¿Cómo detener un servicio de Windows 7 imparable?

32

Recientemente instalé un programa que implementa un agente que "protege" de los periféricos. Lo que realmente hace en este momento es bloquear cualquier tipo de medio que conecte a mi PC.

He realizado algunas comprobaciones y he encontrado que el nombre de este servicio bloquea mis periféricos. Entonces, naturalmente, he intentado detenerlo.

Primero probé el sc stop, pero me negaron el acceso. Intentar hacerlo services.mscno me dará el privilegio de usar stop en ese servicio. Misma respuesta de taskkill: Acceso denegado ... Entonces pensé que intentaría net stopresultar con el mensaje 2191 que si lo intento net helpmsg 2191no da ninguna información. Luego decidí navegar por Superuser y me enteré de esto pstools. Pero tan pronto como trato de hacer el cambio de cmd psexec -s cmdrecibo el mensaje:

Couldn't install PsExec service: access is denied.

Curiosamente, si trato de usarlo, psexecme indica la información de ayuda. Así que este era un callejón sin salida de nuevo.

Después de todos estos fallos, he decidido eliminarlo del inicio, ¿verdad? Entonces abro msconfigy elimino el servicio desde el inicio, guardo y finalmente reinicio. Desafortunadamente, cuando la PC se reinicia, también lo hace el servicio. Para cuando pueda acceder al administrador de tareas, el servicio ya se está ejecutando, nuevamente. Realmente no puedo imaginar cómo.

Todas estas fallas de acceso me hicieron pensar que podría no tener los privilegios requeridos o algo así, pero mi cuenta de usuario está configurada como administrador, por lo que creo que no puedo hacer nada más.

windows-7 windows administrator Calin Paul Alexandru
fuente
8
Me encanta el título de esta pregunta: servicio de Windows "IMPARABLE". Tengo que amar las ventanas.
Musaab
1
¿Es posible que este servicio se reinicie en función del planificador de tareas? si digo algo estúpido, solo dime algo inteligente, soy nuevo en 7 y necesito aprender algunas de estas mismas cosas.
Psycogeek

Respuestas:

32

Muchos programas de seguridad instalan un controlador especial que intercepta cualquier cambio en sus servicios y procesos.

Sin embargo, el controlador normalmente no se carga en modo seguro, por lo que puede deshabilitar el servicio allí. Si el servicio aún se inicia después del reinicio, es posible que desee buscar y deshabilitar el controlador en el Administrador de dispositivos. Este tipo de controlador normalmente se encuentra en la sección "Controladores que no son plug and play", que se puede ver seleccionando "Mostrar dispositivos ocultos" en el menú Ver. El nombre del controlador es normalmente conocido por cada proveedor.

billc.cn
fuente
9

¿Qué hay de abrir regedit.exee ir a

HKLM\SYSTEM\CurrentControlSet\services\[service name]

Luego cambie el servicio para deshabilitarlo (creo que puede hacerlo cambiando el valor "Inicio" a 4).

Los Starttipos de servicio válidos son:

  • SERVICE_BOOT_START(0): un controlador de dispositivo iniciado por el cargador del sistema. Este valor es válido solo para servicios de conductor.
  • SERVICE_SYSTEM_START(1): un controlador de dispositivo iniciado por la función IoInitSystem. Este valor es válido solo para servicios de conductor.
  • SERVICE_AUTO_START(2): Un servicio iniciado automáticamente por el administrador de control de servicios durante el inicio del sistema. Para obtener más información, consulte Inicio automático de servicios .
  • SERVICE_DEMAND_START(3): Un servicio iniciado por el administrador de control de servicios cuando un proceso llama a la función StartService . Para obtener más información, consulte Inicio de servicios a pedido .
  • SERVICE_DISABLED(4): Un servicio que no se puede iniciar. Los intentos de iniciar el servicio dan como resultado el código de error ERROR_SERVICE_DISABLED .
TCS
fuente
1
No permite cambiar eso también.
Piyush Soni
1
@PiyushSoni Entonces debería tomar posesión de ese registro con SetAcl.
Biswapriyo
@Biswapriyo ¿Qué tan seguro es eso? Una estación de trabajo corrupta puede ser un poco un revés.
samis
8

Use el taskkillcomando seguido de la ID de proceso del servicio. Esto matará el servicio.

naresh
fuente
44
ERROR: The process with PID 3516 could not be terminated. Reason: Access is denied.
FracturedRetina
3
Ejecute el símbolo del sistema como administrador y ejecútelo taskkill /F /PID <pid>y funciona.
Muhd
2
No En algunos casos (como el que estoy tratando) eso no es suficiente. Me he ejecutado cmdcomo administrador y sigo recibiendo el mensaje de error de acceso denegado.
iX3
1

¿Has intentado abrir Services.msc como administrador o ejecutando un símbolo del sistema elevado? Esto debería darle los permisos necesarios para detener la tarea.

Joe Taylor
fuente
2
Ejecutar services.msc bajo el administrador no parece hacer ninguna diferencia. ¿Por qué funcionaría un aviso de comando elevado y cuál me recomiendan?
Calin Paul Alexandru
La otra cosa que debe hacer es encontrar cuáles son los permisos para la tarea que está tratando de matar. Solo puede permitir que ciertos usuarios terminen el proceso. Construido para protegerlo.
Joe Taylor
Ok, pero ya soy un administrador, ¿qué tipo de usuario puede tener algunos privilegios que un administrador no tiene? Además, la tarea se marca como inviable, impoppable pero acepta el apagado. Realmente no sé cómo "cerrar" un servicio y Google parece ayudar en este caso.
Calin Paul Alexandru
pensando que se ejecuta en el sandbox AV.
RobotHumans
Algunas tareas requieren que el símbolo del sistema se ejecute como administrador aunque el usuario sea administrador. Simplemente no funcionarán sin él. ¿Ha verificado la configuración de seguridad en el proceso que se está ejecutando? Es posible que deba ser miembro de un determinado grupo para eliminar el proceso. Ciertos AV usan esto para protección.
Joe Taylor
0

Podría ser un problema de permiso.

Haga clic en Inicio, Servicios, shift + clic derecho en Servicios, Ejecutar como administrador o Ejecutar como un usuario diferente.

vive el amor
fuente
0

  1. Inicie en Linux, monte la partición de Windows, cargue la sección del registro y desactive el servicio a través del registro.

  2. Si eso no funciona, simplemente elimine o cambie el nombre del archivo EXE que inicia el servicio.

TCS
fuente
0

Algunos servicios no aceptan SERVICE_ACCEPT_STOPmensajes, en el momento en que se desarrolló. Y eso está codificado en el ejecutable. Período. Una solución alternativa sería no iniciarlo, y como no puede cambiar sus propiedades, haga lo siguiente a la fuerza:

  1. Arranque en modo seguro (los usuarios de Windows 10 pueden necesitar msconfig> boot> safe boot)
  2. Regedit en HKLM> Sistema> ControlSet001> Servicios
  3. Localice su entrada de servicio
  4. Cambie la tecla 'Inicio' a 3 (inicio manual) o 4 (deshabilitado)

Si no puede cambiar la entrada, haga clic con el botón derecho en el nombre de su servicio en el panel izquierdo, seleccione 'Permisos', verifique que 'Todos' tenga acceso completo e intente el paso 4 nuevamente.

¡No olvide deshabilitar el inicio seguro desde msconfig nuevamente y reinicie!

vortal
fuente
-1

Arrancar en modo seguro. Haga clic en inicio. los servicios de tipo desactivan los servicios EDPA y WDP

en archivos de programa (x86): elimina la carpeta de fabricación.

mactech6
fuente