一、概述
部分客户的内网环境在2017年遭受大规模“永恒之蓝”攻击,时至今日,依旧有残留存在,比较严重的是进程中有大量的powershell.exe进程,CPU经常出现100%,客户反映“卡死”现象。经过排查,windows任务计划程序已损坏,并且发现大量的恶意脚本,具体解决方法如下。如有不足之处,欢迎网友指出。
二、问题现象
三、解决思路(建议断网后操作)
1、以管理员身份运行cmd,并输入chcp 437
2、在cmd下输入指令,将返回损坏的任务计划程序名称
在chcp 437状态下输入命令,这里的437指的是MS-DOS 美国英语,936 是简体中文
schtasks /query /v | find /i "ERROR: Task cannot be loaded:"
3、删除任务计划程序目录下的可疑文件
C:\Windows\System32\Tasks
C:\Windows\System32\Tasks\Microsoft\Windows
4、以管理员身份运行regedit,打开注册表
按照第2、3步骤找到的任务计划名称进行搜索,找到后直接删除可疑项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows
5、重启计算机,查看问题是否解决
为保险起见,建议重启计算机后,再用杀软全盘查杀两遍