Завершение процесса от имени SYSTEM — отказ в доступе
 

Здравствуйте.
PowerShell командлет Stop-Process или taskkill /F, запущенные от имени system с помощью утилиты Руссиновича psexec получают отказ в доступе. Какие могут быть причины?
Сразу скажу, что пытаюсь завершить процесс-вирус. Он сопротивляется, блокирует удаление ключей из реестра и завершение процесса, несмотря на то, что я действую с наивысшими правами.
В linux, например, SIGKILL вызывает немедленное завершение любого процесса, кроме init.
Хочется понять, как система устроена. Почему так происходит? Как вирусописатели добиваются подобного эффекта?
И что посоветуете почитать на тему взаимодействия процессов в ОС Windows?

Запускаете ли вы шелл от имени администратора? Пробовали cmd.exe ?

Извините, Костя_Лу@vk, но, вы, видимо, невнимательно прочитали вопрос или не поняли его. Если вы ничего не можете сказать по существу, зачем же писать?

salikoff, о каком вирусе речь? Не исключено, что Ваши стандартные действия блокируются руткитом иди... Пробовали ли закрывать процессы при помощи "терминатора" process hacker или ComodoCleanEssentials?

Добиваются путем инсталляции специального драйвера, который перехватывает любые изменения в процессах и службах. Вы же поймите, что вы, как Администратор, есть начальником всех пользовательских процессов. Драйвера же запускаются в режиме ядра, поэтому на этом ваши полномочия "все".

Ну, собственно, лучше, чем сам Марк вам никто не расскажет. Unkillable Processes. Статья старая, 2005 года, но вы не пугайтесь, она в целом до сих пор не утратила актуальности. Если же хотите понять как работает система вообще, то одним сообщением этого не расскажешь. Поэтому рекомендую к прочтению книгу все того же Марка "Устройство Windows". Лучше в английском варианте. Так как перевод на русский, извините уж, выполнен какими то бездарями.

Спасибо, Казбек. Вот действительно дельный ответ и полезные ссылки!

salikoff,
Еще один хороший материал: просто и наглядно. Understanding User and Kernel Mode