在 Windows 上使用恶意软件删除工具 (MRT.exe)

如果您每月通过 Windows 更新检查计算机上安装了哪些更新，您可能会注意到关键更新 KB890830（Windows 恶意软件删除工具）。此更新包含 Microsoft 最新版本的Windows 恶意软件删除工具 (MSRT)。该工具可以扫描并清理您的计算机中的病毒、木马、蠕虫和其他恶意软件。 MSRT 适用于所有受支持的 Windows 版本（包括当前不支持的 Windows 7）。

Microsoft Windows 恶意软件删除工具不是防病毒软件，不能实时保护您的计算机免受所有威胁。该工具的范围是快速扫描计算机中有限数量的最危险的恶意软件和威胁（微软认为）并删除它们。

您可以通过 Windows 更新自动安装/更新 MSRT，或从 Microsoft 更新目录 (https://www.catalog.update.microsoft.com/Search.aspx?q=KB890830) 手动下载并安装 Windows 恶意软件删除工具 (KB890830)。

自 2020 年 5 月起，MSRT 更新每三个月发布一次（之前为每月一次）。

要使用 Windows 恶意软件删除工具，请运行以下命令：

mrt.exe

提供 3 种扫描类型：

• 快速扫描 - 快速扫描可能最常被感染的内存和系统文件。如果检测到病毒或木马，该工具将执行全面扫描；

• 完整扫描 - 完整设备扫描（可能需要长达几个小时，具体取决于磁盘上的文件数量）；

• 自定义扫描 - 在此模式下您可以指定要扫描的文件夹。

选择您想要的扫描类型并等待扫描结束。

如果没有发现受感染的文件，该工具将显示消息“

No malicious software was detected

”。如果您单击“查看扫描的详细结果”，将显示已查找签名的恶意软件列表以及每个恶意软件的扫描状态。

如果发现任何恶意软件，该工具会显示以下状态之一：

• 发现并清除至少一种感染；

• 发现了恶意软件，但未将其删除。如果在计算机上检测到可疑文件，则会显示此消息。要删除它们，您应该使用防病毒应用程序；

• 检测到并部分删除了恶意软件。要完全删除它，您应该使用防病毒软件。

MSRT 将详细的扫描日志保存到文件中：

%WinDir%\Debug\mrt.log

。

Microsoft Windows Malicious Software Removal Tool v5.88, (build 5.88.18031.1)
Started On Wed Apr 14 09:14:53 2021
Engine: 1.1.17900.7
Signatures: 1.333.1197.0
MpGear: 1.1.16330.1
Run Mode: Scan Run From Windows Update
Results Summary:
----------------
No infection found.
Successfully Submitted MAPS Report
Successfully Submitted Heartbeat Report
Microsoft Windows Malicious Software Removal Tool Finished On Wed Apr 14 09:20:49 2021
Return code: 0 (0x0)

请注意日志的最后一行（心跳报告）。正如您所看到的，恶意软件删除工具向 Microsoft 发送了一份报告（MSFT 表示该报告是匿名的）。您可以禁止通过注册表向 Microsoft 发送扫描报告。在注册表项 HKLM\SOFTWARE\Policies\Microsoft\MRT 下创建名称为 DontReportInfectionInformation 和值 1 的 REG_DWORD 参数。

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d 1 /f

如果您想禁用通过 Windows 更新自动下载和安装恶意软件删除工具，请运行以下命令：

reg add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontOfferThroughWUAU /t REG_DWORD /d 1 /f

MRT.exe 有多个命令行选项，可用于扫描公司网络中的计算机（使用 SCCM、GPO 或类似工具）。

• /Q

  - 以安静模式运行该工具（在没有图形界面的后台）

• /N

  - 启用检测模式（该工具仅扫描恶意软件而不删除）

• /F

  - 开始完整的计算机扫描

• /F:Y

  - 开始对计算机进行全面扫描并自动删除受感染的文件

Microsoft 提供了一些在企业网络中部署和使用 Windows 恶意软件删除工具的方案 (https://support.microsoft.com/en-us/help/891716/deploy-windows-malicious-software-removal-tool-in-an-enterprise-enviro)。

要自动扫描计算机，需要使用任务计划程序中的特殊 MRT_HB 任务（任务计划程序库 -> Microsoft -> Windows -> RemovalTools）。

该任务运行 mrt.exe

/EHB /Q

（有趣的是，官方文档中没有描述 /EHB 选项，帮助中也没有提及它们）。