WIN2008R2 任务计划已损坏或被篡改问题

一、概述

部分客户的内网环境在2017年遭受大规模“永恒之蓝”攻击，时至今日，依旧有残留存在，比较严重的是进程中有大量的powershell.exe进程，CPU经常出现100%，客户反映“卡死”现象。经过排查，windows任务计划程序已损坏，并且发现大量的恶意脚本，具体解决方法如下。如有不足之处，欢迎网友指出。

二、问题现象

三、解决思路（建议断网后操作）

1、以管理员身份运行cmd，并输入chcp 437

2、在cmd下输入指令，将返回损坏的任务计划程序名称

在chcp 437状态下输入命令，这里的437指的是MS-DOS 美国英语，936 是简体中文

schtasks /query /v | find /i "ERROR: Task cannot be loaded:"

3、删除任务计划程序目录下的可疑文件

C:\Windows\System32\Tasks
C:\Windows\System32\Tasks\Microsoft\Windows

4、以管理员身份运行regedit，打开注册表

按照第2、3步骤找到的任务计划名称进行搜索，找到后直接删除可疑项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows

5、重启计算机，查看问题是否解决

为保险起见，建议重启计算机后，再用杀软全盘查杀两遍