Sử dụng Công cụ loại bỏ phần mềm độc hại (MRT.exe) trên Windows

Nếu bạn kiểm tra bản cập nhật nào được cài đặt trên máy tính của mình thông qua Windows Update hàng tháng, bạn có thể đã nhận thấy bản cập nhật quan trọng KB890830 (Công cụ loại bỏ phần mềm độc hại của Windows). Bản cập nhật này chứa phiên bản mới nhất của Công cụ loại bỏ phần mềm độc hại của Windows (MSRT) của Microsoft. Công cụ này có thể quét và làm sạch máy tính của bạn để tìm vi rút, trojan, sâu và các phần mềm độc hại khác. MSRT có sẵn cho tất cả các phiên bản Windows được hỗ trợ (bao gồm cả Windows 7 hiện không được hỗ trợ).

Bạn có thể cài đặt / cập nhật MSRT tự động thông qua Windows Update hoặc tải xuống và cài đặt thủ công Công cụ loại bỏ phần mềm độc hại của Windows (KB890830) từ danh mục cập nhật của Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q =KB890830).

Để sử dụng Công cụ loại bỏ phần mềm độc hại của Windows, hãy chạy lệnh sau:

mrt.exe

3 kiểu quét có sẵn:

• Quét nhanh - quét nhanh bộ nhớ và các tệp hệ thống có thể bị nhiễm thường xuyên nhất. Nếu phát hiện thấy vi-rút hoặc trojan, công cụ sẽ đề nghị thực hiện quét toàn bộ;
• Quét toàn bộ - quét toàn bộ thiết bị (có thể mất đến vài giờ tùy thuộc vào số lượng tệp trên đĩa);
• Quét tùy chỉnh - ở chế độ này, bạn có thể chỉ định một thư mục sẽ được quét.

Chọn kiểu quét bạn muốn và đợi cho đến khi quá trình quét kết thúc.

Nếu không tìm thấy tệp nào bị nhiễm, công cụ sẽ hiển thị thông báo “No malicious software was detected ”. Nếu bạn nhấp vào “Xem kết quả chi tiết của quá trình quét”, danh sách phần mềm độc hại mà các chữ ký đã được tìm kiếm sẽ được hiển thị và trạng thái quét cho từng chữ ký đó.

• Ít nhất một nhiễm trùng đã được tìm thấy và loại bỏ;
• Đã tìm thấy phần mềm độc hại nhưng phần mềm này không bị xóa. Thông báo này được hiển thị nếu các tệp đáng ngờ được phát hiện trên máy tính. Để xóa chúng, bạn nên sử dụng ứng dụng chống vi-rút;
• Phần mềm độc hại đã được phát hiện và xóa một phần. Để xóa hoàn toàn, bạn nên sử dụng phần mềm diệt vi-rút.

MSRT lưu nhật ký quét chi tiết vào tệp:%WinDir%\Debug\mrt.log .

Microsoft Windows Malicious Software Removal Tool v5.88, (build 5.88.18031.1)
Started On Wed Apr 14 09:14:53 2021
Engine: 1.1.17900.7
Signatures: 1.333.1197.0
MpGear: 1.1.16330.1
Run Mode: Scan Run From Windows Update
Results Summary:
----------------
No infection found.
Successfully Submitted MAPS Report
Successfully Submitted Heartbeat Report
Microsoft Windows Malicious Software Removal Tool Finished On Wed Apr 14 09:20:49 2021
Return code: 0 (0x0)

Lưu ý dòng cuối cùng của nhật ký ( Báo cáo nhịp tim ). Như bạn có thể thấy, Công cụ loại bỏ phần mềm độc hại sẽ gửi một báo cáo đến Microsoft (MSFT cho biết nó là ẩn danh). Bạn có thể tắt gửi báo cáo quét cho Microsoft thông qua sổ đăng ký. Tạo một tham số REG_DWORD với tên DontReportInfectInformation và giá trị 1 trong khóa đăng ký HKLM \ SOFTWARE \ Policies \ Microsoft \ MRT.

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

MRT.exe có một số tùy chọn dòng lệnh mà bạn có thể sử dụng để quét các máy tính trong mạng công ty (sử dụng SCCM, GPO hoặc các công cụ tương tự).

• /Q - để chạy công cụ ở chế độ yên tĩnh (trong nền không có giao diện đồ họa)
• /N - để bật chế độ phát hiện (công cụ chỉ quét phần mềm độc hại mà không xóa)
• /F - để bắt đầu quét toàn bộ máy tính
• /F:Y - để bắt đầu quét toàn bộ máy tính và tự động xóa các tệp bị nhiễm virut

Để tự động quét máy tính, MRT_HB đặc biệt trong Task Scheduler được sử dụng (Thư viện Task Scheduler -> Microsoft -> Windows -> RemovalTools).

Tác vụ chạy mrt.exe với /EHB /Q (điều thú vị là / tùy chọn EHB không được mô tả trong tài liệu chính thức, không có đề cập về chúng trong phần trợ giúp).