Làm thế nào để ngăn chặn một dịch vụ windows 7 không thể ngăn chặn?


32

Gần đây tôi đã cài đặt một chương trình triển khai một tác nhân "bảo vệ" khỏi các thiết bị ngoại vi. Những gì nó thực sự làm vào thời điểm này là chặn bất kỳ loại phương tiện nào tôi cắm vào PC.

Tôi đã thực hiện một số kiểm tra và tôi thấy tên của dịch vụ này chặn các thiết bị ngoại vi của tôi. Vì vậy, một cách tự nhiên, tôi đã cố gắng ngăn chặn nó.

Đầu tiên tôi đã thử sc stop, nhưng tôi đã bị từ chối truy cập. Cố gắng làm điều đó services.mscsẽ dẫn đến việc thậm chí không cho tôi quyền riêng tư để sử dụng dừng trên dịch vụ đó. Cùng một phản hồi từ taskkill: Truy cập bị từ chối ... Sau đó, tôi nghĩ rằng tôi sẽ thử net stopkết quả với thông báo 2191 mà nếu tôi thử net helpmsg 2191không cung cấp bất kỳ thông tin nào. Sau đó tôi quyết định lướt Superuser và tìm hiểu về những thứ này pstools. Nhưng ngay khi tôi cố gắng thực hiện chuyển đổi cmd với psexec -s cmdtôi nhận được thông báo:

Couldn't install PsExec service: access is denied.

Thật kỳ lạ, nếu tôi cố gắng sử dụng, psexecnó sẽ nhắc tôi với thông tin trợ giúp. Vì vậy, đây là một ngõ cụt một lần nữa.

Sau tất cả những thất bại này tôi đã quyết định loại bỏ nó khỏi khởi động phải không? Vì vậy, tôi mở msconfigvà xóa dịch vụ khỏi khởi động, lưu và cuối cùng khởi động lại. Thật không may, khi PC khởi động lại dịch vụ cũng vậy. Khi tôi có thể truy cập trình quản lý tác vụ, dịch vụ đã chạy lại. Thật sự không thể tưởng tượng làm thế nào.

Tất cả các lỗi truy cập này khiến tôi nghĩ rằng tôi có thể không có các đặc quyền bắt buộc hoặc thứ gì đó, nhưng tài khoản người dùng của tôi được đặt là quản trị viên nên tôi nghĩ tôi không thể làm gì hơn.


8
Tôi thích tiêu đề của câu hỏi này: dịch vụ windows "UNSTOPPABLE". Phải yêu cửa sổ.
Musaab

1
dịch vụ này có thể khởi động lại dựa trên lịch trình tác vụ không? Thay vào đó, nếu tôi nói điều gì đó ngu ngốc, chỉ cần nói với tôi điều gì đó thông minh thay vào đó, tôi mới 7 tuổi và tôi cần phải tìm hiểu một số điều tương tự.
Psycogeek

Câu trả lời:


32

Nhiều phần mềm bảo mật cài đặt trình điều khiển đặc biệt chặn mọi thay đổi đối với các dịch vụ và quy trình của nó.

Tuy nhiên, trình điều khiển thường không được tải trong Chế độ an toàn, vì vậy bạn có thể vô hiệu hóa dịch vụ ở đó. Nếu dịch vụ vẫn được khởi động sau khi khởi động lại, bạn có thể muốn tìm và tắt trình điều khiển trong Trình quản lý thiết bị. Loại trình điều khiển này thường nằm trong phần "Trình điều khiển không cắm và chạy" có thể xem được bằng cách chọn "Hiển thị các thiết bị ẩn" từ menu Xem. Tên của trình điều khiển thường được biết đến cho mỗi nhà cung cấp.


9

Điều gì về việc mở regedit.exevà đi đến

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Thay đổi dịch vụ để vô hiệu hóa (Tôi nghĩ bạn có thể làm điều đó bằng cách thay đổi giá trị "Bắt đầu" thành 4).

Dịch vụ hợp lệ Start loại là:

  • SERVICE_BOOT_START(0): Trình điều khiển thiết bị được khởi động bởi trình tải hệ thống. Giá trị này chỉ hợp lệ cho các dịch vụ điều khiển.
  • SERVICE_SYSTEM_START(1): Trình điều khiển thiết bị được khởi động bởi chức năng IoInitSystem. Giá trị này chỉ hợp lệ cho các dịch vụ điều khiển.
  • SERVICE_AUTO_START(2): Một dịch vụ được khởi động tự động bởi người quản lý kiểm soát dịch vụ trong quá trình khởi động hệ thống. Để biết thêm thông tin, xem Dịch vụ bắt đầu tự động .
  • SERVICE_DEMAND_START(3): Một dịch vụ được bắt đầu bởi người quản lý kiểm soát dịch vụ khi một quá trình gọi chức năng StartService . Để biết thêm thông tin, xem Dịch vụ bắt đầu theo yêu cầu .
  • SERVICE_DISABLED(4): Một dịch vụ không thể bắt đầu. Nỗ lực bắt đầu kết quả dịch vụ trong mã lỗi ERROR_SERVICE_DISABLED .

1
Không cho phép thay đổi điều đó là tốt.
Piyush Soni

1
@PiyushSoni Sau đó, bạn nên sở hữu sổ đăng ký đó với SetAcl.
Biswapriyo

@Biswapriyo Làm thế nào là an toàn? Một máy trạm bị hỏng có thể là một chút trở ngại.
samis

8

Sử dụng taskkilllệnh theo sau là ID tiến trình của dịch vụ. Điều này sẽ giết dịch vụ.


4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina

3
Chạy dấu nhắc lệnh với tư cách quản trị viên và chạy taskkill /F /PID <pid>và nó hoạt động.
Muhd

2
Không. Trong một số trường hợp (chẳng hạn như trường hợp tôi đang xử lý) là không đủ. Tôi đã chạy cmdvới tư cách Quản trị viên và tôi vẫn nhận được thông báo lỗi từ chối truy cập.
iX3

1

Bạn đã thử mở Services.msc với tư cách quản trị viên hay chạy dấu nhắc lệnh nâng cao chưa? Điều này sẽ cung cấp cho bạn các quyền cần thiết để dừng nhiệm vụ.


2
Chạy services.msc theo quản trị viên dường như không tạo ra sự khác biệt nào. Tại sao và lệnh nâng cao sẽ hoạt động và bạn đề nghị cái nào?
Calin Paul Alexandru

Một điều khác cần làm là tìm ra những quyền nào trong nhiệm vụ mà bạn đang cố giết. Nó chỉ có thể cho phép một số người dùng chấm dứt quá trình. Được xây dựng để bảo vệ nó.
Joe Taylor

Ok, nhưng tôi là một quản trị viên, loại người dùng nào có thể có một số quyền riêng tư mà quản trị viên không có? Ngoài ra nhiệm vụ được gắn cờ là không thể sửa chữa, không thể ngăn chặn nhưng chấp nhận tắt máy. Tôi thực sự không biết làm thế nào để "tắt" một dịch vụ và google dường như sẽ giúp ích cho dịch vụ này.
Calin Paul Alexandru

nghĩ rằng nó chạy trong hộp cát AV.
RobotHumans

Một số tác vụ yêu cầu dấu nhắc lệnh để được chạy với tư cách quản trị viên mặc dù người dùng là quản trị viên. Họ chỉ đơn giản là không làm việc mà không có. Bạn đã kiểm tra các cài đặt bảo mật trên tiến trình đang chạy chưa? Bạn có thể cần phải là thành viên của một nhóm nhất định để giết quá trình. Một số AV sử dụng điều này để bảo vệ.
Joe Taylor

1

Tự động chạy trong quản trị viên cho phép bạn vô hiệu hóa dịch vụ khi khởi động.


0

Nó có thể là một vấn đề cho phép.

Nhấp vào Bắt đầu, Dịch vụ, thay đổi + nhấp chuột phải vào Dịch vụ, Chạy với tư cách Quản trị viên hoặc Chạy với tư cách Người dùng khác.


0
  1. Khởi động vào linux, gắn kết phân vùng windows, tải trung tâm đăng ký và vô hiệu hóa dịch vụ thông qua sổ đăng ký.

  2. Nếu điều đó không làm việc, chỉ cần xóa hoặc đổi tên tệp EXE mà dịch vụ bắt đầu.


0

Một số dịch vụ không chấp nhận SERVICE_ACCEPT_STOPtin nhắn, vào thời điểm nó được phát triển. Và đó là mã hóa cứng vào thực thi. Giai đoạn. Một cách giải quyết sẽ không bắt đầu và vì bạn không thể thay đổi thuộc tính của nó, buộc phải thực hiện như sau:

  1. Khởi động vào chế độ an toàn (người dùng Windows 10 có thể cần msconfig> boot> khởi động an toàn)
  2. Regedit vào HKLM> Hệ thống> ControlSet001> Dịch vụ
  3. Xác định vị trí mục dịch vụ của bạn
  4. Thay đổi phím 'Bắt ​​đầu' thành 3 (khởi động thủ công) hoặc 4 (bị tắt)

Nếu bạn không thể thay đổi mục nhập, nhấp chuột phải vào tên dịch vụ của bạn ở khung bên trái, chọn 'Quyền', kiểm tra xem 'Mọi người' có toàn quyền truy cập và thử lại bước 4.

Đừng quên tắt khởi động lại an toàn từ msconfig và khởi động lại!


-1

Khởi động vào chế độ an toàn. Bấm bắt đầu. loại dịch vụ vô hiệu hóa dịch vụ EDPA và WDP

trong tập tin chương trình (x86) - xóa thư mục sản xuất.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.