2

Всякий раз, когда моя система запускается последние несколько дней, Windows (10 x64) просит меня установить это

"C:\Windows\System32\mrt.exe" /R /RE

Теперь я не хочу его устанавливать, поэтому я удалил этот файл, но через пару следующих запусков он снова.

Мои вопросы: что означают /R и /RE после файла для Windows и почему этот файл снова в моей системе?

Обновить:

Спасибо за информацию о ключах (/R /RE), (как правильно сказал @TOOGAM, я попробую то, что вы сказали позже сегодня) Я исправил информацию о файле, которая не показывала пробелы между "именем файла" и переключатели в приглашении, когда нажимаете "больше информации" в диалоговом окне,

Я пытался, which mrt ; Система говорит, which не признается. @DavidPostill вероятно , имел в вид mrt -version , который показывает подсказку в своем ответе, как и с любым другим параметром ... это означает , что она уже установлена, поэтому попытка установки при запуске подозрительна?

|источник

3 ответа3

4

MRT является средством удаления вредоносных программ. Это однократная антивирусная проверка, которая проходит через Центр обновления Windows каждый месяц. Переключатели R и RE, вероятно, говорят ему создать задачу для запуска позже или зарегистрировать ее как службу. Это не вредоносное ПО.

Ключи /R и /RE кажутся недокументированными, но действительными. Я запустил несколько разных ключей из командной строки и просмотрел вывод в файле журнала MRT (C:\Windows\debug\mrt.log).

Сначала я запустил «mrt.exe /Q» в качестве базовой линии. Это добавило запись с "Run Mode: Scan Run в тихом режиме".

Затем я запустил неверный ключ "mrt.exe /X", который не добавил никаких результатов.

«mrt.exe /R» Добавлен «Режим запуска: Действия после перезагрузки», из-за чего я думаю, что MRT запускает сканирование или, возможно, некоторые действия по очистке после перезагрузки.

«mrt.exe /RE» Добавлен «Режим запуска: Интерактивный графический режим», который открыл мастер, который имел различные параметры конфигурации для сканирования, и провел меня через процедуру сканирования. Это то, что происходит, когда вы открываете MRT.exe без каких-либо ключей, но, поскольку эффект отличается от недопустимого параметра, такого как /X, он все равно что-то делает.

И /R, и /RE вместе добавили «Режим запуска: Действия после перезагрузки».

Хотя я не смог проверить точный эффект обоих этих переключателей, они, похоже, действительны в обычной программе MRT. Причина, по которой программа продолжает повторное копирование, возможно, связана с тем, что Центр обновления Windows запускает и заменяет файл, или запускает проверку системных файлов и заменяет файл из хранилища WinSxS.

|источник
1

Что означают /R и /RE после файла для Windows?

Как объяснено в других ответах, они являются переключателями командной строки.

Однако официальный инструмент удаления вредоносных программ Microsoft (mrt.exe) не поддерживает эти параметры (см. Ниже).

Это означает, что версия, которую пытается установить ваша система, может быть вредоносной.

См. Как я могу удалить вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты с моего компьютера? для получения инструкций по удалению вредоносных программ.

mrt командной строки mrt

WMSRT MRT.exe поддерживает четыре перечисленных ниже параметра командной строки, которые являются необязательными и в большинстве случаев не нужны, если вы не являетесь администратором корпоративной сети:

  • /Q или /quiet - использовать тихий режим. Эта опция подавляет пользовательский интерфейс инструмента.
  • /? - Отобразить диалоговое окно, в котором перечислены параметры командной строки.
  • /N - Запустить в режиме только обнаружения. В этом режиме вредоносное программное обеспечение будет сообщено пользователю, но не будет удалено.
  • /F - Принудительное расширенное сканирование компьютера.
  • /F:Y - принудительно выполнить расширенную проверку компьютера и автоматически очистить все найденные инфекции.

Source Как использовать средство удаления вредоносных программ для Windows

> which mrt
C:\Windows\System32\MRT.exe

> mrt /?

Отображает следующий диалог:

|источник
0

Некоторые из ваших вопросов не имеют четких полных ответов. Вот что мы знаем.

Как правильно сказано в комментарии LPChip, /R /RE являются переключателями. В традиционной командной строке размещение косой черты в командной строке указывает на запуск переключателя. Например, «dir /w» означает использовать команду "dir" и указать переключатель «/w». (Переключатели также называются "параметрами".)

В PowerShell это не работает: вам нужен пробел перед переключателем. Реестр - это просто гигантский набор данных, поэтому то, будет ли необходимо пространство или нет, будет зависеть от того, какая программа использует эти данные.

Поскольку вас спрашивают об установке программы, я предполагаю, что приглашение приходит из "контроля учетных записей пользователей" ("UAC"). Таким образом, UAC эффективно защищает вас от установки программы. Просто сказать нет.

Теперь, что касается того, почему это происходит при каждой перезагрузке, это то, что я не могу с готовностью сказать, но я могу дать некоторые советы для выяснения этого. Microsoft Windows позволяет запускать программу несколькими способами. Вы можете проверить папку «Автозагрузка» (из меню «Пуск»), но, скорее всего, вы найдете свой ответ в реестре. Проверьте эти ключи в RegEdit:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Это, вероятно, как программа запускается.

Однако, хотя удаление этой записи реестра, скорее всего, остановит запуск программы, это не ответит на вопрос о том, как программа продолжает возвращаться после успешного удаления. Это не очень нормальное поведение, за исключением случаев, когда ваш компьютер уже скомпрометирован вредоносным программным обеспечением (также называемым "вредоносным ПО"). Если вредоносная программа повторно создает файл, велика вероятность, что вредоносная программа также заново создаст запись реестра.

Поэтому вам, вероятно, нужно найти вредоносное ПО. Самый простой способ сделать это - запустить сканирование с помощью антивирусного программного обеспечения. Если то, что вы установили, не работает, попробуйте Malware Bytes (который часто хорошо умеет находить вещи и часто работает вместе с существующим антивирусным программным обеспечением) и / или другое антивирусное программное обеспечение (хотя вам может потребоваться удалить каждый антивирус. -программное обеспечение перед попыткой другого, так как несколько частей антивирусного программного обеспечения часто имеют тенденцию конфликтовать друг с другом).

Надеюсь, это работает; иногда вам необходимо предпринять более серьезные усилия для успешной очистки машины, что может включать в себя не загружаться с устройства долговременного хранения (например, "жесткий диск", "твердотельный диск"), которое вы используете (потому что диск вы в настоящее время используете может быть достаточно скомпрометированы).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .