У нас есть скрипт, который отклоняет KB890830 обновлений для нашего локального сервера обновлений Windows, но недавно мы обнаружил, что кто-то утвердил одно из ежемесячных обновлений до запуска сценария и установки средства удаления вредоносных программ (MRT) на все наши серверы.
У нас были проблемы с MRT в прошлом, и мы хотим удалить его, но теперь сценарий отклонил обновление, и мы не можем найти ничего в разделе Просмотреть установленные обновления
, чтобы удалить его. Мы также попытались запустить wusa.exe / uninstall / KB: 890830
, но он вернул ошибку:
Обновление KB890830 не установлено на этом компьютере.
Согласно C: \ Windows \ debug \ mrt.log
, C: \ Windows \ System32 \ MRT.exe
запускается ежедневно во время окна «Автоматическое обслуживание», определенного в разделе «Центр действий» панели управления. Так что он определенно установлен и запускается ежедневно.
Я попытался использовать SysInternals AutoRuns и просмотрел запланированные задачи, но не смог найти, где он запускался.
Как мы можем отключить или удалить средство удаления вредоносных программ на наших серверах Windows, чтобы предотвратить его запуск?
Оказывается, задачи автоматического обслуживания управляются с помощью C: \ Windows \ System32 \ MSchedExe.exe
и запланированные задачи в папке \ Microsoft \ Windows \ TaskScheduler
.Затем он будет запускать другие задачи, которые определены, но не имеют указанного триггера, одной из которых является задача MRT_HB
в папке \ Microsoft \ Windows \ RemovalTools \
.
Здесь вы можете увидеть, что он вызывает MRT.exe для запуска сканирования, а время последнего выполнения совпадает с информацией из Центра действий:
Если вы отключите эту запланированную задачу, это должно помешать запуску средства удаления вредоносных программ. Вы также можете удалить задачу и программу MRT.exe, используя следующую команду в командной строке PowerShell с повышенными привилегиями:
Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false
Remove-Item 'C:\Windows\System32\MRT.exe' -Force
Обратите внимание, однако, если вы не отключили обновление KB890830 в WSUS или через реестр скорее всего, он будет переустановлен, поскольку MRT обновляется каждый вторник.