介绍

我最近注意到一些服务在整理我的电脑时在服务名称后附加了奇怪的值。在sc query它们的输出中，它们看起来像这样：

SERVICE_NAME: CDPUserSvc_40b5c
DISPLAY_NAME: CDPUserSvc_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

[剪辑]...

SERVICE_NAME: UserDataSvc_40b5c
DISPLAY_NAME: User Data Access_40b5c
        TYPE               : e0  USER_SHARE_PROCESS INSTANCE
        STATE              : 4  RUNNING 
                                (STOPPABLE, NOT_PAUSABLE, ACCEPTS_PRESHUTDOWN)
        WIN32_EXIT_CODE    : 0  (0x0)
        SERVICE_EXIT_CODE  : 0  (0x0)
        CHECKPOINT         : 0x0
        WAIT_HINT          : 0x0

Regedit 输出为图像：

想法/行动

我的第一个想法是我可能感染了病毒/恶意软件，并且有一些东西试图用糟糕的技术冒充合法服务。我相信我已经排除了这一点，因为这些服务与其合法的非十六进制附加服务几乎完全相同。（见regedit输出）

某些服务的描述无效，但在 regedit 中创建描述的代码相同。另外，我已经sc delete <svcname>成功发布了。但是，它们会在重新启动时重新创建。

问题 …