介绍
最近,我在整理 PC 时发现,有些服务的名称后面附加了一些奇怪的值。输出结果sc query如下:
SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
TYPE : e0 USER_SHARE_PROCESS INSTANCE
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
[剪辑]...
SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
TYPE : e0 USER_SHARE_PROCESS INSTANCE
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
Regedit 输出为图像:
想法/行动
我首先想到的可能是我感染了病毒/恶意软件,并且有东西试图用拙劣的手段冒充合法服务。我相信我已经排除了这种可能,因为这些服务几乎与合法的非十六进制附加服务完全相同。(参见 regedit 输出)
某些服务的描述无效,但在 regedit 中创建描述的代码相同。此外,我已sc delete <svcname>成功发布。但是,它们在重新启动时会重新创建。
问题
这些服务是什么?为什么这样命名?
如何删除它们?
答案1
CDPUserSvc 是合法的 MS Windows 服务。
至于附加的随机代码,例如_405bc,这是相同 Windows 服务的副本,但没有后缀。MS 已将这些“影子”副本添加为“安全”措施(顺便说一句,也是为了让用户管理这些服务更加困难)。下面显示了 Windows OneSyncSvc 的影子示例。由于后缀可能会在重新启动时发生变化,因此要永久禁用该服务(例如,如果您从未使用 Windows OneSync),请设置开始在 HKLM\SYSTEM\CurrentControlSet\Services... 中两个都服务及其阴影至4。
答案2
这不是恶意软件……但在我看来,这是一个进程或服务的名称,非常糟糕。病毒进程也使用这样的名称……读完上述帖子后,很容易欺骗用户,认为病毒进程实际上是合法进程。
还有其他类似的过程:如何在Win10上禁用OneSyncSvc_c523d?