在Windows Server上禁用或卸载恶意软件删除工具KB890830自动维护
我们有一个脚本会拒绝我们内部部署的Windows更新服务器的KB890830更新 ,但是最近我们发现有人批准了其中一个月度更新,之后脚本可能会运行,并且恶意软件清除工具(MRT)已安装在我们所有的服务器上。
我们过去曾经遇到MRT问题,希望将其删除,但是现在脚本拒绝了更新,我们在“ View installed updates部分下找不到任何东西来删除它。 我们也尝试运行wusa.exe /uninstall /KB:890830但是它返回了错误:
此计算机上未安装更新KB890830。
根据C:\Windows\debug\mrt.log ,在控制面板的“操作中心”部分定义的“自动维护”窗口中每天运行C:\Windows\System32\MRT.exe 。 所以它肯定是安装和每天运行。
- 你可以不申请一个木偶清单行动?
- 卸载设备或资源繁忙; 已经尝试过:mount,lsof,fuser,exportfs,ps axf
- 如何在centos x64 linux系统上卸载JDK
- 通过本地pipe理员使程序不可卸载
- 在迁移到Google Apps后正确地移除Exchange? 或者离开它?
我尝试使用SysInternals AutoRuns并查看计划任务,但无法find启动的位置。
我们如何禁用或卸载我们的Windows服务器上的恶意软件删除工具,以防止它运行?
发现自动维护任务由C:\Windows\System32\MSchedExe.exe和\Microsoft\Windows\TaskScheduler文件夹下的计划任务pipe理。 然后它将运行已定义的其他任务,但没有指定的触发器,其中一个是\Microsoft\Windows\RemovalTools\下的MRT_HB任务。
在这里,您可以看到它调用MRT.exe来运行扫描,并且最后一次运行时间与来自操作中心的信息相匹配:
如果您禁用此计划任务它应该防止恶意软件删除工具运行。 您还可以在提升的PowerShell提示符下使用以下命令删除任务和MRT.exe程序:
Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false Remove-Item 'C:\Windows\System32\MRT.exe' -Force
但是,请注意,如果您尚未禁用WSUS中的KB890830更新或通过registry,则可能会重新安装,因为周二每个补丁都会更新MRT。