Если б я не разбирался, то наверно не спрашивал бы как удалить службу.)
Я на самом деле не вам лично - считаю просто, что надо предупреждать слишком смелых.
Сообщение от avz
Имя службы я вводил правильно.. смотрел по тому же авз.. К примеру Themes. Из служб работают только:
Удаленный вызов процедур (RPC), Службы криптографии, Сетевые подключения, Инструментарий управления Windows, Запуск серверных процессов DCOM, Журнал событий, Диспетчер учетных записей безопасности, Windows Audio, Plug and Play и файервол.
Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.
Можно, конечно, по другому - через командную строку, вот так: sc delete <service name> и перезагрузить комп.
Как я уже сказал: сначала отключить её (Тип Запуска на 'Отключено') и перезагрузить комп.
Вот что у меня осталось из 64 служб, которые были (некоторые там не виндовские):
Paul
Последний раз редактировалось XP user; 16.04.2008 в 22:33.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если вы хотите удалить службу, то тогда надо её ключ в дереве слева целиком выдернуть из реестра.
Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?
Спасибо за ответ. Вот об этом я и спрашивал! Конечно легче было бы через программу, если б можно было, но ничего со мной не случится если лишний раз в реестр залезу.) Вот мои пару служб.. принтер отключен но я включаю службу временами. P.s. Не по теме вопрос, но.. насчет остальных служб через реестр, тех которые не показаны через "службы" нигде упоминания случайно нет?
Здесь ещё парочка: http://www.oszone.net/2357/Services
С теми, которые там НЕ называются, надо быть крайне осторожным - если они спрятаны от пользователей, то тогда на это, возможно, причина есть. При сомнении введите название в Гугл и там, скорее всего, можно ответ найти о том, что это такое и можно ли это отключить. Если можно отключить, значит можно удалить.
P.S.: В крайнем случае можно их создать заново:
cmd -> sc create <service name> (скорее всего потребуется установочный диск Windows)
Paul
Последний раз редактировалось XP user; 17.04.2008 в 07:00.
Помню, AVZ и не у не всех юзермод перехватчиков показывает имена файлов.
К примеру:
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll: ZwQuerySystemInformation (1072) перехвачена, метод APICodeHijack.PushAndRet, а кто перехватывает - это оставляется как дополнительное задание пользователю.
Конечно, мне легко говорить в той области, где я не разбираюсь
Сообщение от Vorland
Можно ли выводить в протокол при user-mode перехватах (например, типа ProcAddressHijack или APICodeHijack) что-либо, кроме адреса перехватчика (может быть модуль DLL, где расположен перехватчик) - как это сделано, например, для kernel-mode?
Сообщение от Зайцев Олег
2. Можно - в принципе можно вывести машинный код, можно дизассемблированный кусок из первых трех-четырех команд
Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе. Олег, можно ли выводить модули, где эти перехватчики расположены? Или есть условия, при которых либо выводятся модули, либо только адреса? Проясните Олег, ситуацию, если не затруднит...
Мне как-то не разу не удалось для user-mode перехватчиков увидеть что-либо, кроме адресов в протоколе.
Недавно боролся с user-mode руткитом HackDef. Вот как AVZ его определил - информация из лога AVZ:
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 1312 msdvdr.pif
В разделе "Подозрительные объекты":
C:\WINNT\system32\msdvdr.pif Подозрение на RootKit
Да, было бы неплохо, если бы отображался модуль юзермоде-перехватчика.
Реакция на перехват MessageBoxA и MessageBoxW:
1.1 Поиск перехватчиков API, работающих в UserMode
Функция user32.dll:MessageBoxA (477) перехвачена, метод APICodeHijack.JmpTo[00D42D4E]
Функция user32.dll:MessageBoxW (484) перехвачена, метод APICodeHijack.JmpTo[00D42EE6]
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Hook_MessageBox.dll --> Подозрение на Keylogger или троянскую DLL
Hook_MessageBox.dll>>> Поведенческий анализ
Hook_MessageBox.dll>>> Нейросеть: файл с вероятностью 98.07% похож на типовой перехватчик событий клавиатуры/мыши
В принципе, если в пункте 5 всегда будет орать на юзермод перехваты, то этого будет достаточно, правда если будет несколько библиотек, перехватывающих функции, то будет непонятно кто чего перехватил.
Как я понял, чтобы посмотреть ручником, нужно уметь пользоваться отладчиком (SoftIce) ?
А буткит это опасно??
Вообще почему AVZ не определил модуль, это баг или фича?
буткит- да, опасно
Довольно прикалываться, как научиться avz определять не заваливая систему 100 процентов, тогда вы и увидите. А пока это не безопасно для системы, поэтому пока так.
Сообщение от avz
