Come fermare un servizio Windows 7 inarrestabile?

32

Di recente ho installato un programma che distribuisce un agente che "protegge" dalle periferiche. Ciò che effettivamente fa a questo punto è bloccare qualsiasi tipo di supporto che collego al mio PC.

Ho fatto qualche controllo e ho trovato il nome di questo servizio che blocca le mie periferiche. Quindi, naturalmente, ho provato a fermarlo.

Per prima cosa ho provato sc stop, ma mi è stato negato l'accesso. Cercare di farlo services.mscnon mi darà nemmeno il privilegio di usare stop su quel servizio. Stessa risposta da taskkill: Accesso negato ... Quindi ho pensato di provare a net stopottenere il messaggio 2191 che se provo net helpmsg 2191non fornisce alcuna informazione. Ho quindi deciso di navigare su Superuser e ho scoperto questi pstools. Ma non appena provo a fare l'interruttore cmd con psexec -s cmdottengo il messaggio:

Couldn't install PsExec service: access is denied.

Stranamente, se provo ad usare solo psexecquesto mi richiede le informazioni di aiuto. Quindi questo è stato di nuovo un vicolo cieco.

Dopo tutti questi fallimenti ho deciso di rimuoverlo dall'avvio giusto? Quindi apro msconfige rimuovo il servizio all'avvio, salvo e infine riavvio. Sfortunatamente, quando il PC si riavvia, anche il servizio funziona. Quando posso accedere al task manager il servizio è già in esecuzione, di nuovo. Non riesco davvero a immaginare come.

Tutti questi errori di accesso mi hanno fatto pensare che potrei non avere i privilegi richiesti o qualcosa del genere, ma il mio account utente è impostato come amministratore, quindi penso che non ci sia altro da fare.

windows-7  windows  administrator 
Calin Paul Alexandru
fonte
8
Adoro il titolo di questa domanda: servizio windows "UNSTOPPABLE". Devo amare Windows.
Musaab,
1
è possibile che questo servizio venga riavviato in base all'utilità di pianificazione? se dico qualcosa di stupido, ditemi invece qualcosa di intelligente, sono nuovo a 7 e ho bisogno di imparare alcune di queste stesse cose.
Psycogeek,

Risposte:

32

Molti software di sicurezza installano un driver speciale che intercetta qualsiasi modifica ai suoi servizi e processi.

Tuttavia, il driver non viene normalmente caricato in modalità provvisoria, quindi è possibile disabilitare il servizio lì. Se il servizio è ancora avviato dopo il riavvio, è possibile che si desideri trovare e disabilitare il driver in Gestione dispositivi. Questo tipo di driver è normalmente nella sezione "Driver non plug-and-play" che è visualizzabile selezionando "Mostra dispositivi nascosti" dal menu Visualizza. Il nome del driver è normalmente noto per ciascun provider.

billc.cn
fonte
9

Che dire di aprire regedit.exee andare a

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Quindi modifica il servizio da disabilitare (penso che puoi farlo modificando il valore "Avvia" in 4).

I Starttipi di servizi validi sono:

  • SERVICE_BOOT_START(0): un driver di dispositivo avviato dal caricatore di sistema. Questo valore è valido solo per i servizi conducente.
  • SERVICE_SYSTEM_START(1): un driver di dispositivo avviato dalla funzione IoInitSystem. Questo valore è valido solo per i servizi conducente.
  • SERVICE_AUTO_START(2): un servizio avviato automaticamente dal gestore controllo servizi durante l'avvio del sistema. Per ulteriori informazioni, consultare Avvio automatico dei servizi .
  • SERVICE_DEMAND_START(3): un servizio avviato dal gestore controllo servizi quando un processo chiama la funzione StartService . Per ulteriori informazioni, consultare Avvio di servizi su richiesta .
  • SERVICE_DISABLED(4): un servizio che non può essere avviato. Tentativi di avviare il risultato del servizio nel codice di errore ERROR_SERVICE_DISABLED .
TCS
fonte
1
Non consente di cambiare anche quello.
Piyush Soni,
1
@PiyushSoni Quindi dovresti assumere la proprietà di quel registro con SetAcl.
Biswapriyo,
@Biswapriyo Ma quanto è sicuro? Una workstation corrotta può essere un po 'una battuta d'arresto.
samis,
8

Utilizzare il taskkillcomando seguito dall'ID del processo del servizio. Questo ucciderà il servizio.

Naresh
fonte
4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina,
3
Esegui il prompt dei comandi come amministratore ed esegui taskkill /F /PID <pid>e funziona.
Muhd,
2
No. In alcuni casi (come quello con cui ho a che fare) ciò non è sufficiente. Ho eseguito cmdcome amministratore e sto ancora ricevendo il messaggio di errore di accesso negato.
iX3,
1

Hai provato ad aprire Services.msc come amministratore o eseguendo un prompt dei comandi con privilegi elevati? Questo dovrebbe darti le autorizzazioni necessarie per interrompere l'attività.

Joe Taylor
fonte
2
L'esecuzione di services.msc con amministratore non sembra fare alcuna differenza. Perché dovrebbe funzionare il prompt dei comandi elevato e quale mi consiglia?
Calin Paul Alexandru,
L'altra cosa da fare sarebbe trovare quali sono le autorizzazioni per l'attività che si sta tentando di uccidere. Può consentire solo ad alcuni utenti di terminare il processo. Costruito per proteggerlo.
Joe Taylor,
Ok, ma sono un amministratore, che tipo di utente può avere alcuni privilegi che un amministratore non ha? Inoltre, l'attività viene contrassegnata come non giustificabile, non riparabile ma accetta l'arresto. Non so davvero come "chiudere" un servizio e Google sembra aiutare in questo.
Calin Paul Alexandru,
pensando che funzioni nella sandbox AV.
RobotHumans,
Alcune attività richiedono l'esecuzione del prompt dei comandi come amministratore anche se l'utente è un amministratore. Semplicemente non funzioneranno senza. Hai controllato le impostazioni di sicurezza sul processo in esecuzione? Potrebbe essere necessario essere un membro di un determinato gruppo per terminare il processo. Alcuni AV lo usano per protezione.
Joe Taylor,
0

Potrebbe essere un problema di autorizzazione.

Fai clic su Start, Servizi, Maiusc + tasto destro su Servizi, Esegui come amministratore o Esegui come utente diverso.

live-love
fonte
0

  1. Avviare in Linux, montare la partizione di Windows, caricare l'hive del registro e disabilitare il servizio attraverso il registro.

  2. Se il problema persiste, è sufficiente eliminare o rinominare il file EXE che avvia il servizio.

TCS
fonte
0

Alcuni servizi non accettano SERVICE_ACCEPT_STOPmessaggi, al momento dello sviluppo. E questo è hard coded nell'eseguibile. Periodo. Una soluzione alternativa sarebbe quella di non avviarlo e, poiché non è possibile modificarne le proprietà, eseguire forzatamente quanto segue:

  1. Avvio in modalità provvisoria (gli utenti di Windows 10 potrebbero aver bisogno di msconfig> avvio> avvio sicuro)
  2. Regedit in HKLM> Sistema> ControlSet001> Servizi
  3. Individua la voce del servizio
  4. Cambia il tasto 'Start' in 3 (avvio manuale) o 4 (disabilitato)

Se non riesci a modificare la voce, fai clic con il pulsante destro del mouse sul nome del servizio nel riquadro a sinistra, seleziona "Autorizzazioni", verifica che "Tutti" abbiano pieno accesso e riprova il passaggio 4.

Non dimenticare di disabilitare nuovamente l'avvio sicuro da msconfig e riavviare!

vortal
fonte
-1

Avvia in modalità provvisoria. Fai clic su Avvia. i servizi di tipo disabilitano i servizi EDPA e WDP

nei file di programma (x86) - elimina la cartella di fabbricazione.

mactech6
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.