2

У меня есть антивирусная служба (Kaspersky), которая иногда перестает отвечать нормальному графическому интерфейсу stop/stop, предоставляемому указанным поставщиком. Я хотел бы найти способ убить службу для перезапуска без перезагрузки, однако все попытки, которые я пробовал, приводили к сбою с ошибкой «Доступ запрещен». Они включают:

  • Панель управления службами (неактивная кнопка остановки)
  • Диспетчер задач
  • Killing Process Explorer Killing
  • остановка командной строки и sc
  • runas с администратором домена, используя net stop

Некоторые детали включают в себя:

  • Машина: Windows Vista
  • Тип услуги: 10 WIN32_OWN_PROCESS
  • Состояние службы: 4 Running (NOT_STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
|источник

4 ответа4

3

@ Ричард заявляет:

Если Process Explorer не может убить процесс ... тогда это действительно невозможно убить.

Неправильно, есть определенные процессы, которые я не мог убить с помощью Process Explorer, но с помощью других инструментов, таких как rootkitunhooker.exe.

Также Process Explorer не показывает процессы RootKit, поэтому он также не может их убить.

Я обычно использую подход "psexec -s".

pskill.exe может не работать в psexec -s, но я описал обходной путь для этого.

|источник
1

Касперский защищает себя от таких вирусов.

Зайдите в настройки Kaspersky и снимите галочку с настройки, которая называется что-то вроде "Защитить службу от закрытия". Я не знаю точную фразу, потому что я использую немецкий интерфейс.

|источник
1

Если Process Explorer не может уничтожить процесс при запуске от имени администратора (это важно, пользователи, не являющиеся администраторами, могут уничтожать только свои собственные процессы), тогда он действительно не может быть уничтожен (Process Explorer будет использовать все методы, включая API отладки).

Как AV-система кажется вероятным, что она не может быть уничтожена, потому что потоки заблокированы в ядре (они должны вернуться, прежде чем они и их процесс могут быть остановлены).

Это, вероятно, проблема в коде режима драйвера Kaspersky, обратитесь к ним за обновлением программного обеспечения или рассмотрите другое решение для защиты от вредоносных программ.

|источник
0

Решение может быть найдено в supershell или в более поздней версии grootshell с того же сайта:

Корень оболочки для NT /2K /XP. Ну, на самом деле это оболочка, которая работает в контексте безопасности NT SYSTEM /AUTHORITY, что означает, что у пользователя есть ie. право использовать диспетчер задач для уничтожения запущенных сервисов. Yipee! Идея родом из примера исходного кода MS из MSDN, только NT, адаптированного для работы как на 2000, так и на XP. Всего лота веселья!

Примечание . Для его запуска вам уже нужны права администратора (например, отладка). Все дело в том, что вы запускаете оболочку в контексте безопасности NT SYSTEM /AUTHORITY (контекст, который видит системная служба), а не в контексте администратора с логином GUI. Если это не имеет смысла для вас, не используйте supershell.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .