我们有一个脚本拒绝我们的本地 Windows 更新服务器的KB890830 更新,但我们最近发现有人在脚本运行之前批准了每月更新之一,并且恶意软件删除工具 (MRT) 已安装在我们所有的服务器上。
我们过去曾遇到过 MRT 问题并想将其删除,但现在脚本已拒绝更新,我们在该部分下找不到任何View installed updates内容来删除它。我们也尝试运行wusa.exe /uninstall /KB:890830,但它返回了错误:
此计算机上未安装更新 KB890830。
根据C:\Windows\debug\mrt.log,C:\Windows\System32\MRT.exe每天在控制面板的“操作中心”部分中定义的“自动维护”窗口中运行。因此,它肯定已安装并每天运行。
我尝试使用SysInternals AutoRuns并查看计划任务,但无法找到它的启动位置。
我们如何禁用或卸载 Windows 服务器上的恶意软件删除工具以防止其运行?
原来自动维护任务由文件夹
C:\Windows\System32\MSchedExe.exe下的计划任务管理。\Microsoft\Windows\TaskScheduler然后它将运行已定义但没有指定触发器的其他任务,其中一个MRT_HB是\Microsoft\Windows\RemovalTools\.在这里您可以看到它调用 MRT.exe 来运行扫描,并且上次运行时间与来自操作中心的信息匹配:
如果您禁用此计划任务,它应该会阻止恶意软件删除工具运行。您还可以在提升的 PowerShell 提示符下使用以下命令删除任务和 MRT.exe 程序:
但是请注意,如果您没有在 WSUS 中或通过注册表禁用 KB890830 更新,它可能会被重新安装,因为 MRT 会在每个星期二更新补丁。