Durdurulamaz bir Windows 7 hizmetini nasıl durdurabilirim?

32

Geçenlerde çevre birimlerinden "koruyan" bir ajanı dağıtan bir program kurdum. Aslında bu noktada bilgisayarıma taktığım her türlü medyayı engellemektir.

Bazı kontroller yaptım ve bu hizmetin adını çevre birimlerimi engelleyerek buldum. Doğal olarak onu durdurmayı denedim.

İlk önce denedim sc stop, ancak erişim engellendi. Bunu yapmayı denemek, services.mscbana bu hizmette durdurma kullanma ayrıcalığını bile vermeyecek. Aynı yanıt taskkill: Erişim reddedildi ... Sonra denedim net stopeğer 2191 mesajıyla sonuçlanacağımı düşündüm net helpmsg 2191. Sonra Superuser'de gezinmeye karar verdim ve bunları öğrendim pstools. Ancak cmd anahtarını yapmaya çalıştığım psexec -s cmdanda mesajı alıyorum:

Couldn't install PsExec service: access is denied.

Garip, kullanmaya çalışırsam, psexecbana yardım bilgisini sorar. Yani bu yine bir çıkmaz yoldu.

Bütün bu başarısızlıklardan sonra, onu hemen başlangıçtan kaldırmaya karar verdim. Böylece msconfigservisi açıp kaldırırım, kaldırırım, kaydederim ve sonunda yeniden başlatırım. Ne yazık ki, PC yeniden başlatıldığında hizmet de öyle. Görev yöneticisine erişebildiğim zaman hizmet zaten çalışıyor. Gerçekten nasıl olsa hayal edemiyorum.

Tüm bu erişim başarısızlıkları gerekli ayrıcalıklara sahip olamayacağımı düşünmeme neden oldu, ancak kullanıcı hesabım yönetici olarak ayarlandı, bu yüzden yapabileceğim bir şey olmadığını düşünüyorum.

windows-7  windows  administrator 
Calin Paul Alexandru
kaynak
8
Bu sorunun başlığını seviyorum: "DURDURULMAZ" pencere servisi. Pencereleri sevmeliyim.
Musaab
1
Görev zamanlayıcısına göre bu hizmetin yeniden başlatılması mümkün mü? aptalca bir şey söylersem, bana sadece akıllıca bir şey söyle, 7'ye yeniyim ve bunlardan bazılarını öğrenmem gerekiyor.
Psycogeek

Yanıtlar:

32

Çoğu güvenlik yazılımı, hizmetlerinde ve işlemlerinde yapılan değişiklikleri engelleyen özel bir sürücü yükler.

Ancak, sürücü normalde Güvenli Mod'da yüklü değildir, bu nedenle oradaki hizmeti devre dışı bırakabilirsiniz. Hizmet yeniden başlatıldıktan sonra hala başlatılıyorsa, sürücüyü Aygıt Yöneticisi'nde bulup devre dışı bırakmak isteyebilirsiniz. Bu tür bir sürücü normal olarak, Görünüm menüsünden "Gizli aygıtları göster" seçilerek görüntülenebilen "Tak ve çalıştır olmayan sürücüler" bölümünün altında bulunur. Sürücünün adı normalde her sağlayıcı için iyi bilinir.

billc.cn
kaynak
9

Peki ya aç regedit.exeve git

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Daha sonra hizmeti devre dışı bırakmak üzere değiştirin ("Başlat" değerini 4 olarak değiştirerek bunu yapabileceğinizi düşünüyorum).

Geçerli servis Starttürleri :

  • SERVICE_BOOT_START(0): Sistem yükleyici tarafından başlatılan bir aygıt sürücüsü. Bu değer sadece sürücü servisleri için geçerlidir.
  • SERVICE_SYSTEM_START(1): IoInitSystem işlevi tarafından başlatılan bir aygıt sürücüsü. Bu değer sadece sürücü servisleri için geçerlidir.
  • SERVICE_AUTO_START(2): Sistem başlatılırken servis kontrol yöneticisi tarafından otomatik olarak bir servis başlatıldı. Daha fazla bilgi için, bkz . Hizmetleri Otomatik Olarak Başlatma .
  • SERVICE_DEMAND_START(3): Bir işlem StartService işlevini çağırdığında servis kontrol yöneticisi tarafından başlatılan bir servis . Daha fazla bilgi için, bkz . İsteğe Bağlı Hizmetleri Başlatma .
  • SERVICE_DISABLED(4): Başlatılamayan bir servis. Hizmeti başlatma girişimleri, ERROR_SERVICE_DISABLED hata koduyla sonuçlanır .
TCS
kaynak
1
Bunu değiştirmeye de izin vermiyor.
Piyush Soni
1
@PiyushSoni O zaman SetAcl ile bu kayıt sahibinin sahipliğini almalısınız.
Biswapriyo
@Biswapriyo Bu olsa ne kadar güvenli? Bozuk bir iş istasyonu bir gerileme olabilir.
samis
8

taskkillServisin işlem kimliğini takip eden komutu kullanın . Bu hizmeti öldürür.

naresh
kaynak
4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina,
3
Komut istemini yönetici olarak çalıştırın taskkill /F /PID <pid>ve çalıştırın .
Muhd
2
Hayır! Bazı durumlarda (uğraştığım gibi) bu yeterli değildir. cmdYönetici olarak çalıştırdım ve hala erişim reddedildi hata iletisini alıyorum.
iX3
1

Services.msc dosyasını yönetici olarak açmayı veya yükseltilmiş bir komut istemi çalıştırmayı denediniz mi? Bu size görevi durdurmak için gereken izinleri vermelidir.

Joe Taylor
kaynak
2
Services.msc komutunu yönetici altında çalıştırmak fark yaratmıyor gibi görünüyor. Neden ve yükseltilmiş emir işe yarar ve hangisini önerirsiniz?
Calin Paul Alexandru
Yapılacak diğer şey, öldürmeye çalıştığınız görevde izinlerin ne olduğunu bulmak olacaktır. Sadece bazı kullanıcıların süreci sonlandırmasına izin verebilir. Korumak için üretildi.
Joe Taylor
Tamam, ama ben bir yönetici olduğumu biliyorum, ne tür bir kullanıcının bir yöneticinin sahip olmadığı bazı özel hakları olabilir? Ayrıca görev duraklatılamaz, açıklanamaz olarak işaretlenir ancak kapatmayı kabul eder. Bir hizmeti nasıl "kapatacağımı" gerçekten bilmiyorum ve google bu konuda yardımcı görünüyor.
Calin Paul Alexandru
AV sanal alanında çalıştığını düşünüyorum.
RobotHumans 22:11
Bazı görevler, kullanıcının yönetici olmasına rağmen komut isteminin yönetici olarak çalıştırılmasını gerektirir. Onlar sadece onsuz çalışmayacak. Çalışmakta olan işlemin güvenlik ayarlarını kontrol ettiniz mi? Süreci öldürmek için belirli bir grubun üyesi olmanız gerekebilir. Bazı AV'ler bunu koruma için kullanır.
Joe Taylor
1

Autoruns yönetici çalıştırmak başlangıçta size devre dışı hizmetlerini edelim.

dük
kaynak
0

Bu bir izin sorunu olabilir.

Başlat, Servisler, shift + sağ tuşla üzerine tıklayın Servisler, Yönetici Olarak Çalıştır veya Farklı Bir Kullanıcı Olarak Çalıştır

aşkı yaşa
kaynak
0

  1. Linux'a önyükleme yapın, Windows bölümünü bağlayın, kayıt defteri kovanını yükleyin ve hizmeti kayıt defterinden devre dışı bırakın.

  2. Bu işe yaramazsa, yalnızca servisin başlattığı EXE dosyasını silin veya yeniden adlandırın.

TCS
kaynak
0

Bazı servisler SERVICE_ACCEPT_STOP, geliştirildiği sırada mesaj kabul etmez . Ve bu çalıştırılabilir içine kodlanmış zordur. Dönemi. Bir geçici çözüm başlatmayacaktı ve özelliklerini değiştiremediğiniz için, zorla aşağıdakileri yapın:

  1. Önyükleme güvenli modda (Windows 10 kullanıcıları msconfig> önyükleme> güvenli önyükleme gerektirebilir)
  2. HKLM içine Regedit> Sistem> ControlSet001> Hizmetler
  3. Servis girişinizi bulun
  4. 'Başlat' tuşunu 3 (manuel başlatma) veya 4 (devre dışı) olarak değiştirin

Girişi değiştiremezseniz, sol bölmedeki servis adınıza sağ tıklayın, 'İzinler'i seçin,' Herkes'in tam erişime sahip olduğunu kontrol edin ve 4. adımı tekrar deneyin.

Güvenli önyüklemeyi tekrar msconfig'den devre dışı bırakmayı ve yeniden başlatmayı unutmayın!

Vortal
kaynak
-1

Güvenli moda önyükleyin. Başlat'a tıklayın. tür hizmetleri EDPA ve WDP hizmetlerini devre dışı bırakır.

program dosyalarında (x86) - üretim klasörünü sil.

mactech6
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.