悪意のあるソフトウェアの削除ツールが勝手に毎日起動する。

最終更新日

起動した覚えがないのに、ログには毎日記録が残っている。

悪意のあるソフトウェアの削除ツール (Malicious Software Removal Tool)
http://www.microsoft.com/ja-jp/security/pc-security/malware-removal.aspx

削除ツールのログの場所は、C:\Windows\debug\mrt.log

動作記録は2014年5月までは月1回だったのに対し、2014年6月11日からは毎日1~2回あります。(OSはWindows8)

Windows Updateで削除ツールを更新したときに自動的に実行されるため、月1回なら何もおかしくありません。(悪意のあるソフトウェアの削除ツールの使い方を参照)
手動で数回起動しましたが、毎日ではありません。

これに気づいた数日後、(他の問題で)PCのOSを再インストールしました。それでもやはり、削除ツールのログが毎日記録されています。Update時に更新失敗していたわけではないようです。

削除ツールに何か変更があったと考えられます。

Windows update時のmrt.log

Microsoft Windows Malicious Software Removal Tool v5.13, June 2014 (build 5.13.10300.0)
Started On Tue Jun 17 16:05:44 2014
Engine: 1.1.10600.0
Signatures: 1.175.1113.0

Results Summary:
----------------
No infection found.
Microsoft Windows Malicious Software Removal Tool Finished On Tue Jun 17 16:06:21 2014

Return code: 0 (0x0)

知らぬ間に動いていた時のmrt.log

Microsoft Windows Malicious Software Removal Tool v5.13, June 2014 (build 5.13.10300.0)
Started On Wed Jun 18 13:02:50 2014
Engine: 1.1.10600.0
Signatures: 1.175.1113.0

Microsoft Windows Malicious Software Removal Tool Finished On Wed Jun 18 13:04:18 2014

Return code: 0 (0x0)

※ リターンコード0 = 感染が見つからない

リターンコードの一覧
https://support.microsoft.com/ja-jp/help/891716/deployment-of-the-microsoft-windows-malicious-software-removal-tool-msrt-in-an-enterprise-environment#10

原因は削除ツールのタスク MRT_HB

MRT_HBというタスクが、タスクスケジューラのMicrosoft→Windows→RemovalToolsに登録されています。

このMRT_HBタスクにより、バックグラウンドで削除ツールのスキャンが行われていました。

タスクスケジューラ内にあるMRT_HBタスク

MRT_HBのプロパティ→操作タブをみると、C:\Windows\system32\MRT.exe /EHB /Qとあります。

MRT.exe = 悪意のあるソフトウェアの削除ツール
EHB については不明。
/Q はQuiet(無人)モード。UI表示なし。

MRT_HBタスク詳細MRT.exe コマンドラインオプション

履歴を有効にして、チェックしたところ、毎回10行記録されており、1回の所要時間は最短で10秒、最長で37秒程度でした。(OSはRaid0 HDDに入っています)

MRT_HBタスクが実行されるのは、自動メンテナンスの時。

削除ツールが活動した日時と、下の4つのタスクが実行された日時が一致しました。

タスクスケジューラ→Microsoft→Windows→TaskScheduler

  • Idle Maintenance
  • Maintenance Configurator
  • Manual Maintenance
  • Regulaer Maintenance

この4つはWindowsの自動メンテナンスタスクで、行われるタイミングはそれぞれ異なります。

上記の4つタスクは、Win8 ProとWin8.1 Proにはありましたが、Windows10 Homeにはありません。しかし、Windows10でも何らかのタイミングでMRT_HBタスクが実行されていることから、Maintenanceタスクと同様の働きをするものが存在するようです。

/EHBオプションの有無による違い。

/EHBオプションがどういう意味を持つものなのか、少しばかり調べてみました。

コマンドプロンプトでMRT.exeを実行し、Process Monitorでざっと比較。

/EHB オプションなし

UI表示なしのクイックスキャンのような感じ。

時間 1分18秒。イベント数 349,927

/EHB オプションあり

EHBオプションなしのときと比べて、作業内容が端折られ、スキャン範囲もかなり狭い。

時間 5秒。イベント数 18,175

MRT_HBタスクは危険なものではない。

MRT.exeは、Microsoft社のツールなので問題なし。(C:\Windows\system32フォルダ内にある場合)

MRT_HBタスクは、邪魔にならなければ有効のままで構わないと思います。

短時間ではありますがディスクアクセスが増えるため、予期しないときに動かれると困る場合は無効にしましょう。ついでに自動メンテナンスタスクの調整もするといいと思います。

手動で「悪意のあるソフトウェアの削除ツール」によるスキャンを実行したい場合は、C:\Windows\system32\mrt.exeを直接実行します。

MRT_HBタスクを無効にする方法

  1. タスクスケジューラを起動する。
  2. Microsoft→Windows→RemovalTools
    MRT_HBを右クリック→無効

注意

MRT_HBを無効にしても、その後に MRT.exe /EHB をコマンドで実行すると、再び有効になります。

また、Manual Maintenanceタスクを実行した場合も有効にされてしまいます。

MRT_HBタスクがあるのはWin8以降。

今の所、MRT_HBタスクが作られるのはWin8~Win10。Win7以前にはありません。(Serverは不明)

(我が家のPCの場合)

  • Windows8~Windows10 MRT_HBという項目がタスクスケジューラに追加されている。自動メンテナンス時に実行される。
  • Windows7 タスクスケジューラにはRemovalToolsというフォルダはあるが中身は空。MRT_HBタスクはなし。
  • XP タスクスケジューラにMRT.exe関連のフォルダやタスクはなし。
関連記事