Windows - Quais são os / r / re depois de um nome de arquivo e o que eles fazem?

2

Sempre que meu sistema inicia nos últimos dias, o windows (10 x64) me pede para instalar este

"C:\Windows\System32\mrt.exe" /R /RE

Agora, eu não quero instalá-lo, então eu deletei esse arquivo, mas um par de próximas start ups lá está novamente.

Minhas perguntas são, o que o / R e o / RE após o arquivo significam para o Windows e por que esse arquivo é novamente no meu sistema?

Atualização:

Obrigado pela troca de informações (/ R / RE), (como @TOOGAM afirmou corretamente, vou tentar o que você disse mais tarde hoje) eu corrigi as informações sobre o arquivo, que não mostra os espaços em branco entre o " nome do arquivo "e os comutadores no prompt, ao pressionar 'mais informações' no diálogo,

Eu tentei which mrt ; system diz que which não é reconhecido. @DavidPostill provavelmente quis dizer mrt -version que mostra o prompt em sua resposta, como em todos os outros parâmetros ... isso significa que já está instalado, então a tentativa de instalar na inicialização é suspeita?

    
por user701679 26.02.2017 / 15:46

3 respostas

4

MRT é a Ferramenta de Remoção de Software Mal-Intencionado. É uma varredura Antivirus executada uma vez, que é enviada pelo Windows Update todos os meses. Os switches R e RE provavelmente dizem para criar uma tarefa para executar posteriormente ou registrá-la como um serviço. Não é malware.

Os switches / R e / RE parecem não documentados, mas são válidos. Executei vários comutadores diferentes na linha de comando e exibi a saída no arquivo de log do MRT (C: \ Windows \ debug \ mrt.log).

Primeiramente, executei "mrt.exe / Q" como uma linha de base. Isso adicionou uma entrada com "Run Mode: Scan Run no modo muito".

Em seguida, executei um comutador inválido "mrt.exe / X" que não adicionou nenhuma saída.

"mrt.exe / R" Adicionado "Modo de Execução: Postar Ações de Reinicialização", o que me leva a acreditar que está dizendo ao MRT para executar a verificação ou talvez algumas ações de limpeza após a reinicialização.

"mrt.exe / RE" Adicionado "Modo de Execução: Modo Gráfico Interativo", que abriu um assistente que tinha diferentes opções de configuração para a varredura, e me guiou através do procedimento de varredura. Isso é o que acontece quando você abre o MRT.exe sem qualquer opção, mas como o efeito era diferente de um switch inválido como / X, ele ainda parece fazer alguma coisa.

Ambos / R e / RE juntos adicionaram "Run Mode: Post Reboot Actions".

Embora eu não tenha conseguido verificar o efeito exato de ambos os switches, eles parecem ser válidos no programa MRT normal. A razão pela qual o programa continua se recuperando provavelmente se deve ao fato de o Windows Updates estar executando e substituindo o arquivo, ou uma verificação de arquivo do sistema em execução e substituindo o arquivo do armazenamento WinSxS.

    
por 26.02.2017 / 21:14
1

O que o /R e o /RE após o arquivo significam para o Windows?

Como explicado nas outras respostas, eles são opções de linha de comando.

No entanto, a Ferramenta de Remoção do Microsoft Malicious Software oficial (mrt.exe) não oferece suporte a essas opções (veja abaixo).

Isso implica que a versão que seu sistema está tentando instalar pode ser um malware.

Veja Como posso remover spyware, malware, adware, vírus, trojans ou rootkits maliciosos do meu PC? para obter instruções sobre como remover malware.

mrt opções de linha de comando

O WMSRT MRT.exe suporta quatro opções de linha de comando listadas abaixo, o que é opcional e na maioria das vezes não é necessário, a menos que você seja o administrador da rede corporativa:

  • /Q ou /quiet - Use o modo silencioso. Esta opção suprime a interface do usuário da ferramenta.
  • /? - Exibe uma caixa de diálogo que lista as opções da linha de comando.
  • /N - Executa no modo somente de detecção. Neste modo, o software malicioso será reportado ao usuário, mas não será removido.
  • /F - força uma varredura extensa do computador.
  • /F:Y - força uma verificação extensa do computador e limpa automaticamente todas as infecções encontradas.

Fonte Como usar a Ferramenta de Remoção de Software Mal-Intencionado do Windows

> which mrt
C:\Windows\System32\MRT.exe

> mrt /?

Exibe a seguinte caixa de diálogo:

    
por 26.02.2017 / 17:26
0

Algumas das perguntas que você tem não têm respostas completas claras. Aqui está o que sabemos.

Como o comentário de LPChip afirmou corretamente, o / R / RE parece ser comutadores. No prompt de comando tradicional, colocar uma barra na linha de comando especifica o início de um switch. por exemplo, "dir / w" significa usar o comando "dir" e especificar a opção "/ w". (Switches também são chamados de "parâmetros").

No PowerShell, isso não funciona: você precisaria de um espaço antes do switch. O Registro é apenas uma coleção gigante de dados, portanto, se o espaço é necessário, ou não, dependeria de qual programa está usando esses dados.

Como você está sendo questionado sobre a instalação do programa, estou supondo que o prompt está vindo do "controle de conta de usuário" ("UAC"). Então, o UAC está efetivamente protegendo você de ter o programa instalado. Apenas diga não.

Agora, por que isso está acontecendo a cada reinicialização, isso é algo que não posso dizer prontamente, mas posso fornecer alguns conselhos para descobrir isso. Existem várias maneiras que o Microsoft Windows permite que um programa seja iniciado. Você pode verificar a pasta de inicialização (no menu Iniciar), mas provavelmente você encontrará sua resposta no registro. Confira essas chaves no RegEdit:

  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Executar
  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
  • HKEY_Local_Machine \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Executar
  • HKEY_Local_Machine \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

É provavelmente assim que o programa está sendo iniciado.

No entanto, embora a exclusão dessa entrada do registro provavelmente pare a execução do programa, isso não responde à pergunta sobre como o programa continua voltando depois de excluí-lo com êxito. Este comportamento não é muito normal, exceto se o seu computador já estiver comprometido por software malicioso (também conhecido como "malware"). Se o malware estiver recriando o arquivo, é provável que o malware também recriará a entrada do Registro.

Então, você provavelmente precisará encontrar o malware. A maneira mais fácil de fazer isso é provavelmente executar uma varredura com um software anti-malware. Se o que você instalou não funcionar, experimente o Malware Bytes (que geralmente é bom em encontrar coisas e geralmente funciona junto com o software anti-malware existente), e / ou outro software anti-malware (embora você precise desinstalar cada anti-malware). -software de software antes de tentar outro, já que vários softwares anti-malware tendem a entrar em conflito uns com os outros).

Espero que isso funcione; às vezes, é necessário fazer alguns esforços mais sérios para limpar a máquina com sucesso, o que pode envolver não inicializar a partir do dispositivo de armazenamento de longo prazo (por exemplo, "disco rígido", "unidade de estado sólido") você está usando atualmente pode estar suficientemente comprometido).

    
por 26.02.2017 / 16:37

Tags