Jak zatrzymać niepowstrzymaną usługę Windows 7?

32

Niedawno zainstalowałem program, który wdraża agenta, który „chroni” przed urządzeniami peryferyjnymi. W tym momencie faktycznie blokuje wszelkiego rodzaju media, które podłączam do komputera.

Sprawdziłem i znalazłem nazwę tej usługi blokującej moje urządzenia peryferyjne. Oczywiście próbowałem to zatrzymać.

Najpierw spróbowałem sc stop, ale odmówiono mi dostępu. Próba zrobienia tego do services.msckońca spowoduje, że nawet nie będę mieć przywileju używania stopu w tej usłudze. Ta sama odpowiedź od taskkill: Odmowa dostępu ... Wtedy pomyślałem, że spróbuję uzyskać net stopkomunikat 2191, który, jeśli spróbuję net helpmsg 2191, nie poda żadnych informacji. Następnie postanowiłem surfować po Superuser i dowiedziałem się o nich pstools. Ale gdy tylko spróbuję wykonać przełącznik cmd psexec -s cmd, otrzymuję komunikat:

Couldn't install PsExec service: access is denied.

O dziwo, jeśli spróbuję użyć psexec, wyświetli mi się informacja pomocy. To był znowu ślepy zaułek.

Po tych wszystkich niepowodzeniach postanowiłem po prostu usunąć go ze startu, prawda? Więc otwieram msconfigi usuwam usługę ze startu, zapisuję i wreszcie restartuję. Niestety, po ponownym uruchomieniu komputera działa również usługa. Zanim będę mógł uzyskać dostęp do menedżera zadań, usługa już działa. Naprawdę nie mogę sobie wyobrazić, jak to zrobić.

Wszystkie te niepowodzenia dostępu sprawiły, że pomyślałem, że nie mam wymaganych uprawnień, czy coś, ale moje konto użytkownika jest ustawione jako administrator, więc myślę, że nic więcej nie mogę zrobić.

Calin Paul Alexandru
źródło
8
Podoba mi się tytuł tego pytania: usługa Windows „UNSTOPPABLE”. Uwielbiam okna.
Musaab,
1
czy jest możliwe, że ta usługa uruchamia się ponownie na podstawie harmonogramu zadań? jeśli powiem coś głupiego, po prostu powiedz mi coś mądrego, jestem nowy w wieku 7 lat i muszę nauczyć się tych samych rzeczy.
Psycogeek,

Odpowiedzi:

32

Wiele programów zabezpieczających instaluje specjalny sterownik, który przechwytuje wszelkie zmiany w swoich usługach i procesach.

Jednak sterownik zwykle nie jest ładowany w trybie awaryjnym, więc można tam wyłączyć usługę. Jeśli usługa jest nadal uruchamiana po ponownym uruchomieniu, możesz znaleźć i wyłączyć sterownik w Menedżerze urządzeń. Ten rodzaj sterownika znajduje się zwykle w sekcji „Sterowniki niezgodne z Plug and Play”, którą można wyświetlić, wybierając „Pokaż ukryte urządzenia” z menu Widok. Nazwa sterownika jest zwykle dobrze znana dla każdego dostawcy.

billc.cn
źródło
9

Co powiesz na otwarcie regedit.exei idź do

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Następnie zmień usługę na wyłączoną (myślę, że możesz to zrobić, zmieniając wartość „Start” na 4).

Prawidłowe Starttypy usług to:

  • SERVICE_BOOT_START(0): Sterownik urządzenia uruchomiony przez moduł ładujący system. Ta wartość jest ważna tylko dla usług kierowcy.
  • SERVICE_SYSTEM_START(1): Sterownik urządzenia uruchomiony przez funkcję IoInitSystem. Ta wartość jest ważna tylko dla usług kierowcy.
  • SERVICE_AUTO_START(2): Usługa uruchomiona automatycznie przez menedżera sterowania usługami podczas uruchamiania systemu. Aby uzyskać więcej informacji, zobacz Automatyczne uruchamianie usług .
  • SERVICE_DEMAND_START(3): Usługa uruchomiona przez menedżera sterowania usługami, gdy proces wywołuje funkcję StartService . Aby uzyskać więcej informacji, zobacz Uruchamianie usług na żądanie .
  • SERVICE_DISABLED(4): Usługa, której nie można uruchomić. Próby uruchomienia usługi powodują kod błędu ERROR_SERVICE_DISABLED .
TCS
źródło
1
Nie pozwala też tego zmienić.
Piyush Soni
1
@PiyushSoni Następnie powinieneś przejąć własność tego rejestru wraz z SetAcl.
Biswapriyo,
@Biswapriyo Jak bezpieczne to jest? Uszkodzona stacja robocza może być przyczyną niepowodzenia.
samis
8

Użyj taskkillpolecenia, a następnie identyfikatora procesu usługi. Spowoduje to zabicie usługi.

naresh
źródło
4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina
3
Uruchom wiersz polecenia jako administrator i uruchom taskkill /F /PID <pid>i działa.
Muhd,
2
Nie. W niektórych przypadkach (takich jak ten, z którym mam do czynienia) nie jest to wystarczające. Uruchomiłem się cmdjako administrator i nadal otrzymuję komunikat o błędzie odmowy dostępu.
iX3
1

Czy próbowałeś otworzyć Services.msc jako administrator lub uruchomiłeś wiersz polecenia z podwyższonym poziomem uprawnień? Powinno to dać wymagane uprawnienia do zatrzymania zadania.

Joe Taylor
źródło
2
Uruchomienie services.msc pod administratorem nie wydaje się mieć żadnej różnicy. Dlaczego i podwyższone dowodzenie poleceniem działa i który z nich polecasz?
Calin Paul Alexandru
Inną rzeczą jest znalezienie uprawnień do zadania, które próbujesz zabić. Może to pozwolić tylko niektórym użytkownikom na zakończenie procesu. Wbudowany, aby go chronić.
Joe Taylor,
Ok, ale jestem już administratorem, jakiego rodzaju użytkownik może mieć prywatnych użytkowników, których administrator nie ma? Również zadanie jest oznaczone jako nieużywalne, nie do zatrzymania, ale akceptuje zamknięcie. Naprawdę nie wiem, jak „zamknąć” usługę, a Google wydaje się w tym pomóc.
Calin Paul Alexandru
myśląc, że działa w piaskownicy AV.
RobotHumans
Niektóre zadania wymagają uruchomienia wiersza polecenia jako administrator, nawet jeśli użytkownik jest administratorem. Po prostu nie będą działać bez. Czy sprawdziłeś ustawienia bezpieczeństwa uruchomionego procesu? Być może trzeba być członkiem określonej grupy, aby zabić proces. Niektóre urządzenia AV używają tego do ochrony.
Joe Taylor,
0

Może to być problem z pozwoleniem.

Kliknij Start, Usługi, Shift + kliknij prawym przyciskiem Usługi, Uruchom jako administrator lub Uruchom jako inny użytkownik.

żywa miłość
źródło
0
  1. Uruchom system Linux, zamontuj partycję Windows, załaduj gałąź rejestru i wyłącz usługę za pośrednictwem rejestru.

  2. Jeśli to nie zadziała, po prostu usuń lub zmień nazwę pliku EXE uruchamianego przez usługę.

TCS
źródło
0

Niektóre usługi nie przyjmują SERVICE_ACCEPT_STOPwiadomości do czasu ich opracowania. I to jest mocno zakodowane w pliku wykonywalnym. Kropka. Obejściem tego problemu nie byłoby uruchomienie go, a ponieważ nie można zmienić jego właściwości, wymuś następujące czynności:

  1. Uruchom w trybie awaryjnym (użytkownicy systemu Windows 10 mogą potrzebować msconfig> boot> safe boot)
  2. Regedit w HKLM> System> ControlSet001> Usługi
  3. Znajdź swój wpis usługi
  4. Zmień klucz „Start” na 3 (ręczne uruchamianie) lub 4 (wyłączone)

Jeśli nie możesz zmienić wpisu, kliknij prawym przyciskiem myszy nazwę usługi w lewym okienku, wybierz „Uprawnienia”, sprawdź, czy „Wszyscy” mają pełny dostęp i spróbuj ponownie wykonać krok 4.

Nie zapomnij ponownie wyłączyć bezpiecznego rozruchu z msconfig i uruchom ponownie!

wortal
źródło
-1

Uruchom w trybie bezpiecznym. Kliknij start. Usługi typu wyłączają usługi EDPA i WDP

w plikach programu (x86) - usuń folder produkcyjny.

mactech6
źródło