我们有一个脚本可以拒绝KB890830 更新用于我们的内部部署 Windows 更新服务器,但我们最近发现有人在脚本运行之前批准了其中一项每月更新,并且恶意软件删除工具 (MRT) 已安装在我们所有的服务器上。
我们过去曾遇到过 MRT 问题并想将其删除,但现在脚本拒绝了更新,我们在部分下找不到任何View installed updates可以删除它的内容。我们也尝试运行,wusa.exe /uninstall /KB:890830但它返回了错误:
此计算机上未安装更新 KB890830。
根据C:\Windows\debug\mrt.log,C:\Windows\System32\MRT.exe在控制面板操作中心部分定义的“自动维护”窗口中每天运行。因此,它肯定已安装并每天运行。
我尝试使用SysInternals 自动运行并查看了计划任务,但无法找到它从哪里启动。
我们如何禁用或卸载 Windows 服务器上的恶意软件删除工具以阻止其运行?
答案1
C:\Windows\System32\MSchedExe.exe事实证明,自动维护任务由文件夹下的计划任务管理\Microsoft\Windows\TaskScheduler。然后它将运行已定义但没有指定触发器的其他任务,其中一个任务是MRT_HB下的任务\Microsoft\Windows\RemovalTools\。
在这里你可以看到它调用MRT.exe来运行扫描,并且上次运行时间与操作中心的信息相符:
如果禁用此计划任务,则应阻止恶意软件删除工具运行。您还可以在提升的 PowerShell 提示符中使用以下命令删除任务和 MRT.exe 程序:
Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false
Remove-Item 'C:\Windows\System32\MRT.exe' -Force
但请注意,如果你没有在 WSUS 中或通过注册表它很可能会被重新安装,因为 MRT 每周二都会更新补丁。