本文主要是介绍WIN2008R2 任务计划已损坏或被篡改问题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、概述
部分客户的内网环境在2017年遭受大规模“永恒之蓝”攻击,时至今日,依旧有残留存在,比较严重的是进程中有大量的powershell.exe进程,CPU经常出现100%,客户反映“卡死”现象。经过排查,windows任务计划程序已损坏,并且发现大量的恶意脚本,具体解决方法如下。如有不足之处,欢迎网友指出。
二、问题现象
三、解决思路(建议断网后操作)
1、以管理员身份运行cmd,并输入chcp 437
2、在cmd下输入指令,将返回损坏的任务计划程序名称
在chcp 437状态下输入命令,这里的437指的是MS-DOS 美国英语,936 是简体中文
schtasks /query /v | find /i "ERROR: Task cannot be loaded:"
3、删除任务计划程序目录下的可疑文件
C:\Windows\System32\Tasks
C:\Windows\System32\Tasks\Microsoft\Windows
4、以管理员身份运行regedit,打开注册表
按照第2、3步骤找到的任务计划名称进行搜索,找到后直接删除可疑项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows
5、重启计算机,查看问题是否解决
为保险起见,建议重启计算机后,再用杀软全盘查杀两遍
这篇关于WIN2008R2 任务计划已损坏或被篡改问题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
