1

Как определить процесс / службу, которая запустила или остановила службу?

Например, я обнаружил, что в последнее время службы браузера компьютера, сервера и рабочей станции (а также службы обнаружения функций) продолжают работать. Я их останавливаю, но через несколько минут они снова бегут. Я уже пытался отключить такие вещи, как общие сетевые ресурсы, NetBIOS, Home Group и все, что я могу придумать, но это (новое) поведение расстраивает, и тем более, что я не знаю, с чего их начинать. Если бы я мог выяснить, какой процесс / служба их запускает, то я бы хотя бы намекнул, где искать.

Нет, журнал событий Windows не полезен, потому что он ничего не говорит о том, кто / что запустил службу; наибольшая информация, которую он предоставляет, состоит в том, что в поле « Источник» обычно указывается Service Control Manager, но в нем ничего не говорится о том, что попросил SC запустить / остановить службу.

Есть ли способ изменить состояние журнала Service Controller или что-то в этом роде?

|источник

1 ответ1

1

Эти службы загружаются в процессы svchost.exe, которые обычно запускаются под учетной записью NETWORKSERVICE. в ProcessExplorer наведите указатель мыши на процесс svchosts, чтобы увидеть, какие службы работают под ним. если он содержит один из ваших плохих сервисов, дважды щелкните процесс и в окне свойств перейдите на вкладку Изображение. поле "Местоположение автозапуска" должно указывать способ запуска. в моем случае процесс svchost, содержащий службу рабочей станции, запускается из HKLM\System\CurrentControlSet\Services\nsi.

Кроме того, в MMC служб Windows (services.msc) вы можете увидеть зависимость между службами. убедитесь, что ни одна из ваших служб не зависит от служб, которые вы закрываете.

Также рассмотрите возможность отключения служб в services.msc. если требуемая служба отключена, зависимая служба должна регистрировать, что произошел сбой при запуске, поскольку служба зависимости не была запущена.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .