Microsoft Windows Malicious Software Removal Tools služi za uklanjanje zlonamjernih programa s računala. Prvenstveno je namijenjen korisnicima koji na računalima nemaju instaliran antivirusni program. Međutim, može se instalirati i u okolinama s antivirusnom zaštitom radi njenog proširenja. Alat se distribuira u obliku paketa sa sljedećeg linka:

http://www.microsoft.com/downloads/details.aspx?FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en

Verzija alata definirana je brojem verzije ili mjesecom i godinom u kojoj je paket objavljen. Trenutna verzija je 1.4 ili May 2005. Na sljedećem linku je popis porodica zlonamjernog softvera koje je alat sposoban ukloniti s računala:

http://support.microsoft.com/?kbid=890830

Rezultati pokretanja alata mogu biti sljedeći:

- infekcija nije otkrivena

- infekcija je otkrivena i uklonjena (obrisane su sve datoteke i ključevi u registnoj bazi podataka koji su povezani sa zloćudnim procesom)

- infekcija je otkrivena ali nije uklonjena. Takav se rezultat pokaže kada se javi sumnja o postojanju datoteka koje se moraju pokušati ukloniti nekim drugim alatom za zaštitu računala

- infekcija je otkrivena i djelomično je uklonjena te se ponovno zahtijeva korištenje nekog drugog alata za zaštitu računala

Metode primjene ovoga alata su sljedeće:

Windows Server Update Services

SMS Software Package

Group Policy - startup script

Group Policy - logon script

Primjena Logon skriptom ili Startup skriptom

Opisati ćemo primjer instalacije i korištenja alata u okolinama gdje je instaliran Active Directory i gdje se primjenjuje Group Policy postavki računala u mreži. Sljedeća skripta radi ovako:

- poziva vbs skriptu koja obavještava korisnike o radu alata

- pokreće alat u tihom modu rada (komandnolinijski switch /q)

- kopira log datoteke u prethodno pripremljen dijeljeni direktorij

- preimenuje log datoteku tako da je lako prepoznatljiva s obzirom s kojeg računala je pokrenuta i koji korisnik se prijavio

Jednostavni koraci izrade ovoga sustava su sljedeći:

1. stvaranje dijeljenog direktorija koji će biti dostupan administratoru stroja
2. stvaranje glavne skripte RunMRT.cmd i kopiranje u prethodno stvoren dijeljeni direktorij:

@echo off
cscript \\ime servera\dijeljeni$\MRT_InfoBox.vbs //T:10
Start /wait \\ime servera\dijeljeni$\Windows-KB890830-V1.4-ENU.exe /q
copy %windir%\debug\mrt.log \\ime servera\dijeljeni$\%computername%_%username%_mrt.log

3. uređivanje dozvola dijeljenog direktorija

logon skripta (dijeljene dozvole):
domenski korisnički račun osobe koja će nadgledati rad alata - Full
grupa Authenticated Users - Change & Read
startup skripta dodatno (dijeljene dozvole):
grupa Domain computers - Change & Read

logon skripta (NTFS dozvole):
domenski korisnički račun osobe koja će nadgledati rad alata - Full 
grupa Authenticated Users - Read & Execute, List Folder Contents, Read
startup skripta dodatno (NTFS dozvole):
grupa Domain computers - Read & Execute, List Folder Contents, Read

4. stvaranje skripte MRT_InfoBox.vbs za prikaz poruke korisnicima prilikom logiranja i njeno kopiranje u prethodno stvoreni dijeljeni direktorij:

MsgBox "Microsoft Windows Malicious Software Removal Tool" & vblf & _
"Verzija 1.4, upravo je pokrenut..." & vblf & _
"          " & vblf & _
"Alat se testira. Molim za strpljenje kod logiranja."

5. stvaranje Group Policy objekta

UserConfiguration\WindowsSettings\Scripts(Logon/Logoff)\Logon

ili ako izrađujete Startup skriptu koja će sadržavati glavnu skriptu i pokretati je prilikom svakog logiranja korisnika unutar mreže Active Directory računala

ComputerConfiguration\WindowsSettings\Scripts(Startup/Shutdown)\Startup

Nakon prvog pokretanja skripte paket Windows-KB890830-V1.4-ENU.exe bit će raspakiran i u vašem dijeljenom direktoriju nalazit će se datoteka MRT.exe. Tad možete promijeniti putanju unutar RunMRT.cmd skripte.