Malicious Software Removal Tool відправляє якийсь звіт в Microsoft (MSFT каже, що цей звіт анонімний). Ви можете відключити надсилати звіти про сканування в Microsoft через реєстр. Створіть в гілці реєстру HKLM SOFTWARE Policies Microsoft MRT параметр тип REG_DWORD з ім’ям DontReportInfectionInformation і значенням 1.
reg add "HKLMSOFTWAREPoliciesMicrosoftMRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f
reg add "HKLMSOFTWAREPoliciesMicrosoftMRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f
У утиліти MRT.exe є кілька опцій командного рядка, які можна використовувати для сканування комп’ютерів в корпоративній мережі (за допомогою SCCM, групових політик або подібних засобів).
/Q– запуск в фоновому режимі (без графічного інтерфейсу);/N– режим детектування (виконується тільки перевірка, без видалення виявлених зловредів);/F– повна перевірка комп’ютера;/F:Y– повна перевірка і автоматичне видалення заражених файлів.
Для автоматичної перевірки комп’ютера використовується спеціальне завдання MRT_HB в Планувальник завдань (Бібліотека планувальника завдань -> Microsoft -> Windows -> RemovalTools).
Це завдання запускає утиліту mrt.exe з параметрами /EHB /Q (Що, цікаво параметри / EHB не задокументовані, в довідці їх немає).