Windowsで悪意のあるソフトウェアの削除ツール（MRT.exe）を使用する

毎月WindowsUpdateを使用してコンピューターにインストールされている更新プログラムを確認すると、重要な更新プログラム KB890830に気付いた可能性があります。 （Windows悪意のあるソフトウェアの削除ツール）。このアップデートには、最新バージョンの Windows悪意のあるソフトウェア削除ツール（MSRT）が含まれています。 マイクロソフトによる。このツールは、ウイルス、トロイの木馬、ワーム、その他のマルウェアがないかコンピュータをスキャンして駆除できます。 MSRTは、サポートされているすべてのWindowsバージョン（現在サポートされていないWindows 7を含む）で使用できます。

Microsoft Windowsの悪意のあるソフトウェアの削除ツールはウイルス対策ではなく、すべての脅威からコンピュータをリアルタイムで保護するわけではありません。このツールの範囲は、コンピューターをすばやくスキャンして、限られた数の最も危険なマルウェアと脅威（Microsoftの見解）を探し、それらを削除することです。

Windows Updateを介してMSRTを自動的にインストール/更新するか、Microsoft更新カタログ（https://www.catalog.update.microsoft.com/Search.aspx?q）からWindows悪意のあるソフトウェアの削除ツール（KB890830）を手動でダウンロードしてインストールすることができます。 =KB890830）。

2020年5月以降、MSRTアップデートは3か月に1回リリースされます（以前は毎月リリースされていました）。

Windowsの悪意のあるソフトウェアの削除ツールを使用するには、次のコマンドを実行します。

mrt.exe

3つのスキャンタイプが利用可能です：

• クイックスキャン –最も頻繁に感染する可能性のあるメモリとシステムファイルのクイックスキャン。ウイルスまたはトロイの木馬が検出された場合、ツールはフルスキャンの実行を提案します。
• フルスキャン –デバイス全体のスキャン（ディスク上のファイルの数によっては、最大で数時間かかる場合があります）。
• カスタマイズされたスキャン –このモードでは、スキャンするフォルダーを指定できます。

必要なスキャンタイプを選択し、スキャンが終了するまで待ちます。

感染したファイルが見つからない場合、ツールは「No malicious software was detected」というメッセージを表示します。 」。 [スキャンの詳細な結果を表示する]をクリックすると、シグネチャが検索されたマルウェアのリストと、各マルウェアのスキャンステータスが表示されます。

マルウェアが見つかった場合、ツールは次のいずれかのステータスを表示します。

• 少なくとも1つの感染が検出され、削除されました。
• 悪意のあるソフトウェアが見つかりましたが、削除されませんでした。このメッセージは、疑わしいファイルがコンピューターで検出された場合に表示されます。それらを削除するには、ウイルス対策アプリを使用する必要があります;
• 悪意のあるソフトウェアが検出され、部分的に削除されました。完全に削除するには、ウイルス対策ソフトウェアを使用する必要があります。

MSRTは、詳細なスキャンログをファイル%WinDir%\Debug\mrt.logに保存します。 。

Microsoft Windows Malicious Software Removal Tool v5.88, (build 5.88.18031.1)
Started On Wed Apr 14 09:14:53 2021
Engine: 1.1.17900.7
Signatures: 1.333.1197.0
MpGear: 1.1.16330.1
Run Mode: Scan Run From Windows Update
Results Summary:
----------------
No infection found.
Successfully Submitted MAPS Report
Successfully Submitted Heartbeat Report
Microsoft Windows Malicious Software Removal Tool Finished On Wed Apr 14 09:20:49 2021
Return code: 0 (0x0)

ログの最後の行に注意してください（ハートビートレポート ）。ご覧のとおり、悪意のあるソフトウェアの削除ツールはMicrosoftにレポートを送信します（MSFTによると匿名です）。レジストリを介してMicrosoftへのスキャンレポートの送信を無効にすることができます。 DontReportInfectionInformationという名前のREG_DWORDパラメータを作成します 値1 regキーHKLM\SOFTWARE \ Policies \ Microsoft\MRTの下。

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

Windows Updateを介した悪意のあるソフトウェアの削除ツールの自動ダウンロードとインストールを無効にする場合は、次のコマンドを実行します。

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

MRT.exeには、企業ネットワーク内のコンピューターをスキャンするために使用できるいくつかのコマンドラインオプションがあります（SCCM、GPO、または同様のツールを使用）。

• /Q –ツールをクワイエットモードで実行する（グラフィックインターフェイスのないバックグラウンドで）
• /N –検出モードを有効にする（ツールは削除せずに悪意のあるソフトウェアのみをスキャンします）
• /F –完全なコンピュータースキャンを開始するには
• /F:Y –コンピュータのフルスキャンを開始し、感染したファイルを自動的に削除する

マイクロソフトは、エンタープライズネットワークでのWindows悪意のあるソフトウェアの削除ツールの展開と使用のシナリオをいくつか提供しています（https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an -エンタープライズ-enviro）。

コンピュータを自動的にスキャンするには、特別な MRT_HB タスクスケジューラのタスクが使用されます（[タスクスケジューラライブラリ]-> [Microsoft]-> [Windows]-> [RemovalTools]）。

タスクは、/EHB /Qを指定してmrt.exeを実行します （/ EHBオプションが公式ドキュメントに記載されていないのは興味深いことです。ヘルプには、それらについての言及はありません）。