Можно ли использовать Защитник Windows и средство удаления вредоносных программ?
Основными продуктами являются Windows Defender, который первоначально был включен в Vista, а затем и последующие ОС Microsoft, Microsoft Security Essentials, который поставлялся в качестве автономного решения для версий Windows до Windows 8 и средство удаления вредоносных программ Microsoft Windows (Malicious Software Removal Tool, MSRT), которое также доступна для отдельной загрузки.
Защитник Windows (настройка встроенного антивируса) представляет собой антивирус с защитой реального времени, который по умолчанию активен в ОС Windows 8 и выше. В то время, как наличие какой-либо защиты априори лучше, чем ее полное отсутствие, антивирус серьезно ограничен в отношении защиты системы от атак и получает низкие рейтинги в тестах независимых антивирусных лабораторий (AV-Test, AV-Comparatives).
Средство удаления вредоносных программ, наоборот, было разработано специально для удаления вредоносного ПО из зараженных систем (что следует из названия).
Одним из принципиальных различий между Защитником Windows и средством удаления вредоносных программ является назначение продукта. Защитник Windows был разработан для блокировки вредоносного кода в исполняемых файлах для предотвращения потенциального заражения системы, в то время, как средство удаления вредоносных программ предназначено для удаления заражения в инфицированных системах.
Другим отличием является то, что Защитник Windows работает в системе постоянно, как и любой другой активный антивирус, а средство удаления вредоносных программ запускается вручную пользователем при необходимости.
Последнее, но не менее важное различие заключается в том, что Защитник Windows регулярно обновляет базу данных сигнатурных определений, в то время, как обновления MSRT появляются только раз в месяц, во второй вторник каждого месяца (вторник патчей).
Действительно ли пригодятся оба инструмента?
Решения безопасности Microsoft не обязательно обмениваются информацией, особенно касающейся обнаружения угроз. Техническая поддержка Microsoft пояснила, что средство удаления вредоносных программ может удалять вредоносные программы, которые Защитник Windows мог пропустить.
Стоит полностью доверять данному комментарию, хотя при обновлении средства удаления вредоносных программ Защитник Windows отображается как опция для обнаружения и удаления вредоносных угроз.
Пользователь может посмотреть полный список угроз, удаление которых поддерживает средство удаления вредоносных программ, в то время как аналогичная информация для Защитника Windows недоступна.
Согласитесь, запуск утилиты удаления вредоносных программ один раз в месяц, после выхода обновления, не будет сильно трудозатратным мероприятием.
Защитник Windows был разработан для автоматического отключения при установке стороннего антивирусного решения. Вот средство удаления вредоносных программ может действительно пригодится, ведь установленное решение может не удалять все угрозы, очистку которых поддерживает Microsoft.
Обе программы не обеспечивают того уровня защиты, который предоставляют сторонние решения из-за ограниченного обнаружения зловредов. В то время, как Вы можете использовать системные решения совместно со сторонними антивирусами, в большинстве случае не рекомендуется ограничиваться исключительно данными инструментами для защиты системы.
Особенности использования средства удаления вредоносных программ Windows (MRT.exe)
07.09.2020
itpro
Windows 10, Windows 8, Windows Server 2016, Утилиты
комментариев 15
Если вы внимательно следите за обновлениями, которые ежемесячно устанавливаются на ваш компьютер через Windows Update, вы вероятно заметили критическое обновление KB890830 (Windows Malicious Software Removal Tool). Это обновление содержит последнюю версию бесплатного средства удаления вредоносных программ от Microsoft (MSRT). Windows Malicious Software Removal Tool это утилита для сканирования и лечения компьютера от вирусов, троянов и червей. MSRT выпускается для всех поддерживаемых версий Windows (в том числе для снятой с поддержки Windows 7).
Средство удаления вредоносных программ Microsoft – не является антивирусом и не защищает компьютер в реальном времени от всех угроз. Область применения утилиты – быстрое сканирование компьютера на предмет наличия ограниченного списка наиболее опасных вредоносных программ и угроз (по мнению Microsoft) и их удаление.
Вы можете установить/обновить MSRT автоматически через Windows Update, или можете скачать и установить Windows Malicious Software Removal Tool (KB890830) вручную из каталога обновлений Microsoft (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830).
Начиная с мая 2020 года обновление утилиты MSRT выпускается раз в квартал (ранее – ежемесячно).
Чтобы запустить средство удаления вредоносных программ Windows, выполните команду:
Доступны 3 режима сканирования компьютера:
- Quick scan – быстрая проверки памяти и системных файлов, которые чаще всего бывают заражены. При обнаружении вируса или трояна, утилита предложит выполнить полное сканирование;
- Full scan – полное сканирование компьютера (может занять до нескольких часов, в зависимости от количества файлов на диске);
- Customized scan – в этом режиме можно указать конкретную папку, которую нужно просканировать.
Выберите нужный режим сканирования компьютера и дождитесь окончания проверки.
Если зараженные файлы не обнаружены, утилита выдаст сообщение “No malicious software was detected”. Если нажать на кнопку “View detailed results of the scan”, появится список вредоносных программ, сигнатуры которых искались и статус проверки для каждой из них.
Если вредоносная программ обнаружена, утилита выдаст один из следующих статусов:
- Обнаружено и было удалено по крайней мере одно заражение;
- Обнаружено заражение, но оно не было удалено. Этот результат отображается в том случае, если на компьютере обнаружены подозрительные файлы. Для удаления этих файлов следует использовать антивирус;
- Обнаружено и частично удалено заражение. Чтобы завершить удаление, следует использовать антивирус.
Утилита MSRT сохраняет подробный лог сканирования в файл %WinDir%\Debug\mrt.log .
Microsoft Windows Malicious Software Removal Tool v5.82, (build 5.82.17046.2) Started On Mon Sep 7 08:50:39 2020 Engine: 1.1.16900.4 Signatures: 1.313.2734.0 MpGear: 1.1.16330.1 Results Summary: ---------------- No infection found. Successfully Submitted Heartbeat Report
Обратите внимание на последнюю строку лога (Heartbeat Report). Как вы видите, утилита Malicious Software Removal Tool отправляет некий отчет в Microsoft (MSFT говорит, что этот отчет анонимный). Вы можете отключить отправку отчетов о сканировании в Microsoft через реестр. Создайте в ветке реестра HKLM\SOFTWARE\Policies\Microsoft\MRT параметр тип REG_DWORD с именем DontReportInfectionInformation и значением 1.
reg add «HKLM\SOFTWARE\Policies\Microsoft\MRT» /v DontReportInfectionInformation /t REG_DWORD /d 1 /f
Если вы хотите отключить автоматическое получение средства удаления вредоносных программ Windows через Windows Update, выполните команду
reg add «HKLM\SOFTWARE\Policies\Microsoft\MRT» /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f
У утилиты MRT.exe есть несколько опций командной строки, которые можно использовать для сканирования компьютеров в корпоративной сети (с помощью SCCM, групповых политик или подобных средств).
- /Q – запуск в фоновом режиме (без графического интерфейса);
- /N – режим детектирования (выполняется только проверка, без удаления обнаруженных зловредов);
- /F – полная проверка компьютера;
- /F:Y – полная проверка и автоматическое удаление заражённых файлов.
Microsoft предлагает несколько сценариев развертывания и использования Windows Malicious Software Removal Tool на предприятии (https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an-enterprise-enviro).
Для автоматической проверки компьютера используется специальное задание MRT_HB в Task Scheduler (Task Scheduler Library -> Microsoft -> Windows -> RemovalTools).
Это задание запускает утилиту mrt.exe с параметрами /EHB /Q (что, интересно параметры /EHB не документированы, в справке их нет).
Предыдущая статья Следующая статья
Что такое средство удаления вредоносных программ и нужно ли оно мне?
Раз в месяц в Центре обновления Windows появляется новая версия средства удаления вредоносных программ. Этот инструмент удаляет некоторые вредоносные программы из систем Windows, особенно из систем без установленных антивирусных программ.
Имейте в виду, что этот инструмент не заменяет надежную антивирусную программу. Он не всегда автоматически запускается в фоновом режиме, а обнаруживает только несколько конкретных и широко распространенных типов вредоносного ПО.
Что такое средство удаления вредоносных программ?
Microsoft выпускает новую версию этого инструмента во второй вторник каждого месяца, другими словами, во вторник исправлений. Он выглядит как очередной патч в Центре обновления Windows. Если на вашем компьютере настроена автоматическая установка обновлений Windows, они будут установлены автоматически. Если вы устанавливаете обновления вручную, вы, вероятно, устанавливали их как часть процесса обновления вручную — это считается важным обновлением, а не просто рекомендуемым.
После того, как Windows загрузит последнюю версию средства удаления вредоносных программ Microsoft, она автоматически запустит его в фоновом режиме. Этот инструмент проверяет наличие определенных широко распространенных типов вредоносных программ и удаляет их, если находит их. Если все в порядке, Windows автоматически запустит инструмент в фоновом режиме, не беспокоя вас. Если он обнаружит заражение и исправит его, инструмент отобразит отчет, в котором будет указано, какое вредоносное ПО было обнаружено, и будет удалено после перезагрузки компьютера.
Microsoft представила этот инструмент еще во времена Windows XP, когда Windows была очень небезопасной — в первом выпуске Windows XP по умолчанию даже не был включен брандмауэр. На странице средства удаления вредоносных программ Microsoft написано: «Этот инструмент проверяет ваш компьютер на наличие определенных распространенных вредоносных программ (включая Blaster, Sasser и Mydoom) и помогает удалить заражение, если оно обнаружено». Обратите внимание на три типа вредоносных программ, которые все еще описаны здесь в 2014 году — это были широко распространенные черви, заразившие многие системы Windows XP еще десять лет назад в 2003 и 2004 годах. Microsoft представила этот инструмент для удаления этих широко распространенных червей и других популярных типов вредоносных программ из системы Windows XP без установки антивирусного программного обеспечения.
Мне нужно запускать этот инструмент?
Вам не стоит беспокоиться об этом инструменте. Настройте Windows на автоматическую установку обновлений или попросите Windows предупреждать вас об обновлениях и устанавливать их вместе с другими новыми обновлениями безопасности, когда они появляются каждый месяц. Инструмент проверит ваш компьютер в фоновом режиме и промолчит, если все в порядке.
Все, что вам нужно сделать, это убедиться, что обновление установлено из Центра обновления Windows. Вам не нужно беспокоиться о том, чтобы запустить инструмент вручную, хотя вы можете. Этот инструмент не работает в фоновом режиме и не сканирует все, что вы открываете, поэтому он совместим с другими антивирусными программами и не мешает им.
Почему вам все еще нужен антивирус
Этот инструмент и близко не может заменить антивирус. Он охватывает только определенные типы вредоносных программ, поэтому не удалит все заражения. Он также быстро сканирует обычные места на предмет вредоносных программ и не будет сканировать всю вашу систему. Что еще хуже, инструмент запускается только раз в месяц и не сканирует в фоновом режиме. Это означает, что ваш компьютер может быть заражен, и проблема будет устранена только через месяц, когда выйдет новая версия инструмента.
СВЯЗАННЫЕ С: Microsoft прекращает поддержку Windows XP в 2014 году: что вам нужно знать
Средство удаления вредоносных программ — это оружие, которое Microsoft использует для удаления червей и других вредоносных программ с зараженных систем, чтобы они не оставались зараженными в течение многих лет. Это не тот инструмент, который поможет защитить вас при повседневном использовании компьютера. Если вы хотите просмотреть полный список вредоносных программ, которые он удаляет, вы можете загрузить инструмент, запустить его вручную и щелкнуть ссылку «Просмотреть подробные результаты сканирования» после запуска сканирования, чтобы увидеть все различные типы вредоносных программ, которые он проверено.
Microsoft продолжит обновлять этот инструмент для Windows XP до 14 июля 2015 г., даже если они прекращение поддержки Windows XP 8 апреля 2014 г. . Но это не замена исправленной операционной системе и надежной антивирусной программе.
Запуск инструмента вручную и просмотр журналов
Вам не нужно запускать инструмент вручную. Если вы подозреваете, что ваш компьютер заражен, лучше просканировать его с помощью специальной антивирусной программы, которая может обнаружить гораздо больше вредоносных программ. Если вы действительно хотите запустить инструмент вручную, вы можете скачать его с Страница загрузки Microsoft и запустите его, как любой другой файл .exe.
Когда вы запустите инструмент таким образом, вы увидите графический интерфейс. Инструмент выполняет быстрое сканирование, когда вы запускаете его в фоновом режиме, но вы также можете выполнить полное сканирование или настраиваемое сканирование для сканирования всей вашей системы или определенных папок, если вы запустите его вручную.
После запуска инструмента — вручную или автоматически в фоновом режиме — он создаст файл журнала, который вы можете просмотреть. Этот файл находится в папке% WINDIR% \ debug \ mrt.log — по умолчанию это C: \ Windows \ debug \ mrt.log. Вы можете открыть этот файл в Блокноте или любом другом текстовом редакторе, чтобы увидеть результаты сканирования. Если вы видите в основном пустой файл журнала без отчетов о проблемах, инструмент не обнаружил никаких проблем.
Вот почему средство удаления вредоносных программ продолжает появляться в Центре обновления Windows. Вам не стоит обращать внимание на этот инструмент. Пока вы используете хорошую антивирусную программу, она будет выполнять быструю перепроверку в фоновом режиме каждый месяц и вас не беспокоит.
Do You Need The Windows Malicious Software Removal Tool?
При подготовке материала использовались источники:
https://www.comss.ru/page.php?id=2689
https://winitpro.ru/index.php/2020/09/07/sredstvo-udaleniya-vredonosnyx-programm-windows-msrt/
https://www.thefastcode.com/ru-rub/article/what-is-the-malicious-software-removal-tool-and-do-i-need-it