恶意软件或奇怪的 Windows 服务行为？

Question

介绍

我最近注意到一些服务在整理我的电脑时在服务名称后附加了奇怪的值。在sc query它们的输出中，它们看起来像这样：

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[剪辑]...

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Regedit 输出为图像：

想法/行动

我的第一个想法是我可能感染了病毒/恶意软件，并且有一些东西试图用糟糕的技术冒充合法服务。我相信我已经排除了这一点，因为这些服务与其合法的非十六进制附加服务几乎完全相同。（见regedit输出）

某些服务的描述无效，但在 regedit 中创建描述的代码相同。另外，我已经sc delete <svcname>成功发布了。但是，它们会在重新启动时重新创建。

问题

这些服务是什么，为什么这样命名？
我如何删除它们？

Answer 1

CDPUserSvc 是合法的 MS Windows 服务。

至于附加的随机代码，例如_405bc，这是没有后缀的相同 Windows 服务的副本。MS 已添加这些“影子”副本作为“安全”措施（顺便说一句，使用户管理这些服务更加困难）。一个示例，Windows OneSyncSvc 的影子，如下所示。由于后缀可能会重启上改变，永久禁用该服务（例如，如果你从来没有使用Windows OneSync），设置开始在HKLM \系统\ CurrentControlSet \ Services中......双方的服务和它的影子4。