在 Windows Server KB890830 自動維護上禁用或解除安裝惡意軟體刪除工具
我們有一個腳本拒絕我們的本地 Windows 更新伺服器的KB890830 更新,但我們最近發現有人在腳本執行之前批准了每月更新之一,並且惡意軟體刪除工具 (MRT) 已安裝在我們所有的伺服器上。
我們過去曾遇到過 MRT 問題並想將其刪除,但現在腳本已拒絕更新,我們在該部分下找不到任何
View installed updates內容來刪除它。我們也嘗試執行wusa.exe /uninstall /KB:890830,但它返回了錯誤:此電腦上未安裝更新 KB890830。
根據
C:\Windows\debug\mrt.log,C:\Windows\System32\MRT.exe每天在控制面板的“操作中心”部分中定義的“自動維護”視窗中執行。因此,它肯定已安裝並每天執行。我嘗試使用SysInternals AutoRuns並查看計劃任務,但無法找到它的啟動位置。
我們如何禁用或解除安裝 Windows 伺服器上的惡意軟體刪除工具以防止其執行?
原來自動維護任務由文件夾
C:\Windows\System32\MSchedExe.exe下的計劃任務管理。\Microsoft\Windows\TaskScheduler然後它將執行已定義但沒有指定觸發器的其他任務,其中一個MRT_HB是\Microsoft\Windows\RemovalTools\.
在這裡您可以看到它呼叫 MRT.exe 來執行掃描,並且上次執行時間與來自操作中心的資訊匹配:
如果您禁用此計劃任務,它應該會阻止惡意軟體刪除工具執行。您還可以在提升的 PowerShell 提示符下使用以下命令刪除任務和 MRT.exe 程序:
Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false Remove-Item 'C:\Windows\System32\MRT.exe' -Force但是請注意,如果您沒有在 WSUS 中或通過系統資料庫禁用 KB890830 更新,它可能會被重新安裝,因為 MRT 會在每個星期二更新更新檔。
