L'outil de suppression des logiciels malveillants Microsoft (MSRT) est un outil de suppression post-infection qui est mis à jour chaque mois et déployé via le canal Windows Update. L'analyse des logiciels malveillants s'exécute lorsque vous installez MSRT à partir de Windows Update. Vous pouvez également lancer des analyses manuellement chaque fois que nécessaire en exécutant mrt.exe dans le répertoire Windows \ System32.
Qu'est-ce que MSRT et en quoi diffère-t-il de mon programme AV?
MSRT est un outil pour supprimer les infections de l'ordinateur. Mais il ne surveille pas votre système en temps réel. En outre, il recherche un logiciel malveillant spécifique et répandu, ce qui représente un petit sous-ensemble de tous les logiciels malveillants qui existent aujourd'hui. Alors que les définitions utilisées par votre produit antivirus sont vastes et contiennent des signatures pour tout ou la plupart des logiciels malveillants jamais publiés.
MSRT, en tant qu'analyseur secondaire, est utile pour rechercher et supprimer les virus, les vers et les chevaux de Troie. Il ne détecte pas les logiciels espions et ne remplace pas la protection en temps réel de votre programme antivirus principal.
Le blog MMPC a annoncé que sur les 500 millions d'appareils analysés chaque mois, le MSRT a identifié et supprimé des programmes malveillants de 1 à 2 millions de machines, même sur les appareils exécutant un logiciel antivirus. L'efficacité de MSRT en tant que scanner secondaire a permis à Microsoft d'intégrer la fonctionnalité «Windows Defender - Analyse périodique limitée» dans Windows 10.
En pratique, si votre logiciel antivirus d'origine est toujours mis à jour et que sa protection en temps réel fonctionne correctement, MSRT ne trouvera rien dans la grande majorité des cas.
MSRT s'exécute sur Windows 10, Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Vista ou Windows Server 2008. Microsoft publie une version mise à jour de MSRT le deuxième mardi de chaque mois.
Donc, du point de vue de Windows 10, si vous utilisez une solution antivirus tierce dans Windows 10, l'analyse périodique limitée (lorsqu'elle est activée) fournit une couche de défense supplémentaire. MSRT ajoute une troisième couche de cette défense, mais les analyses automatiques ont lieu une fois par mois; lorsque Microsoft envoie la dernière version de MSRT via Windows Update. Et, avec Windows Defender Offline intégré à Windows 10, le système d'exploitation est renforcé à un niveau supérieur.
Exécution d'une analyse à l'aide de MSRT
Appuyez sur WinKey + R pour lancer la boîte de dialogue Exécuter. Tapez mrt.exe et appuyez sur ENTRÉE
Si la version de MRT.exe de votre système est antérieure à 60 jours, en tenant compte de la date / heure actuelle du système, MSRT vous suggère de télécharger la dernière version de l'outil.
Dans l’écran «Bienvenue dans l’outil de suppression des logiciels malveillants de Microsoft», vous trouverez un lien pour afficher la liste des logiciels malveillants supprimés par cet outil. Cliquez sur le lien si vous voulez voir la liste. La sélection d'un élément dans la zone de liste ouvre la page d'informations sur les virus correspondante sur le site Microsoft.
Il convient de noter que la plupart des logiciels malveillants répertoriés sont classés comme niveau d'alerte «Grave» ou «Élevé».
Cliquez sur Suivant pour continuer.
Choisissez un type de numérisation: numérisation rapide, numérisation complète ou numérisation personnalisée. L'analyse personnalisée est utilisée pour analyser un dossier spécifique en plus de l' analyse rapide. L'analyse complète a pris un temps extrêmement long pour se terminer sur mon système de production.
La documentation de Microsoft indique "L'outil ne peut pas supprimer les logiciels malveillants qui ne sont pas en cours d'exécution." Il n'est pas clair si la déclaration s'applique même si l'on effectue une analyse complète.
Une fois l'analyse terminée, il vous montre immédiatement les résultats. Les résultats sont également enregistrés dans le fichier «C: \ Windows \ Debug \ mrt.log». Après chaque analyse, MSRT enregistre les informations suivantes dans le fichier journal.
Microsoft Windows Malicious Software Removal Tool v5.42, November 2016 (build 5.42.13202.0) Started On Wed Nov 09 10:18:52 2016 Engine: 1.1.13202.0 Signatures: 1.231.682.0 Run Mode: Interactive Graphical Mode Successfully Submitted Heartbeat Report Microsoft Windows Malicious Software Removal Tool Finished On Wed Nov 09 11:19:58 2016 Return code: 0 (0x0)
«Mode d'exécution» dirait «Analyse exécutée à partir de Windows Update» si l'analyse a été lancée automatiquement à partir de Windows Update.
MSRT prend en charge ces arguments de ligne de commande:
/Q or /quiet - quiet mode; if set, no UI is shown /? or /help - displays usage information /N - detect-only mode /F - force full scan /F:Y - same as above, but automatically clean infected files.
Les analyses lancées à partir de Windows Update s'exécutent en mode silencieux par défaut. Mais, si MSRT trouve un logiciel malveillant, il envoie une notification de type ballon ou toast suggérant à l'utilisateur d'exécuter une analyse complète.
Désactiver MSRT de l'envoi du rapport de télémétrie à Microsoft
Woody Leonhard a également découvert que, depuis août 2016, MSRT soumet un rapport HeartBeat ou de télémétrie à Microsoft - comme le montre le mrt.log qui contient la ligne «Successful Submitted Heartbeat Report». Cependant, Microsoft fournit une méthode de registre dans l'article Déploiement de l'outil de suppression de logiciels malveillants Microsoft Windows dans un environnement d'entreprise pour empêcher MSRT de signaler l'infection à Microsoft.
Comment puis-je désactiver le composant de rapport d'infection de l'outil afin que le rapport ne soit pas renvoyé à Microsoft?
Un administrateur peut choisir de désactiver le composant de rapport d’infection de l’outil en ajoutant la valeur de clé de registre suivante aux ordinateurs. Si cette valeur de clé de Registre est définie, l'outil ne signalera pas les informations d'infection à Microsoft.
Démarrez l'Éditeur du Registre (regedit.exe) et accédez à la clé suivante:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ MRT
Créez une valeur DWORD nommée «DontReportInfectionInformation» et définissez ses données de valeur sur 1.
Pour des informations détaillées sur MSRT, consultez l'article de Microsoft: MSRT permet de supprimer les logiciels malveillants spécifiques et répandus des ordinateurs.
Voir également le récent article du blog MMPC: MSRT novembre 2016: les logiciels indésirables n'ont nulle part où se cacher dans la version de ce mois-ci. MSRT peut désormais (mise à jour de novembre 2016) corriger les systèmes infectés par les logiciels malveillants Soctuseer. Depuis septembre 2016, Soctuseer a infecté 1, 2 million de systèmes.
Scanner de sécurité Microsoft
Microsoft dispose d'un autre scanner de virus et de logiciels malveillants autonome, nommé Microsoft Safety Scanner (gratuit). MSS a une interface similaire à MSRT, mais elle est plus complète que MSRT. L'outil autonome est de plus grande taille et il peut analyser et supprimer les virus, les logiciels espions et autres logiciels malveillants.
Même si MSS utilise le même ensemble de définitions de virus et de logiciels malveillants que Microsoft Security Essentials et Windows Defender, MSS expire 10 jours après l'avoir téléchargé et vous ne pouvez pas mettre à jour les définitions car il s'agit d'un seul exécutable. Pour réexécuter une analyse avec les dernières définitions anti-malware, vous devrez télécharger et exécuter à nouveau le Microsoft Safety Scanner. Il enregistre les résultats de l'analyse dans le fichier «C: \ Windows \ Debug \ msert.log»
La page de configuration requise de MSS indique que Windows 7 est requis, mais il fonctionne également très bien sur Windows 10.
Alors, quel scanner dois-je utiliser?
Si trop d'options d'analyse fournies par Microsoft vous ont laissé perplexe, notez que MSRT est destiné à être exécuté silencieusement et automatiquement via WU; tandis que MSS est un scanner à la demande que l'utilisateur doit télécharger chaque fois qu'il doit exécuter une analyse approfondie.
De même, Windows Defender Offline (WDO) est démarré à la demande par l'utilisateur, ou lorsque Defender vous suggère d'exécuter une analyse hors ligne lorsqu'il trouve une infection malveillante profondément enracinée dans le système qui ne peut pas être supprimée lorsque Windows est en cours d'exécution. D'autre part, l'analyse périodique limitée dans Windows 10 ne nécessite aucune intervention de l'utilisateur.