Como parar um serviço imparável do Windows 7?

32

Eu instalei recentemente um programa que implanta um agente que "protege" de periféricos. O que realmente faz neste momento é bloquear qualquer tipo de mídia que eu conecte ao meu PC.

Eu verifiquei e encontrei o nome desse serviço bloqueando meus periféricos. Então, naturalmente, tentei parar.

Primeiro eu tentei o sc stop, mas me foi negado o acesso. Tentar fazer isso services.mscresultará em nem mesmo me dar o privilégio de usar a interrupção nesse serviço. Mesma resposta de taskkill: Acesso negado ... Então achei que tentaria net stopresultar com a mensagem 2191 que, se tentar net helpmsg 2191, não fornecerá nenhuma informação. Decidi então navegar no Superusuário e descobri isso pstools. Mas assim que tento fazer o cmd, psexec -s cmdrecebo a mensagem:

Couldn't install PsExec service: access is denied.

Estranhamente, se eu tentar usar apenas psexecisso, solicitarei as informações de ajuda. Então este era um beco sem saída novamente.

Depois de todas essas falhas, decidi removê-lo da inicialização, certo? Então, abro msconfige removo o serviço da inicialização, salve e finalmente reiniciei. Infelizmente, quando o PC é reiniciado, o serviço também. No momento em que posso acessar o gerenciador de tarefas, o serviço já está sendo executado novamente. Realmente não consigo imaginar como.

Todas essas falhas de acesso me fizeram pensar que talvez eu não tenha os privilégios necessários ou algo assim, mas minha conta de usuário está definida como administrador, então acho que não há mais nada que eu possa fazer.

windows-7 windows administrator Calin Paul Alexandru
fonte
8
Adoro o título desta pergunta: serviço do Windows "INCOMPATÍVEL". Tenho que amar janelas.
Musaab 22/09
1
é possível que este serviço seja reiniciado com base no agendador de tarefas? se eu disser algo estúpido, diga-me algo inteligente, eu sou novo no 7 e preciso aprender algumas dessas mesmas coisas.
Psycogeek 23/09/11

Respostas:

32

Muitos softwares de segurança instalam um driver especial que intercepta qualquer alteração em seus serviços e processos.

No entanto, o driver normalmente não é carregado no modo de segurança, para que você possa desativar o serviço. Se o serviço ainda for iniciado após a reinicialização, convém encontrar e desativar o driver no Gerenciador de dispositivos. Esse tipo de driver normalmente está na seção "Drivers não plug and play", que pode ser visualizada selecionando "Mostrar dispositivos ocultos" no menu Exibir. O nome do driver é normalmente conhecido por cada provedor.

billc.cn
fonte
9

Que tal abrir regedit.exee ir para

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Em seguida, altere o serviço para desativar (acho que você pode fazer isso alterando o valor "Iniciar" para 4).

Os Starttipos de serviço válidos são:

  • SERVICE_BOOT_START(0): Um driver de dispositivo iniciado pelo carregador do sistema. Este valor é válido apenas para serviços de driver.
  • SERVICE_SYSTEM_START(1): Um driver de dispositivo iniciado pela função IoInitSystem. Este valor é válido apenas para serviços de driver.
  • SERVICE_AUTO_START(2): um serviço iniciado automaticamente pelo gerente de controle de serviço durante a inicialização do sistema. Para obter mais informações, consulte Iniciando serviços automaticamente .
  • SERVICE_DEMAND_START (3): A service started by the service control manager when a process calls the StartService function. For more information, see Starting Services on Demand.
  • SERVICE_DISABLED(4): um serviço que não pode ser iniciado. Tentativas de iniciar o serviço resultam no código de erro ERROR_SERVICE_DISABLED .
TCS
fonte
1
Não permite mudar isso também.
Piyush Soni
1
@PiyushSoni Então você deve se apropriar desse registro com o SetAcl.
Biswapriyo 9/09/17
@Biswapriyo Quão seguro é isso? Uma estação de trabalho corrompida pode ser um revés.
Samis
8

Use o taskkillcomando seguido pelo ID do processo do serviço. Isso matará o serviço.

naresh
fonte
4
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina
3
Execute o prompt de comando como administrador e execute taskkill /F /PID <pid>e ele funciona.
Muhd
2
Não. Em alguns casos (como o que eu estou lidando) isso não é suficiente. Fui executado cmdcomo administrador e ainda estou recebendo a mensagem de erro de acesso negado.
iX3 28/08/2015
1

Você tentou abrir o Services.msc como administrador ou executando um prompt de comando elevado? Isso deve lhe dar as permissões necessárias para interromper a tarefa.

Joe Taylor
fonte
2
A execução de services.msc no administrador não parece fazer nenhuma diferença. Por que o prompt de comando elevado funcionaria e qual você recomenda?
Calin Paul Alexandru
A outra coisa a fazer seria encontrar quais são as permissões na tarefa que você está tentando matar. Só pode permitir que determinados usuários encerrem o processo. Construído para protegê-lo.
Joe Taylor
Ok, mas eu já sou um administrador, que tipo de usuário pode ter alguns privilégios que um administrador não possui? Além disso, a tarefa é sinalizada como impraticável, impopular, mas aceita o desligamento. Eu realmente não sei como "desligar" um serviço e o Google parece ajudar nesse.
Calin Paul Alexandru
pensando que é executado na caixa de proteção AV.
RobotHumans
Algumas tarefas exigem que o prompt de comando seja executado como administrador, mesmo que o usuário seja um administrador. Eles simplesmente não funcionam sem. Você verificou as configurações de segurança no processo em execução? Pode ser necessário ser membro de um determinado grupo para interromper o processo. Certos antivírus usam isso para proteção.
21411 Joe
1

As execuções automáticas executadas no administrador permitem desativar os serviços na inicialização.

Duque
fonte
0

Pode ser um problema de permissão.

Clique em Iniciar, Serviços, Shift + clique com o botão direito do mouse em Serviços, Executar como administrador ou Executar como um usuário diferente.

amor ao vivo
fonte
0

  1. Inicialize no linux, monte a partição do windows, carregue a seção do registro e desative o serviço através do registro.

  2. Se isso não funcionar, basta excluir ou renomear o arquivo EXE iniciado pelo serviço.

TCS
fonte
0

Alguns serviços não aceitam SERVICE_ACCEPT_STOPmensagens no momento em que foram desenvolvidos. E isso é codificado no executável. Período. Uma solução alternativa seria não iniciar e, como você não pode alterar suas propriedades, faça o seguinte à força:

  1. Inicialize no modo de segurança (os usuários do Windows 10 podem precisar de msconfig> boot> boot seguro)
  2. Regedit no HKLM> Sistema> ControlSet001> Serviços
  3. Localize sua entrada de serviço
  4. Altere a tecla 'Iniciar' para 3 (inicialização manual) ou 4 (desativada)

Se você não conseguir alterar a entrada, clique com o botão direito do mouse no nome do serviço no painel esquerdo, selecione 'Permissões', verifique se 'Todos' tem acesso total e tente a etapa 4 novamente.

Não se esqueça de desativar a inicialização segura do msconfig novamente e reinicie!

vortal
fonte
-1

Inicialize no modo de segurança. Clique em Iniciar. serviços de tipo desabilitam os serviços EDPA e WDP

nos arquivos de programa (x86) - exclua a pasta de fabricação.

mactech6
fonte