Question Désactiver ou désinstaller l'outil de suppression de logiciels malveillants sur la maintenance automatique de Windows Server KB890830


Nous avons un script qui décline KB890830 mises à jour pour notre serveur Windows Update sur site, mais nous avons récemment trouvé une personne qui avait approuvé l'une des mises à jour mensuelles avant que le script puisse s'exécuter et que l'outil de suppression de logiciels malveillants (MRT) ne soit installé sur tous nos serveurs.

Nous avons eu des problèmes avec MRT dans le passé et voulons le supprimer, mais maintenant le script a refusé la mise à jour et nous ne trouvons rien dans la liste. View installed updates section pour l'enlever. Nous avons aussi essayé de courir wusa.exe /uninstall /KB:890830 mais il a renvoyé l'erreur:

La mise à jour KB890830 n'est pas installée sur cet ordinateur.

Selon le C:\Windows\debug\mrt.log, C:\Windows\System32\MRT.exe est exécuté quotidiennement dans la fenêtre "Maintenance automatique" définie dans la section Centre d’action du panneau de configuration. Donc, il est définitivement installé et exécuté quotidiennement.

J'ai essayé d'utiliser SysInternals AutoRuns et en regardant les tâches planifiées, mais n'a pas pu trouver où il était commencé.

Comment pouvons-nous désactiver ou désinstaller l'outil de suppression de logiciels malveillants sur nos serveurs Windows pour l'empêcher de s'exécuter?


6
2018-02-24 01:00


origine




Réponses:


Il s'avère que les tâches de maintenance automatique sont gérées par C:\Windows\System32\MSchedExe.exe et les tâches planifiées sous la \Microsoft\Windows\TaskScheduler dossier. Il exécutera ensuite d’autres tâches définies mais pour lesquelles aucun déclencheur n’est spécifié, l’un étant le déclencheur. MRT_HB tâche sous \Microsoft\Windows\RemovalTools\.

Malicious Software Removal Tool Scheduled Task

Vous pouvez voir ici qu'il appelle MRT.exe pour exécuter l'analyse et que la dernière heure d'exécution correspond aux informations du Centre de maintenance:

Action Center Last Run Date

Si vous désactivez cette tâche planifiée, cela devrait empêcher l'exécution de l'outil de suppression de logiciels malveillants. Vous pouvez également supprimer la tâche et le programme MRT.exe à l'aide des éléments suivants dans une invite PowerShell avec privilèges élevés:

Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false
Remove-Item 'C:\Windows\System32\MRT.exe' -Force

Notez cependant que si vous n'avez pas désactivé la mise à jour KB890830 dans WSUS ou via le registre il sera probablement réinstallé, car MRT sera mis à jour tous les correctifs mardi.


6
2018-02-24 01:00



Bon à savoir! Merci @GregBray - SmithPlatts