Особенности использования средства удаления вредоносных программ Windows (MRT.exe)

07.09.2020

itpro

Windows 10, Windows 8, Windows Server 2016, Утилиты

комментариев 15

Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7).

Средство удаления вредоносных программ Microsoft – не является антивирусом и не защищает компьютер в реальном времени от всех угроз. Область применения утилиты – быстрое сканирование компьютера на предмет наличия ограниченного списка наиболее опасных вредоносных программ и угроз (по мнению Microsoft) и их удаление.

Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).

Начиная с мая 2020 года обновление утилиты MSRT выпускается раз в квартал (ранее – ежемесячно).

Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:

Доступны 3 режима сканирования компьютера:

• Quick scan – быстрая проверки памяти и системных файлов, которые чаще всего бывают заражены. При обнаружении вируса или трояна, утилита предложит выполнить полное сканирование;
• Full scan – полное сканирование компьютера (может занять до нескольких часов, в зависимости от количества файлов на диске);
• Customized scan – в этом режиме можно указать конкретную папку, которую нужно просканировать.

Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.

Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.

Если вредоносная программ обнаружена, утилита выдаст один из следующих статусов:

• Обнаружено и было удалено по крайней мере одно заражение;
• Обнаружено заражение, но оно не было удалено. Этот результат отображается в том случае, если на компьютере обнаружены подозрительные файлы. Для удаления этих файлов следует использовать антивирус;
• Обнаружено и частично удалено заражение. Чтобы завершить удаление, следует использовать антивирус.

Утилита MSRT сохраняет подробный лог сканирования в файл %WinDir%\Debug\mrt.log .

Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2) Started On Mon Sep 7 08:50:39 2020 Engine: 1.1.16900.4 Signatures: 1.313.2734.0 MpGear: 1.1.16330.1 Results Summary: ---------------- No infection found. Successfully Submitted Heartbeat Report

Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\MRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1.

reg add “HKLM\SOFTWARE\Policies\Microsoft\MRT” /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

Если вы хотите отключить автоматическое получение средства удаления вредоносных программ Windows через Windows Update, выполните команду

reg add “HKLM\SOFTWARE\Policies\Microsoft\MRT” /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).

• /Q – запуск в фоновом режиме (без графического интерфейса);
• /N – режим детектирования (выполняется только проверка, без удаления обнаруженных зловредов);
• /F – полная проверка компьютера;
• /F:Y – полная проверка и автоматическое удаление заражённых файлов.

Microsoft предлагает несколько сценариев развертывания и использования Windows Malicious Software Removal Tool на предприятии (https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an-enterprise-enviro).

Для автоматической проверки компьютера используется специальное задание MRT_HB в Task Scheduler (Task Scheduler Library -> Microsoft -> Windows -> RemovalTools).

Это задание запускает утилиту mrt.exe с параметрами /EHB /Q (что, интересно параметры /EHB не документированы, в справке их нет).

Предыдущая статья Следующая статья

Проверка на вирусы Windows 10: встроенная утилита выполнит в несколько кликов

Пользоваться антивирусом или нет, каждый решает сам. На эту тему можно долго дискутировать, но участившиеся сообщения о новых изощренных вирусных атаках заставляют все чаще думать о необходимости надежной защиты. Многие пользователи идут на компромисс и не покупают антивирусный софт, считая это лишним, но пользуются встроенной защитой Windows. Это имеет смысл для версий ОС Windows 10 и 11, где такой вариант защиты себя хорошо зарекомендовал. Разработчики сделали защиту вполне надежной, что позволяет чувствовать себя относительно защищенным.

И все же нужно позаботиться о более надежной защите. И это вполне возможно и, более того, не требует никаких финансовых вложений. Дело в том, что в код ОС Windows встроена утилита MRT, позволяющая выполнить проверку компьютера на наличие всех известных вирусов. Вообще, она находится в папке System32 в директории Windows, но гораздо более удобно вызывать ее запуск через меню «Выполнить». Для этого нужно нажать комбинацию клавиш «Win + R» и в появившемся окне вписать MRT. Вслед за этим запустится средство удаления вредоносных программ, где нужно выбрать нужный режим сканирования из трех доступных. Это режимы быстрой, полной или выборочной проверки. Первый режим можно использовать в профилактических целях пару раз в месяц – он занимает не так много времени. Более продолжительное время занимает полная проверка. Ее имеет смысл делать, как минимум, раз в пару месяцев. Выборочная проверка удобная тем, что позволяет быстро проверить определенную директорию, если есть сомнения в безопасности установленного на компьютер ПО. По окончании проверки утилита предоставит полный отчет о проверке, а пользователю только останется принять решение о судьбе выявленных «подозрительных» файлов. Стоит понимать, что утилита MRT не является антивирусом. Она работает не только на Windows 10 и 11, но и на Windows 7 и 8. К достоинствам этого средства проверки можно отнести то, что утилита регулярно обновляется разработчиками и содержит в своей базе данные обо всех наиболее часто используемых вирусах и троянах. Использование этой утилиты особенно актуально, когда уже установленное вирусное ПО фактически блокирует установку антивируса на компьютер. Сканер MRT в состоянии обнаружить вирус даже в том случае, если его исполняемый файл никогда не запускался.

Добавьте «Нескучные технологии» в избранные источники

MRT.exe: что это – системный процесс или вирус?

Программы для Windows 7 или любой другой версии, включая собственные инструменты системы на все случаи жизни, сегодня настолько разнообразны, что пользователи зачастую не знают, для чего они предназначены. Особое непонимание связано с системными процессами, которые могут работать в фоновом режиме. Одной из таких служб является процесс с отвечающим за него исполняемым файлом MRT.exe. Что это за инструмент системы, многие пользователи даже понятия не имеют. Именно поэтому далее предлагается разобраться, что это такое и для чего он нужен.

MRT.exe: что это за служба?

Название исполняемого файла является аббревиатурой, обозначающей встроенный защитный инструмент системы под названием Microsoft Removal Tool. Исходя из этого, нетрудно сделать вывод о том, что это некое подобие антивирусного сканера, которое призвано обеспечить защиту системы от разного рода угроз.

Однако не все так просто. Самая главная проблема этой службы связана только с тем, что она неспособна определять угрозы на входе и защищать систему в реальном времени, а применяется исключительно для сканирования, обнаружения и удаления вирусов или вредоносных программ в уже зараженной ОС. Это основная задача сканера MRT.exe. Что это с точки зрения общей безопасности? Тут можно провести самую простую аналогию с портативными антивирусными утилитами вроде Kaspersky Virus Removal Tool или еще с чем-то подобным. Только вот функциональность данного апплета вызывает достаточно большие сомнения.

Как использовать этот инструмент?

Что касается выполнения штатной проверки, достаточно просто запустить программу в виде EXE-файла или изначально загрузить пакет KB890830 с официального сайта корпорации Microsoft.

После старта приложение предложит несколько вариантов сканирования: быстрое, полное и выборочное. После выбора одного из вариантов стартует проверка. Если какие-либо угрозы или подозрительные элементы будут найдены, программа при выдаче результата оповестит пользователя об их наличии и местоположении зараженных или вирусных объектов.

Вопросы отключения и удаления процесса

Но это только часть вопроса, касающегося службы MRT.exe. Что это такое, разобрались. Теперь посмотрим, можно ли убрать этот компонент из системы.

Действительно, данный апплет обязательным для Windows не является, поэтому удалить его можно без всяких проблем. Сам процесс сначала завершается в «Диспетчере задач», после чего в разделе установленных обновлений деинсталлируется вышеуказанный пакет обновления, который можно найти в списке установленных апдейтов в разделе программ и компонентов. Также можно обратиться и к «Центру обновления».

Как определить, что это вирус?

К сожалению, несмотря на все усилия специалистов Microsoft по созданию надежного средства выявления угроз, современные вирусы научились маскироваться под сам системный сканер, что вызывает массу проблем.

Определить, что в системе завелся одноименный вирус, можно совершенно элементарно, используя для этого «Диспетчер задач». В нем при ПКМ на названии процесса выбирается пункт показа местоположения отвечающего за него файла и папки.

Файл оригинальной службы расположен по пути c:\Windows\System32\MRT.exe или по тому же пути, но в папке MRT. Если для выявленного процесса указан другой путь, можете не сомневаться, что это именно вирус. Для его нейтрализации, если это возможно, нужно сразу же удалить основную директорию и все ее компоненты, а также использовать портативный сканер для полного удаления угрозы из системы.

И помните о том, что в вопросах защиты полагаться только на этот сканер не имеет никакого смысла. Как уже было сказано, он по принципу работы ориентирован исключительно на поиск угроз в уже зараженных ОС и совершенно не годится для предотвращения их проникновения в систему. Поэтому наличие штатного антивирусного средства с проактивной защитой обязательно.

При подготовке материала использовались источники:
https://winitpro.ru/index.php/2020/09/07/sredstvo-udaleniya-vredonosnyx-programm-windows-msrt/

https://fb.ru/article/341084/mrt-exe-chto-eto—sistemnyiy-protsess-ili-virus