介绍

介绍

介绍

最近,我在整理 PC 时发现,有些服务的名称后面附加了一些奇怪的值。输出结果sc query如下:

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[剪辑]...

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Regedit 输出为图像:

想法/行动

我首先想到的可能是我感染了病毒/恶意软件,并且有东西试图用拙劣的手段冒充合法服务。我相信我已经排除了这种可能,因为这些服务几乎与合法的非十六进制附加服务完全相同。(参见 regedit 输出)

某些服务的描述无效,但在 regedit 中创建描述的代码相同。此外,我已sc delete <svcname>成功发布。但是,它们在重新启动时会重新创建。

问题

这些服务是什么?为什么这样命名?
如何删除它们?

答案1

CDPUserSvc 是合法的 MS Windows 服务。

至于附加的随机代码,例如_405bc,这是相同 Windows 服务的副本,但没有后缀。MS 已将这些“影子”副本添加为“安全”措施(顺便说一句,也是为了让用户管理这些服务更加困难)。下面显示了 Windows OneSyncSvc 的影子示例。由于后缀可能会在重新启动时发生变化,因此要永久禁用该服务(例如,如果您从未使用 Windows OneSync),请设置开始在 HKLM\SYSTEM\CurrentControlSet\Services... 中两个都服务及其阴影至4。

OneSncSvc 影子

答案2

这不是恶意软件……但在我看来,这是一个进程或服务的名称,非常糟糕。病毒进程也使用这样的名称……读完上述帖子后,很容易欺骗用户,认为病毒进程实际上是合法进程。

还有其他类似的过程:如何在Win10上禁用OneSyncSvc_c523d?

相关内容