Wie stoppe ich einen unaufhaltsamen Windows 7-Dienst?

32

Ich habe kürzlich ein Programm installiert, das einen Agenten bereitstellt, der vor Peripheriegeräten "schützt". An diesem Punkt blockiert es tatsächlich alle Medien, die ich an meinen PC anschließe.

Ich habe einige Überprüfungen durchgeführt und festgestellt, dass der Name dieses Dienstes meine Peripheriegeräte blockiert. Also habe ich natürlich versucht, es zu stoppen.

Zuerst habe ich versucht sc stop, aber mir wurde der Zugang verweigert. Der Versuch, dies zu tun, führt dazu services.msc, dass ich nicht einmal das Privileg habe, stop für diesen Dienst zu verwenden. Dieselbe Antwort von taskkill: Zugriff verweigert ... Dann dachte ich, ich würde versuchen, net stopdie 2191-Nachricht zu erhalten, die, wenn ich es versuche net helpmsg 2191, keine Informationen liefert. Ich entschied mich dann, im Superuser zu surfen und erfuhr davon pstools. Aber sobald ich versuche, den cmd-Schalter mit zu machen, psexec -s cmderhalte ich die Meldung:

Couldn't install PsExec service: access is denied.

Seltsamerweise, wenn ich versuche, nur zu verwenden psexec, fordert es mich mit der Hilfe-Info auf. Das war also wieder eine Sackgasse.

Nach all diesen Fehlern habe ich beschlossen, es einfach aus dem Startup zu entfernen, oder? Also öffne msconfigund entferne ich den Dienst vom Start, speichere und starte ihn schließlich neu. Leider funktioniert der Dienst beim Neustart des PCs auch. Wenn ich auf den Task-Manager zugreifen kann, wird der Dienst bereits wieder ausgeführt. Kann mir nicht vorstellen wie.

All diese Zugriffsfehler ließen mich denken, dass ich möglicherweise nicht die erforderlichen Berechtigungen oder etwas anderes habe, aber mein Benutzerkonto ist als Administrator festgelegt, sodass ich denke, dass ich nichts mehr tun kann.

Calin Paul Alexandru
quelle
8
Ich liebe den Titel dieser Frage: "UNSTOPPABLE" Windows-Service. Muss Fenster lieben.
Musaab
1
Kann es sein, dass dieser Dienst basierend auf dem Taskplaner neu gestartet wird? Wenn ich etwas Dummes sage, sag mir stattdessen etwas Kluges, ich bin neu bei 7 und ich muss einige der gleichen Dinge lernen.
Psycogeek

Antworten:

32

Viele Sicherheitssoftware installiert einen speziellen Treiber, der alle Änderungen an ihren Diensten und Prozessen abfängt.

Der Treiber wird jedoch normalerweise nicht im abgesicherten Modus geladen, sodass Sie den Dienst dort deaktivieren können. Wenn der Dienst nach dem Neustart immer noch gestartet wird, möchten Sie den Treiber möglicherweise im Geräte-Manager suchen und deaktivieren. Diese Art von Treiber befindet sich normalerweise im Abschnitt "Nicht-Plug-and-Play-Treiber", der durch Auswahl von "Versteckte Geräte anzeigen" im Menü "Ansicht" angezeigt wird. Der Name des Treibers ist normalerweise jedem Anbieter bekannt.

billc.cn
quelle
9

Was ist mit öffnen regedit.exeund zu gehen

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Ändern Sie dann den Dienst zu deaktivieren (ich denke, Sie können das tun, indem Sie den Wert "Start" auf 4 ändern).

Die gültigen Service - StartTypen sind:

  • SERVICE_BOOT_START(0): Ein Gerätetreiber, der vom Systemlader gestartet wurde. Dieser Wert gilt nur für Treiberdienste.
  • SERVICE_SYSTEM_START(1): Ein Gerätetreiber, der von der IoInitSystem-Funktion gestartet wurde. Dieser Wert gilt nur für Treiberdienste.
  • SERVICE_AUTO_START(2): Ein Dienst, der vom Dienststeuerungs-Manager beim Systemstart automatisch gestartet wird. Weitere Informationen finden Sie unter Automatisches Starten von Diensten .
  • SERVICE_DEMAND_START(3): Ein Dienst, der vom Dienststeuerungs-Manager gestartet wird, wenn ein Prozess die StartService- Funktion aufruft . Weitere Informationen finden Sie unter Starten von Services on Demand .
  • SERVICE_DISABLED(4): Ein Dienst, der nicht gestartet werden kann. Versuche, den Dienst zu starten, führen zu dem Fehlercode ERROR_SERVICE_DISABLED .
TCS
quelle
1
Lässt sich auch nicht ändern.
Piyush Soni
1
@PiyushSoni Dann sollten Sie mit SetAcl den Besitz dieser Registrierung übernehmen.
Biswapriyo
@ Biswapriyo Wie sicher ist das denn? Eine korrupte Workstation kann ein Rückschlag sein.
Samis
8

Verwenden Sie den taskkillBefehl, gefolgt von der Prozess-ID des Dienstes. Dies wird den Dienst beenden.

Naresh
quelle
4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina
3
Führen Sie die Eingabeaufforderung als Administrator aus, und führen Sie aus, taskkill /F /PID <pid>und es funktioniert.
Muhd
2
Nee. In einigen Fällen (wie dem, mit dem ich es zu tun habe) reicht dies nicht aus. Ich habe cmdals Administrator ausgeführt und erhalte immer noch die Fehlermeldung "Zugriff verweigert".
iX3
1

Haben Sie versucht, Services.msc als Administrator zu öffnen oder eine Eingabeaufforderung mit erhöhten Rechten auszuführen? Dies sollte Ihnen die erforderlichen Berechtigungen zum Beenden der Aufgabe geben.

Joe Taylor
quelle
2
Das Ausführen von services.msc unter Administrator scheint keinen Unterschied zu machen. Warum sollte eine Eingabeaufforderung mit erhöhten Befehlen funktionieren und welche empfehlen Sie?
Calin Paul Alexandru
Das andere, was Sie tun müssen, ist, die Berechtigungen für die Aufgabe zu ermitteln, die Sie beenden möchten. Möglicherweise können nur bestimmte Benutzer den Vorgang beenden. Eingebaut, um es zu schützen.
Joe Taylor
Ok, aber ich bin bereits Administrator. Welche Art von Benutzer kann Privilegien haben, die ein Administrator nicht hat? Außerdem wird die Aufgabe als nicht pausierbar, nicht poppierbar gekennzeichnet, akzeptiert jedoch das Herunterfahren. Ich weiß nicht wirklich, wie man einen Dienst "herunterfährt" und Google scheint dabei zu helfen.
Calin Paul Alexandru
denke, es läuft in der AV-Sandbox.
RobotHumans
Bei einigen Aufgaben muss die Eingabeaufforderung als Administrator ausgeführt werden, obwohl der Benutzer ein Administrator ist. Ohne gehen sie einfach nicht. Haben Sie die Sicherheitseinstellungen des laufenden Prozesses überprüft? Möglicherweise müssen Sie Mitglied einer bestimmten Gruppe sein, um den Vorgang abzubrechen. Bestimmte AVs verwenden dies zum Schutz.
Joe Taylor
1

Mit Autoruns, die im Administrator ausgeführt werden, können Sie Dienste beim Start deaktivieren.

Herzog
quelle
0

Es könnte eine Erlaubnisfrage sein.

Klicken Sie auf Start, Dienste, Umschalt + Rechtsklick auf Dienste, Als Administrator ausführen oder Als anderer Benutzer ausführen.

Lebe-Liebe
quelle
0
  1. Starten Sie Linux, hängen Sie die Windows-Partition ein, laden Sie die Registrierungsstruktur und deaktivieren Sie den Dienst über die Registrierung.

  2. Wenn das nicht funktioniert, löschen Sie einfach die EXE-Datei, die der Dienst startet, oder benennen Sie sie um.

TCS
quelle
0

Einige Dienste akzeptieren SERVICE_ACCEPT_STOPzum Zeitpunkt der Entwicklung keine Nachrichten. Und das ist in der ausführbaren Datei fest programmiert. Zeitraum. Eine Problemumgehung wäre, es nicht gestartet zu haben. Da Sie seine Eigenschaften nicht ändern können, müssen Sie Folgendes erzwingen:

  1. Im abgesicherten Modus starten (Windows 10-Benutzer benötigen möglicherweise msconfig> boot> safe boot)
  2. Starten Sie HKLM> System> ControlSet001> Services erneut
  3. Suchen Sie Ihren Serviceeintrag
  4. Ändern Sie die 'Start'-Taste in 3 (manueller Start) oder 4 (deaktiviert)

Wenn Sie den Eintrag nicht ändern können, klicken Sie mit der rechten Maustaste auf den Namen Ihres Dienstes im linken Bereich, wählen Sie "Berechtigungen" aus, überprüfen Sie, ob "Jeder" Vollzugriff hat, und wiederholen Sie Schritt 4.

Vergessen Sie nicht, den sicheren Start von msconfig wieder zu deaktivieren und neu zu starten!

vortal
quelle
-1

Starten in den abgesicherten Modus. Klicken Sie auf Start. Typ Dienste deaktivieren EDPA- und WDP-Dienste

in Programmdateien (x86) - Herstellerverzeichnis löschen.

mactech6
quelle