edit: nelaborovat a použít GWX control panel http://ultimateoutsider.com/downloads/
—–
Lze běžně najít na google, že stačí odebrat aktualizaci KB3035583, ale ve skutečnosti je jich víc a toto samo nestačí.
Celý cirkus se skrývá za zkratkou GWX, pokud se podíváte na automaticky startované úlohy přes msconfig tak to tam nenajdete.
Startovací mechanismus je jiný a je ukryt v plánovači úloh – cesta je \setup\GWX a \setup\gwxtriggers, a ani tady to Microsoft neudělal jednoduché (mám z toho pocit jako z rootkitu) , protože ani lokální admin nemá oprávnění to smazat.
Takže to smazat jako LOCAL SYSTEM:
- stáhnout PsTools z https://download.sysinternals.com/files/PSTools.zip
- vyzipovat psexec.exe
- spustit si jako systém comand prompt: PsExec.exe -s -i cmd.exe (přes whoami si lze ověřit že je spuštěn jako nt authority\systém)
- spustit z tohoto cmd plánovač: start %windir%\system32\taskschd.msc /s
- odstranit úlohy pod složkami \setup\GWX a \setup\gwxtriggers a pak i tyto složky.
- pak z normálního prostředí killnout ve správci úloh proces gwx*.
- převzít vlastnictví a zvednou oprávnění na c:\windows\system32\gwx a smazat
A je to hotovo…tak teď je jasné proč to vypadá jako rootkit, ne?
edit: druhá možnost je killnout gwx proces a smazat 3 složky –
c:\windows\system32\gwx
c:\Windows\System32\Tasks\Microsoft\Windows\Setup\gwx
c:\Windows\System32\Tasks\Microsoft\Windows\Setup\gwxtriggers
Všechny jsou samozřejmě s převzetím vlastnictví a nastavením oprávnění….a je klid
Jen pro pobavení 100 miliónů lidí co si to nacpali na svůj komp….
Edit: ještě další úložiště plánovače:
C:\Windows\System32\Tasks (to už známe)
a registry…
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Schedule\Taskcache\Tasks
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Schedule\Taskcache\Tree
