Отключить или удалить средство удаления вредоносных программ на Windows Server KB890830 Автоматическое обслуживание
У нас есть сценарий, который отказывается KB890830 обновления для нашего локального сервера обновлений Windows, но недавно мы обнаружили, что кто-то одобрил одно из ежемесячных обновлений, прежде чем скрипт сможет запускаться, и на всех наших серверах было установлено средство удаления вредоносных программ (MRT).
У нас были проблемы с MRT в прошлом, и мы хотим их удалить, но теперь скрипт отклонил обновление, и мы не можем найти ничего под View installed updates раздел, чтобы удалить его. Мы также пробовали запустить wusa.exe /uninstall /KB:890830 но он вернул ошибку:
Обновление KB890830 не установлено на этом компьютере.
Согласно C:\Windows\debug\mrt.log, C:\Windows\System32\MRT.exe запускается ежедневно в окне «Автоматическое обслуживание», определенном в разделе «Центр поддержки» панели управления. Так что он определенно установлен и используется ежедневно.
Я пробовал использовать Автозапуск SysInternals и просматривал запланированные задачи, но не мог найти, с чего они начинались.
Как мы можем отключить или удалить средство удаления вредоносных программ на наших серверах Windows, чтобы предотвратить его запуск?
Оказывается, задачами автоматического обслуживания управляет C:\Windows\System32\MSchedExe.exe и запланированные задачи под \Microsoft\Windows\TaskScheduler папка. Затем он будет запускать другие задачи, которые определены, но не имеют указанного триггера, одним из которых является MRT_HB задача под \Microsoft\Windows\RemovalTools\.
Здесь вы можете увидеть, как он вызывает MRT.exe для запуска сканирования, а время последнего выполнения соответствует информации из Центра поддержки:
Если вы отключите это запланированное задание, оно должно помешать запуску средства удаления вредоносных программ. Вы также можете удалить задачу и программу MRT.exe, используя следующее в командной строке PowerShell с повышенными привилегиями:
Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false
Remove-Item 'C:\Windows\System32\MRT.exe' -Force
Однако обратите внимание, что если вы не отключили обновление KB890830 в WSUS или через реестр скорее всего, он будет переустановлен, поскольку MRT обновляется каждый вторник.