Parando um serviço imparável

Navegue suas respostas
2

Eu tenho um serviço antivírus (Kaspersky) que ocasionalmente não responde à interface normal de parada / parada do fornecedor. Eu gostaria de encontrar uma maneira de matar o serviço para uma reinicialização sem reiniciar, no entanto, todas as tentativas que tentei resultam em falha com um erro 'Access is Denied'. Estes incluem:

  • Painel de controle de serviços (botão de parada acinzentado)
  • Gerenciador de tarefas
  • Matança do Process Explorer do Killing
  • linha de comando net e sc parando
  • runas com administrador de domínio usando net stop

Alguns detalhes incluem:

  • Máquina: Windows Vista
  • Tipo de serviço: 10 WIN32_OWN_PROCESS
  • Estado do serviço: 4 Running (NOT_STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
por Chenmunka 02.11.2009 / 07:04

4 respostas

3

@richard afirma:

If Process Explorer is unable to kill the process ... then it is really unkillable.

Não correto, existem certos processos que não consegui eliminar com o Process Explorer, mas com outras ferramentas como o rootkitunhooker.exe.

O Process Explorer também não mostra processos RootKit, portanto também não pode matá-los.

Eu costumo usar a abordagem "psexec -s".

pskill.exe pode não funcionar dentro do psexec -s, mas eu descrevi uma solução alternativa para isso.

    
por 14.03.2010 / 15:58
1

Se o Process Explorer não conseguir eliminar o processo quando estiver executando como administrador (isso é importante, os não administradores podem apenas matar seus próprios processos), então é realmente impossível de matar (o Process Explorer usará todos os métodos, incluindo APIs de depuração). / p>

Como um sistema AV, parece provável que ele não possa ser martelado porque os threads estão bloqueados no kernel (eles precisam retornar antes que eles e seus processos possam ser finalizados).

Este é provavelmente um problema no código do modo de driver da Kaspersky, verifique com um software atualizado ou considere uma solução anti-malware diferente.

    
por 02.11.2009 / 11:16
1

O Kaspersky está se protegendo de vírus como este.

Entre nas configurações do Kaspersky e remova a verificação em uma configuração, que é chamada como "Protect service from closing". Eu não sei a frase exata, porque eu uso a interface do usuário alemã.

    
por 23.02.2011 / 14:18
0

Uma solução pode ser encontrada em supershell ou mais tarde grootshell do mesmo site:

A rootshell for nt/2k/xp. Well, actually a shell that runs in the security context of the NT SYSTEM/AUTHORITY, which means the user has ie. the right to use task manager to kill running services. Yipee! Idea originally from some MS sample sourcecode from the MSDN, NT only, adapted to work on both 2000 and XP. Whole lotta fun!

Note: You already need administrative (ie. debug) privileges to run it. The whole point is that you run a shell in the security context of the NT SYSTEM/AUTHORITY (the context a System service sees) not the context of an Administrator with GUI login. If that doesn't make sense to you, don't use supershell.

    
por 02.11.2009 / 11:36

Tags

Existe uma maneira fácil de editar variáveis de ambiente no Windows XP? Use sed - ou o que - para combinar e excluir várias linhas, ou seja, "Diretório" seguido por duas linhas em branco?