В ранние часы 24 февраля по Гринуичу автоматические обновления Windows установили обновление на моем компьютере с Windows 7, которое включало обновление определения для Инструмента удаления вредоносного ПО.

Инструмент удаления вредоносного ПО (или KB890830) – это средство защиты от вредоносных программ Windows, которое обновляется и запускается раз в месяц, и удаляет любые угрозы, которые находит, без подтверждения пользователя.

Из деталей обновления:

Инструмент удаления вредоносного ПО Windows x64 – февраль 2017 (KB890830)

Размер загрузки: 7,9 МБ

Возможно, вам потребуется перезагрузить компьютер, чтобы это обновление вступило в силу.

Тип обновления: Важное

После загрузки этот инструмент запускается один раз, чтобы проверить ваш компьютер на наличие инфекций конкретным распространенным вредоносным ПО (включая Blaster, Sasser и Mydoom) и помогает удалить любые найденные инфекции. Если инфекция обнаружена, инструмент отобразит отчет о состоянии при следующем запуске вашего компьютера. Каждый месяц будет предлагаться новая версия инструмента. Если вы хотите вручную запустить инструмент на своем компьютере, вы можете загрузить его с Центра загрузки Microsoft или запустить онлайн-версию с microsoft.com. Этот инструмент не является заменой продукта для антивирусной защиты. Чтобы защитить ваш компьютер, вам следует использовать антивирусный продукт.

Как оказалось, февральское обновление списка определений MSRT пометило инструменты, которые я использовал годами без проблем – а именно, активатор KMSPico для Microsoft Office – как вредоносные и удалило их из моей системы без подтверждения. В дополнение к этому инвазивному подходу к воспринимаемым угрозам, инструмент не появляется в диалоговом окне Установленные обновления Windows Update, тем самым лишая пользователей права отказаться от того, что является одновременно инвазивным и неадекватным инструментом, а также он вернул мои настройки UAC на максимальный уровень.

Что следует далее, является кратким руководством по устранению любых негативных последствий принудительного обновления, а также по полной деактивации MSRT, предоставляя вам возможность полагаться на проверенные временем специализированные антивирусные и антишпионские решения. Я надеюсь, что это будет полезно любому другому, кто негативно пострадал от последнего обновления списка определений MSRT.

Откат и удаление обновления Инструмента удаления вредоносного ПО Windows

Для начала откройте Восстановление системы и проверьте, был ли создан точка восстановления до установки Инструмента удаления вредоносного ПО. Точки восстановления обычно создаются Windows автоматически непосредственно перед установкой обновлений, хотя возможно, что этого могло не произойти.

Если у вас есть точка восстановления

1. Восстановите ее и дождитесь перезагрузки Windows.

2. Откройте Центр обновления Windows и нажмите на Изменить настройки в боковой панели. В выпадающем меню выберите вариант “Проверять обновления, но позволять мне решать, устанавливать их или нет“. Нажмите ОК, чтобы вернуться к Центру обновления Windows.

3. Центр обновления Windows должен обнаружить, что доступно как минимум 1 “важное обновление”. Это обновление MSRT, которое вы только что откатили. Нажмите на него, а на следующем экране снимите отметку с него и любых других обновлений с меткой KB890830, которые вы заметите. Затем щелкните правой кнопкой мыши на каждом обновлении, которое вы только что сняли с отметки, и выберите Скрыть обновление.

Последний шаг должен быть достаточным, чтобы гарантировать, что Windows больше не попытается вновь навязать обновление MSRT. Обратите внимание, что вам может потребоваться сделать это для любых будущих шагов, поэтому я также рекомендую отключить автоматические обновления, как указано в Шаге 2, и осторожно избегать установки любых обновлений с меткой KB890830.

Вы также можете дополнительно следовать указанным ниже шагам, чтобы убедиться, что MSRT окончательно отключен, но я пока не испытывал такой необходимости, так как точка восстановления устранила большую часть ущерба. Если в будущем MSRT снова появится, не стесняйтесь окончательно закрыть эту тему, продолжив с этого места.

Если у вас нет точки восстановления, или восстановление не удалось

1. Откройте Планировщик задач. В левой панели нажмите на Библиотеку Планировщика задач, затем проследуйте по дереву директорий до Microsoft\Windows\Removal Tools.

   

   Если MSRT настроен на выполнение на вашем компьютере, центральная панель должна показать задачу с названием MTR_HB в папке Removal Tools, как показано выше. Насколько мне известно, это запланированная задача, которая инициализирует запуск MSRT сразу после его обновления. Щелкните левой кнопкой мыши на задаче и нажмите Отключить, чтобы предотвратить ее выполнение в будущем.

2. Создайте текстовый файл с помощью Блокнота и вставьте следующее.

    Windows Registry Editor Version 5.00
   
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT]
    "DontOfferThroughWUAU"=dword:00000001
   

3. Сохраните файл с расширением .reg, затем дважды щелкните по нему, чтобы применить его к вашей системе, подтвердив любые появляющиеся диалоги.

   Поздравляю. Теперь ваш компьютер должен быть полностью свободен от MSRT.

Сохранение Инструмента удаления вредоносного ПО при отключении его телеметрических служб

В некоторых версиях Windows, а именно 10, MSRT также отправляет телеметрические данные обратно в Microsoft через что-то, называемое Телеметрией Heartbeat. Если вам нравится полагаться на антивирусные усилия MSRT, но вы хотите предотвратить его “сигнализацию”, вот как это сделать.

1. Создайте текстовый файл с помощью Блокнота и вставьте следующее.

    Windows Registry Editor Version 5.00
   
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT]
    "DontReportInfectionInformation"=dword:1
   

2. Сохраните файл с расширением “.reg”, затем дважды щелкните по нему, чтобы применить его к вашей системе, подтвердив любые появляющиеся диалоги.

3. Откройте Планировщик задач. В левой панели нажмите на Библиотеку Планировщика задач, затем проследуйте по дереву директорий до Microsoft\Windows\Removal Tools.

   

4. Центральная панель покажет задачу с названием MTR_HB в папке Removal Tools, как показано выше. Дважды щелкните на задачу.

5. В открывшемся окне перейдите на вкладку Действия и дважды щелкните на действии, заканчивающемся /EHB /Q. /EHB и /Q являются параметрами командной строки, которые настраивают, как Планировщик задач запускает программу. В этом случае параметр /EHB указывает, чтобы запускать Инструмент удаления вредоносного ПО с включенной телеметрией Heartbeat.

6. В поле Добавить аргументы (необязательно) полностью удалите параметр /EHB, оставив пробел между путем к программе MSRT и параметром /Q. Нажмите ОК, затем ОК снова в предыдущем окне, прежде чем выйти из Планировщика задач. Теперь у вас должна быть версия MSRT, которая мертва внутри – то есть, без Heartbeat.

Обратите внимание, что из-за агрессивного характера телеметрических служб Windows – читайте: насколько сильно Microsoft хочет, чтобы вы отправляли данные обратно им – это может быть лишь временным решением, которое будет устранено в будущих обновлениях Windows. Единственный гарантированный способ убедиться, что MSRT больше никогда не отправляет телеметрические данные обратно в Microsoft, это использовать шаги из первой части этого руководства, чтобы полностью предотвратить обновления от него.