在Windows Server KB890830自动维护上禁用或卸载恶意软件删除工具

Modified on: Thu, 22 Aug 2019 19:20:02 +0800

我们有一个拒绝KB890830更新的脚本对于我们的内部部署Windows Update Server,但我们最近发现有人在脚本运行之前批准了每月更新之一,并且在我们的所有服务器上都安装了恶意软件删除工具(MRT)。

我们过去曾遇到过MRT的问题,并希望将其删除,但现在该脚本已拒绝更新,我们无法在View installed updates部分下找到任何内容以将其删除。我们还尝试运行wusa.exe /uninstall /KB:890830,但它返回错误:

  

此计算机上未安装更新KB890830。

根据C:\Windows\debug\mrt.log,在“自动维护”期间每天运行C:\Windows\System32\MRT.exe “控制面板的”操作中心“部分中定义的窗口。所以它肯定是每天安装和运行的。

我尝试使用SysInternals AutoRun并查看预定任​​务但是无法找到它的起点。

我们如何在Windows服务器上禁用或卸载恶意软件删除工具以防止其运行?

最佳答案

原来,自动维护任务由C:\Windows\System32\MSchedExe.exe\Microsoft\Windows\TaskScheduler文件夹下的Scheduled Tasks管理。然后它将运行已定义但没有指定触发器的其他任务,一个是MRT_HB下的\Microsoft\Windows\RemovalTools\任务。

在这里,您可以看到它调用MRT.exe来运行扫描,最后一次运行时匹配来自操作中心的信息:

如果禁用此计划任务,则应阻止恶意软件删除工具运行。您还可以在提升的PowerShell提示符中使用以下命令删除任务和MRT.exe程序:

Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false
Remove-Item 'C:\Windows\System32\MRT.exe' -Force

但是,请注意,如果您尚未在WSUS中禁用KB890830更新,或者通过注册表,则可能会重新安装,因为MRT每周二都会更新。


相关问答

添加新评论