none
某个服务禁止修改启动类型,怎么解决 RRS feed

  • 问题

  • 大家好!

    我们公司为了控制员工PC的USB和光驱,让我们强行安装某个后门监控程序。

    如果不安装这个就无法上网,无法登录业务用系统。所以我们都是不得不装。

    这个软件在windows服务里的启动类型是自动,而且就算是我们把它设置成手动或禁用。

    退出以后重新查看的话还是自动,根本无法停止这个服务。

    甚至把安装文件夹删除以后,重启PC,进去一看,那个文件夹还在。

    真是佩服这个后门软件。

     

    除了重装系统以外,还有办法去掉这个软件吗?

    2010年3月25日 6:54

全部回复

  • 能否提供此软件具体的名字?服务叫什么名字?
    Alexis Zhang (Microsoft MVP 2004' 2007' 2008' 2009')
    2010年3月25日 9:15
    版主
  • 这个软件的名字叫PCMAN又名Incops。

    服务的名字叫gateman.

    2010年3月25日 11:02
  • 检查一下 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 里有没有 gateman 子项,如果有是不是无权修改?
    Alexis Zhang (Microsoft MVP 2004' 2007' 2008' 2009')
    2010年3月26日 9:24
    版主
  • 还真有。

    怎么判断我有没有权限修改?

    2010年3月27日 0:02
  • 试着修改一下注册表,有没有拒绝访问的提示?
    Alexis Zhang (Microsoft MVP 2004' 2007' 2008' 2009')
    2010年3月27日 9:15
    版主
  • 提醒:如果那你的说法来看,去掉这个软件后你不就无法上网无法登陆业务系统了么?

    既然是后门软件,应该有一些常规的后门软件技术,如API HOOK,进程保护等功能。用一般的手段是没有办法的,除非你知道此软件的原理。


    The only way to learn how to program is to program.
    
    2010年3月27日 11:14
    版主
  • Alexis Zhang:

    我改了一下DisplayName,经确认可以改。

    注册表里还有其他值。我想把默认的启动类型从自动改成已禁用。

    DisplayName, REG_SZ, gateman

    ErrorControl, REG_DWORD, 0x00000000(0)

    ImagePath, REG_EXPAND_SZ, C:\WINDOWS\incops3\gateman.exe

    ObjectName, REG_SZ, LocalSystem

    Start, REG_DWORD, 0x00000002(2)

    Type, REG_DWORD, 0x00000110(272)

    请问怎么改?

    2010年3月30日 5:53
  • 把 Start 改成 4 试试。
    Alexis Zhang (Microsoft MVP 2004' 2007' 2008' 2009')
    2010年3月30日 9:08
    版主