Особенности использования средства удаления вредоносных программ Windows (MRT.exe)
Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7).
Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).
Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:
Доступны 3 режима сканирования компьютера:
Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.
Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.
Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\MRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1.
reg add «HKLM\SOFTWARE\Policies\Microsoft\MRT» /v DontReportInfectionInformation /t REG_DWORD /d 1 /f
reg add «HKLM\SOFTWARE\Policies\Microsoft\MRT» /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f
У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).
Что такое mrt.exe и для чего он нужен?
Работая с операционной системой Windows, некоторые пользователи замечали некий процесс, который просит разрешение на действие после загрузки компьютера. Именуется этот процесс mrt.exe. Что это такое и для чего он нужен читайте в рамках данной статьи.
О файле
Mrt это аббревиатура от Microsoft Removal Tool. Mrt.exe является исполняемым файлом для Windows, одним из компонентов программного обеспечения Microsoft. Исполняемый файл отвечает за запуск средства удаления вредоносных программ Microsoft Windows. В свою очередь программа — это стандартный сканер, с выявлением угроз на уже зараженном компьютере под управлением Windows 10 Technical Preview. Сканер выявляет наиболее распространенные вирусы.
Как сканировать?
Запустите исполняемый файл Windows KB890830, который загрузили из официального сайта на свой ПК:
Как отключить?
Если это подлинный сканер, отключить его процесс можно в Диспетчере задач. Компонент не является обязательным, поэтому он может вызывать проблемы. Компоненты программы находятся в папке MRT в директории C:\Windows\System32.
Полностью удалить программу с компьютера можно в «Программы и компоненты».
Удаление распространенных вредоносных программ с Windows вредоносных программ (KB890830)
Аннотация
Средство Windows вредоносных программ (MSRT) помогает удалить вредоносное программное обеспечение с компьютеров с любой из следующих операционных систем:
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2
Windows Server 2008
Корпорация Майкрософт выпускает MSRT с ежемесячной регулярностью в рамках Windows обновления или в качестве средства. Используйте это средство для поиска и удаления определенных распространенных угроз и отмены внесенных изменений (см. о семействах вредоносных программ). Для полного обнаружения и удаления вредоносных программ можно использовать Защитник Windows автономно илисредство проверки безопасности (Майкрософт).
В этой статье содержатся сведения о том, чем средство отличается от антивирусного или антивредоносного продукта, как его скачать и запустить, что происходит при поиске вредоносных программ и сведения о его выпуске. Здесь также содержатся сведения для администраторов и расширенных пользователей, в том числе сведения о поддерживаемых переключателях командной строки.
В соответствии с политикой жизненного цикла поддержки Майкрософт MSRT больше не поддерживается на Windows Vista и более ранних платформах. Дополнительные сведения можно найти на сайте Жизненный цикл поддержки Майкрософт.
Если у вас возникли проблемы с обновлением MSRT в Windows, см. статью Устранение неполадок при обновленииWindows 10.
Дополнительная информация
MsRT не заменяет антивирусную программу. Оно строго является средством удаления после удаления вирусов. Поэтому мы настоятельно рекомендуем установить и использовать последние антивирусные продукты.
MsRT отличается от антивирусного продукта тремя важными способами:
Средство удаляет вредоносные программы с уже зараженных компьютеров. Антивирусные программы блокируют запуск вредоносных программ на компьютере. Гораздо важнее блокировать запуск вредоносных программ на компьютере, чем удалять их после заражения.
Средство удаляет только определенные распространенные вредоносные программы. Вредоносные программы являются лишь небольшой частью всех вредоносных программ, которые существуют на сегодняшний день.
В этом средстве основное внимание уделяется обнаружению и удалению активного вредоносного программного обеспечения. Активное вредоносное программное обеспечение — это вредоносное программное обеспечение, которое в настоящее время запущено на компьютере. Средство не может удалить вредоносное программное обеспечение, которое не запущено. Однако антивирусная программа может выполнить эту задачу.
Дополнительные сведения о защите компьютера можно найти на веб-сайте Центра безопасности & Майкрософт.
Примечание MsRT фокусирует внимание только на обнаружении и удалении вредоносных программ, таких как вирусы, черви и троянские кони. Шпионское ПО не удаляется.
Вам не нужно отключать или удалять антивирусную программу при установке MSRT. Однако если компьютер заражен вредоносным программным обеспечением, антивирусная программа может обнаружить это вредоносное программное обеспечение и предотвратить его удаление при запуске средства удаления. В этом случае вы можете удалить вредоносное программное обеспечение с помощью антивирусной программы.
Так как MSRT не содержит вирус или червь, средство удаления не должно запускать антивирусную программу. Однако если вредоносные программы заражали компьютер перед установкой последней антивирусной программы, антивирусная программа может не обнаружить это вредоносное программное обеспечение, пока оно не попытается удалить его.
Примечание: Начиная с ноября 2019 г. MSRT будет подписана только на SHA-2. Для запуска MSRT ваши устройства должны быть обновлены для поддержки SHA-2. Подробнее см. в требованиях к поддержке подписи кода SHA-2 2019 для Windows и WSUS.
Самый простой способ скачать и запустить MSRT — включить автоматическое обновление. Включение автоматического обновления гарантирует автоматическое получение средства. Если у вас включено автоматическое обновление, вы уже получаете новые версии этого средства. Средство работает в тихом режиме, если не обнаруживает заразу. Если вы не были уведомлены о заражении, не найдено вредоносное программное обеспечение, которое требует вашего внимания.
Включение автоматического обновления
Чтобы включить автоматическое обновление самостоятельно, выполните действия, которые можно найти в таблице ниже для операционной системы, запущенной на компьютере.
Если ваш компьютер работает:
Выполните следующие действия.
Выберите Дополнительные параметры, а затем вобласти Выберите, как устанавливать обновления выберите Автоматически (рекомендуется).
Примечание. Windows 10 — это служба. Это означает, что автоматические обновления по умолчанию включены и на вашем компьютере всегда есть последние и лучшие функции.
В поле Рекомендуемыеобновления выберите рекомендуемые обновления так же, как и важные обновления.
В окне Обновление Майкрософт выберите мне обновления для других продуктов Майкрософт при обновлении Windows и выберите Применить.
Нажмите кнопку 
, найдитепункт Все программы и нажмите кнопку Windows обновить.
В левой области выберите ссылку Изменить параметры.
Щелкните, чтобы выбрать Установить обновления автоматически (рекомендуется).
В поле Рекомендуемыеобновления щелкните, чтобы выбрать рекомендуемые обновления так же, как и важные обновления, и нажмите кнопку ОК. Если вам будет предложено ввести административный пароль или подтверждение, введите его или подскакийте. Перейдите к шагу 3.
Скачайте MSRT. Необходимо принять условия лицензионного соглашения на разработку программного обеспечения корпорации Майкрософт. Условия лицензии отображаются только при первом доступе к автоматическим обновлениям.
Примечание. Принимая однонаправленные условия лицензии, вы можете получать будущие версии MSRT, не входя на компьютер в качестве администратора.
MSRT работает в тихом режиме. Если на вашем компьютере обнаружено вредоносное программное обеспечение, при следующем входе в систему на компьютере в качестве администратора компьютера в области уведомлений появится сообщение об обнаружении.
Выполнение полной проверки
Если средство обнаружит вредоносное ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, вам может быть предложено выполнить полную проверку. Рекомендуем выполнить эту проверку. При полной проверке выполняется быстрая проверка, а затем полное сканирование компьютера независимо от того, было ли обнаружено вредоносное программное обеспечение во время нее. Проверка может занять несколько часов, так как она будет проверять все фиксированные и съемные диски. Однако сетевые диски не проверяются.
Удаление вредоносных файлов
Если вредоносное программное обеспечение изменило (заражает) файлы на компьютере, средство выскакиет вам запрос на удаление вредоносных программ из этих файлов. Если вредоносное программное обеспечение изменило параметры браузера, ваша домашняя страница может быть автоматически изменена на страницу, на которую вы можете получить инструкции по восстановлению этих параметров.
Вы можете очистить определенные или все зараженные файлы, которые находит средство. Следует помнить, что во время этого процесса возможна потеря данных. Кроме того, следует помнить, что средству не удается восстановить некоторые файлы в исходном, предведершяемом состоянии.
Средство удаления может попросить вас перезагрузить компьютер, чтобы завершить удаление некоторых вредоносных программ, или выполнить действия вручную, чтобы завершить удаление вредоносного программного обеспечения. Чтобы завершить удаление, необходимо использовать последние антивирусные продукты.
Сообщая о вредоносных программах в Корпорацию Майкрософт, MSRT отправляет основные сведения в корпорацию Майкрософт, если средство обнаруживает вредоносное программное обеспечение или обнаруживает ошибку. Эти сведения будут использоваться для отслеживания вирусов. Вместе с отчетом не отправляются личные сведения, связанные с вами или компьютером.
MsRT не использует установщик. Как правило, при запуске MSRT на корневом диске компьютера создается случайный временный каталог. Этот каталог содержит несколько файлов, в том числе Mrtstub.exe файл. В большинстве случае эта папка автоматически удаляется после завершения работы средства или после следующего запуска компьютера. Однако эта папка может быть удалена не всегда автоматически. В таких случаях эту папку можно удалить вручную, и это не оказывает негативного влияния на компьютер.
Получение поддержки
Защитите компьютер, на Windows от вирусов и вредоносных программ: антивирусное решение и Центр безопасности
Локализованная поддержка в соответствии со своей стране: международная поддержка.
Центр загрузки Майкрософт
Примечание: Начиная с ноября 2019 г. MSRT будет подписана только на SHA-2. Для запуска MSRT ваши устройства должны быть обновлены для поддержки SHA-2. Подробнее см. в требованиях к поддержке подписи кода SHA-2 2019 для Windows и WSUS.
MsRT можно скачать вручную из Центра загрузки Майкрософт. В Центре загрузки Майкрософт можно скачать следующие файлы:
Для 32-битных систем на базе x86:
скачайте пакет MSRT для x86.
Для 64-битных систем на базе 64-битных систем:
скачайте пакет MSRT для x64.
Дата выпуска: 14 декабря 2021 г.
Дополнительные сведения о скачии файлов службы поддержки Майкрософт см. в этой ссылке.
Этот файл был проверен корпорацией Майкрософт на наличие вирусов. Корпорация Майкрософт использует самые последние на момент публикации файла версии антивирусного программного обеспечения. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.
Развертывание MSRT в корпоративной среде
Если вы ИТ-администратор и хотите получить дополнительные сведения о развертывании средства в корпоративной среде, см. статью Развертывание средства Windows удаления вредоносных программ в корпоративной среде.
В этой статье содержатся сведения о сервере управления системами Майкрософт (SMS), службах обновления программного обеспечения (MSUS) и анализаторе базовой безопасности (MBSA) Майкрософт.
За исключением за исключением заданной информации, сведения в этом разделе применимы ко всем способам скачивания и запуска MSRT:
Центр загрузки Майкрософт
Веб-сайт MSRT на Microsoft.com
Для запуска MSRT требуются следующие условия:
На компьютере должна быть запущена поддерживаемая версия Windows.
Для входа на компьютер необходимо использовать учетную запись, в которую входит группа Администраторы. Если у вашей учетной записи нет необходимых разрешений, средство выйдет из нее. Если средство не работает в тихом режиме, отображается диалоговое окно с описанием сбоя.
Если это средство устарело более чем на 215 дней (7 месяцев), отображается диалоговое окно с рекомендациями по скачии последней версии средства.
Поддержка переключателя командной строки
MsRT поддерживает следующие переключатели командной строки:
Используется режим «Тихай». Этот параметр подавляет пользовательский интерфейс средства.
Отображает диалоговое окно со списком переключателя командной строки.
Выполняется в режиме только обнаружения. В этом режиме пользователю сообщается о вредоносном программном обеспечении, но оно не удаляется.
При этом будет расширена проверка компьютера.
При этом будет расширена проверка компьютера и автоматически очищены все найденные вирусы.
Сведения об использовании и выпуске
Если вы скачиваете средство из Обновления Майкрософт или автоматического обновления и на компьютере не обнаруживается вредоносное программное обеспечение, в следующий раз средство будет работать в тихом режиме. Если на компьютере обнаружено вредоносное программное обеспечение, при следующем входе администратора в область уведомлений появится уведомление об обнаружении. Для получения дополнительных сведений об обнаружении щелкните надувную подсказку.
При скачии средства из Центра загрузки Майкрософт при его запуске отображается пользовательский интерфейс. Однако если у вас есть переключатель /Q, он работает в тихом режиме.
Сведения о выпуске
MsRT выходит во второй вторник каждого месяца. Каждый выпуск средства помогает обнаруживать и удалять распространенные вредоносные программы. Это вредоносное программное обеспечение содержит вирусы, червей и троянских коней. Корпорация Майкрософт использует несколько метрик для определения семейства вредоносных программ и ущерба, который может быть с ним связан.
В этой статье базы знаний Майкрософт будут обновляться сведения о каждом выпуске, чтобы количество соответствующих статей не менялось. Имя файла будет изменено с учетом версии средства. Например, имя файла версии за февраль 2020 г. Windows-KB890830-V5.80.exe, а имя файла версии за май 2020 г. — Windows-KB890830-V5.82-ENU.exe.
В следующей таблице перечислены вредоносные программы, которые средство может удалить. Кроме того, средство может удалить все известные варианты на момент выпуска. В таблице также перечислены версии средства, которые сначала включали обнаружение и удаление семейства вредоносных программ.
Можно ли использовать Защитник Windows и средство удаления вредоносных программ?
Основными продуктами являются Windows Defender, который первоначально был включен в Vista, а затем и последующие ОС Microsoft, Microsoft Security Essentials, который поставлялся в качестве автономного решения для версий Windows до Windows 8 и средство удаления вредоносных программ Microsoft Windows (Malicious Software Removal Tool, MSRT), которое также доступна для отдельной загрузки.
Защитник Windows (настройка встроенного антивируса) представляет собой антивирус с защитой реального времени, который по умолчанию активен в ОС Windows 8 и выше. В то время, как наличие какой-либо защиты априори лучше, чем ее полное отсутствие, антивирус серьезно ограничен в отношении защиты системы от атак и получает низкие рейтинги в тестах независимых антивирусных лабораторий (AV-Test, AV-Comparatives).
Средство удаления вредоносных программ, наоборот, было разработано специально для удаления вредоносного ПО из зараженных систем (что следует из названия).
Одним из принципиальных различий между Защитником Windows и средством удаления вредоносных программ является назначение продукта. Защитник Windows был разработан для блокировки вредоносного кода в исполняемых файлах для предотвращения потенциального заражения системы, в то время, как средство удаления вредоносных программ предназначено для удаления заражения в инфицированных системах.
Другим отличием является то, что Защитник Windows работает в системе постоянно, как и любой другой активный антивирус, а средство удаления вредоносных программ запускается вручную пользователем при необходимости.
Последнее, но не менее важное различие заключается в том, что Защитник Windows регулярно обновляет базу данных сигнатурных определений, в то время, как обновления MSRT появляются только раз в месяц, во второй вторник каждого месяца (вторник патчей).
Действительно ли пригодятся оба инструмента?
Решения безопасности Microsoft не обязательно обмениваются информацией, особенно касающейся обнаружения угроз. Техническая поддержка Microsoft пояснила, что средство удаления вредоносных программ может удалять вредоносные программы, которые Защитник Windows мог пропустить.
Стоит полностью доверять данному комментарию, хотя при обновлении средства удаления вредоносных программ Защитник Windows отображается как опция для обнаружения и удаления вредоносных угроз.
Пользователь может посмотреть полный список угроз, удаление которых поддерживает средство удаления вредоносных программ, в то время как аналогичная информация для Защитника Windows недоступна.
Согласитесь, запуск утилиты удаления вредоносных программ один раз в месяц, после выхода обновления, не будет сильно трудозатратным мероприятием.
Защитник Windows был разработан для автоматического отключения при установке стороннего антивирусного решения. Вот средство удаления вредоносных программ может действительно пригодится, ведь установленное решение может не удалять все угрозы, очистку которых поддерживает Microsoft.
Обе программы не обеспечивают того уровня защиты, который предоставляют сторонние решения из-за ограниченного обнаружения зловредов. В то время, как Вы можете использовать системные решения совместно со сторонними антивирусами, в большинстве случае не рекомендуется ограничиваться исключительно данными инструментами для защиты системы.
Что такое средство удаления вредоносных программ Windows и как его удалить?
Рано утром 24 февраля по Гринвичу автоматические обновления Windows установили обновление на моем компьютере с Windows 7, которое включало обновление определений для средства удаления вредоносных программ.
Из подробностей обновления:
Размер загружаемого файла: 7,9 МБ
Вам может потребоваться перезагрузить компьютер, чтобы это обновление вступило в силу.
Тип обновления: Важно
После загрузки этот инструмент запускается один раз, чтобы проверить ваш компьютер на наличие заражения определенным распространенным вредоносным программным обеспечением (включая Blaster, Sasser и Mydoom) и помогает удалить любую обнаруженную инфекцию. Если обнаружена инфекция, инструмент отобразит отчет о состоянии при следующем запуске компьютера. Новая версия инструмента будет предлагаться каждый месяц. Если вы хотите вручную запустить средство на своем компьютере, вы можете загрузить копию из центра загрузки Microsoft или запустить онлайн-версию с сайта microsoft.com. Этот инструмент не является заменой антивирусного продукта. Чтобы защитить компьютер, вы должны использовать антивирус.
Так вышло, что февральское обновление списка определений MSRT помечало инструменты, которые я без проблем запускал годами, а именно активатор KMSPico для Microsoft Office, как вредоносные, и удаляло их из моей системы без подтверждения. В дополнение к этому инвазивному подходу к обнаруженным угрозам этот инструмент не появляется в диалоговом окне «Установленные обновления» Центра обновления Windows, фактически лишая пользователей права передавать то, что является одновременно и инвазивным, и неадекватным инструментом, и он также возвращал мои настройки UAC к самым высоким уровень.
Ниже приведено краткое руководство по устранению любых неблагоприятных последствий принудительного обновления, а также по полному отключению MSRT, что дает вам возможность полагаться на проверенные временем специальные антивирусные и антивирусные предложения. Я надеюсь, что это будет полезно для всех, кто пострадал от последнего обновления списка определений MSRT.