Как остановить неостанавливаемый сервис Windows 7?

32

Недавно я установил программу, которая развертывает агент, который «защищает» от периферийных устройств. На самом деле он блокирует любой носитель, который я подключаю к своему ПК.

Я провел некоторую проверку и обнаружил, что название этой службы блокирует мои периферийные устройства. Поэтому, естественно, я пытался остановить это.

Сначала я попробовал sc stop, но мне было отказано в доступе. Попытка сделать это services.mscприведет к тому, что у меня даже не будет привилегии использовать остановку на этом сервисе. Тот же ответ taskkill: Доступ запрещен ... Тогда я решил, что попробую получить net stopсообщение 2191, которое, если я попытаюсь net helpmsg 2191, не даст никакой информации. Затем я решил заняться серфингом в Superuser и узнал об этом pstools. Но как только я пытаюсь переключиться с помощью команды cmd, psexec -s cmdя получаю сообщение:

Couldn't install PsExec service: access is denied.

Странно, если я пытаюсь использовать только psexecэто, он подсказывает мне справочную информацию. Так что это опять тупик.

После всех этих неудач я решил просто удалить его из автозагрузки, верно? Поэтому я открываю msconfigи удаляю сервис из автозагрузки, сохраняю и, наконец, перезагружаюсь. К сожалению, когда компьютер перезагружается, сервис тоже работает. К тому времени, когда я смогу получить доступ к диспетчеру задач, служба уже работает. Хотя не могу себе представить, как.

Все эти ошибки доступа заставили меня подумать, что у меня могут не быть необходимых привилегий или чего-то еще, но моя учетная запись пользователя установлена ​​как администратор, поэтому я думаю, что больше ничего не могу поделать.

windows-7 windows administrator Калин Пол Александру
источник
8
Мне нравится название этого вопроса: «НЕЗАКОННЫЙ» Windows-сервис. Должен любить окна.
Мусааб
1
Возможно ли, что эта служба перезапускается на основе планировщика задач? если я скажу что-нибудь глупое, просто скажи мне что-то умное, я новичок в 7, и мне нужно выучить некоторые из этих вещей.
Psycogeek

Ответы:

32

Многие программы безопасности устанавливают специальный драйвер, который перехватывает любые изменения в его службах и процессах.

Однако драйвер обычно не загружается в безопасном режиме, поэтому вы можете отключить службу там. Если служба все еще запускается после перезагрузки, вы можете найти и отключить драйвер в диспетчере устройств. Драйвер такого типа обычно находится в разделе «Драйверы, не поддерживающие технологию Plug-and-Play», который можно просмотреть, выбрав «Показать скрытые устройства» в меню «Вид». Имя драйвера обычно хорошо известно каждому провайдеру.

billc.cn
источник
9

Как насчет открытия regedit.exeи перейти к

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Чем поменять сервис на отключение (думаю, это можно сделать, изменив значение «Старт» на 4).

Допустимые Startтипы услуг :

  • SERVICE_BOOT_START(0): драйвер устройства, запускаемый системным загрузчиком. Это значение действительно только для услуг водителя.
  • SERVICE_SYSTEM_START(1): драйвер устройства, запускаемый функцией IoInitSystem. Это значение действительно только для услуг водителя.
  • SERVICE_AUTO_START(2): служба запускается автоматически диспетчером управления службами во время запуска системы. Для получения дополнительной информации см. Автоматический запуск служб .
  • SERVICE_DEMAND_START(3): служба, запускаемая диспетчером управления службами, когда процесс вызывает функцию StartService . Для получения дополнительной информации см. Запуск служб по запросу .
  • SERVICE_DISABLED(4): служба, которая не может быть запущена. Попытки запустить службу приводят к коду ошибки ERROR_SERVICE_DISABLED .
ТКС
источник
1
Не позволяет изменить это также.
Пиюш Сони
1
@PiyushSoni Тогда вы должны стать владельцем этого реестра с помощью SetAcl.
Biswapriyo
@Biswapriyo Насколько это безопасно? Поврежденная рабочая станция может быть немного неудачей.
Самис
8

Используйте taskkillкоманду, за которой следует идентификатор процесса службы. Это убьет службу.

Naresh
источник
4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
СломанныйРетина
3
Запустите командную строку от имени администратора и запустите, taskkill /F /PID <pid>и это работает.
Чт
2
Нет. В некоторых случаях (например, тот, с которым я имею дело) этого недостаточно. Я работал cmdот имени администратора и все еще получаю сообщение об ошибке «Отказано в доступе».
iX3
1

Вы пытались открыть Services.msc от имени администратора или запустить командную строку с повышенными привилегиями? Это должно дать вам необходимые разрешения, чтобы остановить задачу.

Джо Тейлор
источник
2
Запуск services.msc под администратором, похоже, не имеет никакого значения. Почему бы и повышенная командная строка работать, и какой из них вы рекомендуете?
Калин Пол Александру
Другое, что нужно сделать, это выяснить, какие разрешения есть у задачи, которую вы пытаетесь убить. Это может позволить только определенным пользователям прекратить процесс. Встроенный, чтобы защитить это.
Джо Тейлор
Хорошо, но я уже администратор, у какого пользователя могут быть некоторые привилегии, которых нет у администратора? Также задача помечается как неиспользуемая, неиспользуемая, но допускает отключение. Я действительно не знаю, как «отключить» службу, и Google, кажется, помогает в этом.
Калин Пол Александру
думая, что это работает в песочнице AV.
RobotHumans
Некоторые задачи требуют запуска командной строки от имени администратора, даже если пользователь является администратором. Они просто не будут работать без. Вы проверили настройки безопасности запущенного процесса? Вам может потребоваться быть участником определенной группы, чтобы завершить процесс. Некоторые AV используют это для защиты.
Джо Тейлор
1

Автозапуск выполняется в администраторе, что позволяет отключить службы при запуске.

герцог
источник
0

Это может быть проблема с разрешением.

Нажмите Пуск, Службы, Shift + правый щелчок на Службы, Запуск от имени администратора или Запуск от имени другого пользователя.

живи любя
источник
0

  1. Загрузитесь в Linux, смонтируйте раздел Windows, загрузите куст реестра и отключите службу через реестр.

  2. Если это не сработает, просто удалите или переименуйте EXE-файл, который запускает служба.

ТКС
источник
0

Некоторые службы не принимают SERVICE_ACCEPT_STOPсообщения к тому времени, когда они были разработаны. И это жестко запрограммировано в исполняемый файл. Период. Обходной путь может состоять в том, чтобы не запускать его, и, поскольку вы не можете изменить его свойства, принудительно сделайте следующее:

  1. Загрузка в безопасном режиме (пользователям Windows 10 может потребоваться msconfig> boot> safe boot)
  2. Зарегистрируйтесь в HKLM> Система> ControlSet001> Услуги
  3. Найдите вашу запись службы
  4. Измените ключ «Пуск» на 3 (ручной запуск) или 4 (отключен)

Если вы не можете изменить запись, щелкните правой кнопкой мыши имя службы на левой панели, выберите «Разрешения», проверьте, что «Все» имеют полный доступ, и повторите шаг 4 снова.

Не забудьте снова отключить безопасную загрузку из msconfig и перезагрузиться!

вортал
источник
-1

Загрузитесь в безопасном режиме. Нажмите начать. услуги типа отключить службы EDPA и WDP

в программных файлах (x86) - удалить папку производителя.

mactech6
источник