原理:
唔知有冇人同我一样咁认为MSE(Microsoft Security Essentials)的MpIdleTask好烦,使鬼你得闲同我扫,又唔俾人设置,会原地复活先激气。
忍唔住留意咗佢的日志几日,揾到规律了,用“任务计划程序”来自动删佢,你加一次就自动删一次,以后都唔使烦。
原理是利用Microsoft Antimalware的事件日志,事件ID 1013,呢个事件肯定会触发原地复活,同样我地一样可以利用呢个事件来要你死多次。
方法:
1,用管理员账号打开“任务计划程序”,进入Microsoft -> Microsoft Antimalware。
2,右键新建任务:
常规:
名称:随便,如 del MpIdleTask
位置:\Microsoft\Microsoft Antimalware(默认,如果系根目录建立的话是“\”)
安全选项:
选中“不管用户是否登陆都要运行”
下边选中“使用最高权限运行”
触发器:
新建。
新建触发器:
开始任务:发生事件时
选中“自定义”,再“新建事件筛选器”。
新建事件筛选器:
事件级别:选中“信息”
下边选中“按源”,事件来源找到“Microsoft Antimalware”,下边所有事件ID输入,1013
XML参考:
1 2 3 4 5 |
<QueryList> <Query Id="0" Path="System"> <Select Path="System">*[System[Provider[@Name='Microsoft Antimalware'] and (Level=4 or Level=0) and (EventID=1013)]]</Select> </Query> </QueryList> |
现在先确定,保存触发器,再双击打开,高级设置,选中“延迟任务时间”,“30秒”够了,再确定保存。
(点解要分开两步?因为果个白痴程序系第一次确定果阵唔会保存高级设置。)
另外可以再添加一个事件ID为 2000(更新病毒库后)。
操作:
新建。
操作:启动程序
程序或脚本:schtasks
添加参数:
1 |
/delete /tn "MpIdleTask" /f |
注意:之前如果系根目录建立的话最好用全路径:
1 |
/delete /tn "Microsoft\Microsoft Antimalware\MpIdleTask" /f |
条件:
去掉电源的选中。
OK,咁就得了,顺手删咗MpIdleTask佢,以后就乜都唔使理了。
Microsoft System Center 2012 Endpoint Protection
客户端系事件方面唔同咗,不过佢有定期自检的日志“EventID=1150”,直接用上边的XML改下ID加条新触发就OK。