Остановка неостанавливаемого сервиса
У меня есть антивирусный сервис (Kaspersky), который иногда становится безразличным к нормальному графическому интерфейсу остановки/остановки, обеспеченному упомянутым поставщиком. Я хотел бы найти способ уничтожить сервис для перезапуска без перезагрузки, однако все попытки, я попробовал результат в отказе с 'Доступом, Отклонены' в ошибке. Они включают:
- Сервисная Панель управления (grayed кнопка остановки)
- Диспетчер задач
- Уничтожение уничтожения проводника процесса
- сеть командной строки и остановка кв/см
- руны с администратором домена, использующим сетевую остановку
Некоторые детали включают:
- Машина: Windows Vista
- Сервисный тип:
10 WIN32_OWN_PROCESS - Сервисное состояние:
4 Running (NOT_STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
4 ответа
Если Проводник Процесса не может уничтожить процесс при выполнении как администратор (это важно, неадминистраторы могут только уничтожить свои собственные процессы), то это является действительно неубиваемым (Проводник процесса будет использовать все методы включая API отладки).
Как система AV кажется вероятным, что это является неубиваемым, потому что потоки заблокированы в ядре (они должны возвратиться, прежде чем они и их процесс смогут быть завершены).
Это - вероятно, проблема в коде режима драйвера Kaspersky, согласуйте с ними для обновленного программного обеспечения или рассмотрите другое решение антивируса.
Решение могло бы быть найдено в супероболочке, или позже grootshell от того же сайта:
rootshell для nt/2k/xp. Ну, на самом деле оболочка, которая работает в контексте защиты NT SYSTEM/AUTHORITY, что означает пользователя, имеет т.е. право использовать диспетчер задач для уничтожения рабочих сервисов. Yipee! Идея первоначально из некоторого демонстрационного исходного кода MS из MSDN, NT только, адаптированный для работы и над 2000 и над XP. Целая lotta забава!
Примечание: Вам уже нужно административный (т.е. отладка) полномочия выполнить его. Самое главное - то, что Вы выполняете оболочку в контексте защиты NT SYSTEM/AUTHORITY (контекст, который Системная служба видит), не контекст Администратора с входом в систему GUI. Если это не имеет смысла Вам, не используйте супероболочку.
-
1"psexec-s" выполнит любой процесс (включая cmd или PowerShell) как системный процесс, и существовал в течение многих лет. Это сохраняет изучение новой оболочки. – Richard 02.11.2009, 13:34
-
2
Состояния @richard:
Если Проводник Процесса не может уничтожить процесс... затем это является действительно неубиваемым.
Не корректный, существуют определенные процессы, которые я не мог уничтожить с Проводником Процесса, но с другими инструментами как rootkitunhooker.exe.
Также Проводник Процесса не показывает процессы RootKit, таким образом, он также не может уничтожить их.
Я обычно использую "psexec-s" подход.
pskill.exe не может работать в psexec-s, но я описал обходное решение для этого.