Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Sistemi Operativi > Windows 7/Vista/XP/ 2003

Notices

Rispondi
 
Strumenti discussione
Vecchio 01-09-2015, 06.00.17   #1
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Impossibile fermare servizio, accesso negato

Ciao a tutti,
Non riesco a fermare un servizio da services.msc perché i tasti corrispondenti sono tutti grigi e facendo nircmd service stop processo non succede nulla...
se faccio "sc queryex servizio" dice "NOT_STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN", leggendo in internet ho trovato e provato diversi programmi ma nessuno mi è stato d'aiuto:

apt.exe
livekd.exe
NotMyfault.exe
processhacker.exe
WindowexeAllkiller.exe

ProcessExplorer.exe

Non vi è alcun modo di terminarlo, come posso fare secondo voi?

Vi faccio notare che il servizio è definito "NOT_STOPPABLE"...
gutguy non è collegato   Rispondi citando
Vecchio 01-09-2015, 12.33.20   #2
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Il servizio in esecuzione appartiene all'antivirus ?
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 01-09-2015, 14.19.47   #3
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

no, è di un software aziendale di cui non posso fare il nome putroppo, ma allo stesso modo dell'antivirus controlla i file in esecuzione sulla workstation alla ricerca di files con una certa estensione al fine di importarli sul server sql aziendale per sccessiva importazione ed elaborazione su un gestionale
gutguy non è collegato   Rispondi citando
Vecchio 01-09-2015, 14.28.27   #4
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

ecco come appare in services.msc



con process explorer ottengo:



con task manager:



sono su win xp
gutguy non è collegato   Rispondi citando
Vecchio 01-09-2015, 15.38.17   #5
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Hai l'accesso come admin, oppure ti funziona sotto un account a privilegi ridotti ?
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 01-09-2015, 16.27.44   #6
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

sono admin sulla postazione in oggetto, non sono, facendo:

Codice:
sc qc processo
ottengo:

Codice:
LOAD_ORDER_GROUP   : System Reserved
SERVICE_START_NAME : LocalSystem
e se faccio

Codice:
wmic service where name="processo" get StartName
ottengo:

Codice:
StartName
LocalSystem
per cui ho lanciato il seguente comando:

Codice:
PSEXEC -i -s -d CMD
ottenendo

Codice:
whoami
NT AUTHORITY\SYSTEM
ma se faccio nello stesso

Codice:
taskkill /f /im processo.exe
ottengo

Codice:
ERRORE: Impossibile terminare il processo "processo.exe" con il PID 4472.
Motivo: Accesso negato.
come si vede dal task manager



l'istanza cmd e il processo sono entrambi dell'utente SYSTEM
gutguy non è collegato   Rispondi citando
Vecchio 01-09-2015, 17.45.11   #7
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Il servizio è richiamato da processo.exe ?
A processo.exe è legato il servizio ?
ProcExplorer ti fa vedere chi richiama cosa ?
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 01-09-2015, 21.40.40   #8
tof63
Hero Member
 
Registrato: 01-12-2001
Messaggi: 714
tof63 ha un'aura spettacolaretof63 ha un'aura spettacolare
Rif: Impossibile fermare servizio, accesso negato

Quota:
Inviato da gutguy Visualizza messaggio
no, è di un software aziendale di cui non posso fare il nome putroppo, ma allo stesso modo dell'antivirus controlla i file in esecuzione sulla workstation alla ricerca di files con una certa estensione al fine di importarli sul server sql aziendale per sccessiva importazione ed elaborazione su un gestionale
Se è così, quando fai partire il pc e inserisci username e password ti colleghi automaticamente ad un dominio di rete ed è il server di rete che avvia il processo sul tuo pc, quindi è nella logica che tu non possa stopparlo.
___________________________________

Luigi Cartello
http://web.tiscali.it/lcartello/
tof63 non è collegato   Rispondi citando
Vecchio 01-09-2015, 23.47.07   #9
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

la mia postazione non è legata nessun modo al dominio aziendale, tantè che effettua il login come "NOME DEL MIO PC\Admin" e neppure è inserito in dominio...
se ancora vi state chiedendo come mai quel processo è nel mio notebook è perché me è apparso quando il sysadmin è venuto ad installarmi la GUI del gestionale, ora ho chiesto allo stesso se c'era modo di poter far qlcs per quel processo che mi "succhia" tanta memoria e mi è statodetto di no, per quello scrivo qui...
gutguy non è collegato   Rispondi citando
Vecchio 02-09-2015, 00.44.08   #10
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

Quota:
Inviato da LoryOne Visualizza messaggio
Il servizio è richiamato da processo.exe ?
Codice:
tasklist /svc /fi "imagename eq processo.exe"
mi dice:

Codice:
Nome immagine                PID      Servizi
processo.exe                  1432     processo
Quota:
Inviato da LoryOne Visualizza messaggio
A processo.exe è legato il servizio ?


Quota:
Inviato da LoryOne Visualizza messaggio
ProcExplorer ti fa vedere chi richiama cosa ?




non sonon però sicuro di aver capito bene quest'ultima tua domanda, era quello che volevi sapere?
gutguy non è collegato   Rispondi citando
Vecchio 02-09-2015, 09.47.54   #11
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Sono io che non avevo ben chiara la situazione perchè tu prima parli di servizio e poi di processo.
Quindi mi son dovuto assicurare che fosse il processo a richiamare il servizio, cioè capire in che modo il servizio ed il processo fossero legati.
Se ci fai caso, gran parte dei servizi avviati che trovi in HKLM\SYSTEM\CurrentControlSet\Services sono quasi tutti legati ad istanze di svchost.exe (legato a sua volta a services.exe), dove svchost.exe è il processo che diverse tipologie di malware prendono di mira iniettando il loro codice per essere avviati assieme ad un componente essenziale di Windows.
Tornando a noi, processo.exe viene eseguito con una proprietà che lui stesso s'impone all'atto dell'avvio sotto un account con privilegi di massimo livello NT AUTHORITY\SYSTEM e con privilegi che con ogni probabilità ProcessExplorer è in grado di visualizzare nella scheda Security della proprietà di processo.
Come dire: solo io decido se posso essere terminato oppure no.
Va da se che per poter agire in tal modo, processo.exe deve essere eseguito con privilegi di admin, meglio ancora come componente di sistema.
Adesso resta da capire se processo.exe viene avviato da solo attraverso una voce di registro o è un'istanza di un altro processo che comunica con lo stesso attraverso pipes inter processo, tipo client/server
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 02-09-2015, 12.32.29   #12
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

non ti avevo ancora ringraziato per i tuoi interventi, quindi grazie...
volevo dirti che in effetti sono stato un po' forviante con i termini processo/servizio, del resto qesta mia condizione è dettata dal fatto di non poter menzionare il sudetto software...
in ogni caso quando scambiavo i due termini è perché:

il servizio si chiama: processo
il processo da esso lanciato si chiama: processo.exe

in sostanaza il servizio ha lo stesso nome del processo (il nome che si trova prima dell'exe), ad es se in task manager vedessi un processo denominato "pippo.exe" il servizio si chiamerebbe "pippo"





gutguy non è collegato   Rispondi citando
Vecchio 02-09-2015, 12.42.50   #13
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

Quota:
Inviato da LoryOne Visualizza messaggio
Come dire: solo io decido se posso essere terminato oppure no.
Va da se che per poter agire in tal modo, processo.exe deve essere eseguito con privilegi di admin
non fa una piega:
ora come faccio a fare in modo che "processo.exe" venga eseguito come "NOME MIO PC\Admin" invece di "NT AUTHORITY\SYSTEM" (come si evince sotto)?


per la cronaca come ho riportato prima ho lanciato una istanaza di cmd.exe come utente NT AUTHORITY\SYSTEM e ho cercato di terminare il processo, ma nisba...

Quota:
Inviato da LoryOne Visualizza messaggio
Adesso resta da capire se processo.exe viene avviato da solo attraverso una voce di registro o è un'istanza di un altro processo che comunica con lo stesso attraverso pipes inter processo
come faccio a verificarlo?
mi sembra di capire però che viene avviato da solo "c:\programmi\processo\processo.exe" /service
gutguy non è collegato   Rispondi citando
Vecchio 02-09-2015, 12.53.36   #14
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

ora mi è venuto in mente, ma se io modifico il percorso dell'eseguibile a cui punta la chiave di registro "HKLM\SYSTEM\CurrentControlSet\Services" facendolo puntare a qualcosa di inesistente, come fa il servizio a far partire il processo che non riesco a terminare, non ci riesce vero?

altra cosa, ho lanciato process explorer come utente di sistema e riesco a terminare "processo.exe" ma poi il processo torna a caricarsi...

ora sempre con process explorer riesco a modificarne i permessi e ho abilitato full control al gruppo "Administrators", e indovina...
ora riesco a temrinarlo dal task manager con il mio utente admin di sistema e il processo non torna più sù, sto incrociando le dita ma penso di aver risolto...

Codice:
SERVICE_NAME: processo
        TYPE               : 10  WIN32_OWN_PROCESS
        STATE              : 1  STOPPED
                                (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 1067       (0x42b)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0
gutguy non è collegato   Rispondi citando
Vecchio 02-09-2015, 13.15.10   #15
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Se lo chiudi, ma si riapre, vuol dire che è legato ad un altro processo ancora attivo.
Il nome del processo può persino non essere legato alla sua reale presenza sull'hd ed essere creato on fly...Processo.exe esiste davvero in quel percorso ?
Si potrebbe chiamare pinco.exe e non trovarlo materialmente
Devi verificare che la non esecuzione di quel "servizio" non infici il funzionamento dell'applicativo al quale è legato.
Se è così, sei a cavallo.

* Se lanci il processo cmd.exe all'interno dell'ambiente NT AUTHORITY\SYSTEM, e l'utente loggato non ha privilegi di accesso, sperimenti l'impossibilità di agire.
Una chicca: psexec crea una pipe interprocesso su ADMIN$. $ significa nascosto


però ... ti sei dato da fare a manipolare 'ste immagini, eh ?
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
[XP sp2] accesso negato ai files .txt .doc .pdf geppetto1 Windows 7/Vista/XP/ 2003 13 02-06-2010 13.57.28
Accesso negato a cartelle Papillon56 Windows 7/Vista/XP/ 2003 3 06-11-2009 22.22.50
non riesco a installare driver: accesso negato cesareco Windows 7/Vista/XP/ 2003 6 27-08-2007 11.31.46
rete locale :accesso negato smayor Internet e Reti locali 4 09-12-2006 22.43.47
revoca dello Status di Obiettori di Coscienza top gun Chiacchiere in libertà 101 12-09-2005 19.10.47

Orario GMT +2. Ora sono le: 11.54.24.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.