Désactiver ou désinstaller l'outil de suppression de logiciels malveillants sur Windows Server KB890830 Maintenance automatique
Nous avons un script qui décline mises à jour KB8908 pour notre serveur Windows Update sur site, mais nous avons récemment trouvé quelqu'un approuvé une des mises à jour mensuelles avant que le script puisse s'exécuter et que l'outil de suppression de logiciels malveillants (MRT) était installé sur tous nos serveurs.
Nous avons eu des problèmes avec MRT dans le passé et nous voulons le supprimer, mais maintenant le script a refusé la mise à jour et nous ne pouvons rien trouver sous le View installed updates section pour le supprimer. Nous avons également essayé d'exécuter wusa.exe /uninstall /KB:890830 mais il a renvoyé l'erreur:
La mise à jour KB890830 n'est pas installée sur cet ordinateur.
Selon le C:\Windows\debug\mrt.log, C:\Windows\System32\MRT.exe est exécuté quotidiennement pendant la fenêtre "Maintenance automatique" définie dans la section Action Center du panneau de commande. Il est donc définitivement installé et exécuté quotidiennement.
J'ai essayé d'utiliser SysInternals AutoRuns et de regarder les tâches planifiées mais je n'ai pas pu trouver où il était démarré.
Comment désactiver ou désinstaller l'outil de suppression de logiciels malveillants sur nos serveurs Windows pour l'empêcher de fonctionner?
Il s'avère que les tâches de maintenance automatique sont gérées par C:\Windows\System32\MSchedExe.exe et les tâches planifiées sous \Microsoft\Windows\TaskScheduler dossier. Il exécutera ensuite d'autres tâches définies mais qui n'ont pas de déclencheur spécifié, l'une étant le MRT_HB tâche sous \Microsoft\Windows\RemovalTools\.
Ici, vous pouvez le voir appeler MRT.exe pour exécuter l'analyse, et la dernière exécution correspond aux informations du Centre de maintenance:
Si vous désactivez cette tâche planifiée, cela devrait empêcher l'exécution de l'outil de suppression de logiciels malveillants. Vous pouvez également supprimer la tâche et le programme MRT.exe à l'aide des éléments suivants dans une invite PowerShell élevée:
Unregister-ScheduledTask -TaskName 'MRT_HB' -TaskPath '\Microsoft\Windows\RemovalTools\' -Confirm:$false
Remove-Item 'C:\Windows\System32\MRT.exe' -Force
Notez toutefois que si vous n'avez pas désactivé la mise à jour KB890830 dans WSUS ou via le registre , elle sera probablement réinstallée, car MRT est mis à jour chaque correctif mardi.